A mesterséges intelligencia alapú rendszerek használata ma már szinte minden munkakörben megjelent. A munkavállalók gyorsabban szeretnének dolgozni, automatizálnák a monoton feladatokat, egyszerűsítenék az adminisztrációt vagy hatékonyabbá tennék a kommunikációt. Ezzel önmagában nincs probléma. A gond ott kezdődik, amikor az AI-eszközök használata kontroll és szabályozás nélkül történik.

Ezt a jelenséget nevezzük Shadow AI-nak.

Mi az a Shadow AI?

Shadow AI alatt azt értjük, amikor a munkavállalók a szervezeten belül úgy használnak mesterséges intelligencia alapú rendszereket vagy AI támogatott alkalmazásokat, hogy arról a munkáltató vagy az IT részleg nem tud, vagy nem hagyta jóvá azok használatát.

A legtöbb esetben ez nem rossz szándékból történik. A munkatársak egyszerűen gyorsabb, kényelmesebb megoldásokat keresnek a mindennapi feladataikhoz. Gyakran saját, privát ChatGPT vagy más AI-fiókot használnak, miközben céges adatokat töltenek fel a rendszerbe.

Ez azonban komoly adatvédelmi, jogi és üzleti kockázatokat hordozhat.

Milyen adatokat érinthet a Shadow AI?

A kontroll nélküli AI-használat során számos érzékeny adat kerülhet külső rendszerekbe, például:

• üzleti titkok,
• pénzügyi és számviteli adatok,
• belső szabályzatok,
• szerződések és üzleti megállapodások,
• ügyféladatok,
• személyes adatok,
• szenzitív adatok,
• banktitok, ügyvédi titok vagy egészségügyi titok körébe tartozó információk,
• fejlesztési dokumentációk vagy forráskód részletek.

Mivel a legtöbb AI-rendszer felhőalapon működik, a szervezet sok esetben nem tudja megfelelően kontrollálni, hogy az adatok hová kerülnek, meddig tárolják őket, illetve felhasználják-e azokat modelltanításra.

GDPR és adatvédelmi kockázatok

A Shadow AI egyik legnagyobb veszélye, hogy a feltöltött adatok jelentős része személyes adatnak minősülhet a GDPR alapján.

Amennyiben a munkavállaló megfelelő jogalap, adatkezelési tájékoztatás vagy biztonsági kontroll nélkül tölt fel személyes adatokat AI-rendszerekbe, az könnyen adatvédelmi incidenshez vagy GDPR-sértéshez vezethet.

Ennek következménye lehet többek között:

• hatósági vizsgálat,
• adatvédelmi bírság,
• szerződésszegési felelősség,
• polgári jogi igényérvényesítés,
• büntetőjogi következmények,
• reputációs károk.

Üzleti következmények, amelyek túlmutatnak az IT-biztonságon

A Shadow AI nem csupán technológiai vagy jogi kérdés. Közvetlen üzleti kockázatot is jelenthet.

Egy adatvédelmi incidens vagy üzleti titok kiszivárgása súlyosan rombolhatja az ügyfélbizalmat. Ez hosszú távon megrendeléscsökkenéshez, versenyképességi problémákhoz, sőt akár veszteséges működéshez is vezethet.

Különösen érzékenyen érintheti ez azokat a szervezeteket, amelyek:

• nagy mennyiségű ügyféladatot kezelnek,
• bizalmi szolgáltatásokat nyújtanak,
• pénzügyi, egészségügyi vagy jogi területen működnek,
• saját fejlesztésű know-how-val rendelkeznek.

Miért alakul ki a Shadow AI jelenség?

A legtöbb esetben a háttérben nem szabályszegési szándék áll, hanem az, hogy a munkavállalók gyorsabb és hatékonyabb munkavégzésre törekednek.

Ha a szervezet:

• nem biztosít megfelelő digitális eszközöket,
• nem reagál a munkatársi igényekre,
• nem szabályozza az AI használatát,
• vagy teljes tiltással próbálja kezelni a problémát,

akkor a munkavállalók gyakran alternatív, nem kontrollált megoldásokat kezdenek használni.

Mit tehetnek a vállalatok?

A teljes tiltás önmagában ritkán jelent hosszú távú megoldást. Sokkal fontosabb a tudatos, szabályozott és ellenőrizhető AI-használat kialakítása.

A teljesség igénye nélkül...

• AI-használati igények és jelenlegi gyakorlatok felmérése,
• a Shadow AI mértékének és kockázatainak feltérképezése,
• megfelelő AI-rendszerek és szolgáltatók körültekintő kiválasztása,
• adatkezelési, biztonsági és jogi feltételek vizsgálata,
• AI használati szabályzat kialakítása,
• tiltott adattípusok és használati szabályok meghatározása,
• munkavállalói AI-képzések biztosítása,
• etikus AI-használati kultúra kialakítása,
• folyamatos monitorozás és rendszeres szabályzat-felülvizsgálat

Összegzés

A Shadow AI ma már nem egy elméleti probléma, hanem a mindennapi vállalati működés része. A kérdés nem az, hogy jelen van-e a szervezetben, hanem az, hogy a vállalat mennyire tudatosan kezeli azt.

A teljes tiltás helyett a szabályozott, ellenőrzött és etikus AI-használat jelentheti a valódi megoldást. A megfelelő kontrollokkal a vállalat egyszerre növelheti a hatékonyságot, csökkentheti a kockázatokat és biztonságos kereteket adhat a munkavállalóknak a modern technológiák használatához.