Az árnyékinformatika ("shadow IT") fogalma egyáltalán nem új, évtizedes jelenségről van szó, amely a felhőszolgáltatások megjelenésével, illetve az egyre fejlettebb számítástechnikai eszközöknek a felhasználók széles körében történő elterjedésével  kapott igazán nagy lendületet (különösen az okostelefonok, illetve hordozható számítógépek, laptopok, tabletek megjelenésével - vö. az ún. "Bring Your Own Device", BYOD jelenséggel, amely szintén komoly belső szabályozási kihívásokkal jár(t) a vállalkozások számára). Újabban, leginkább a ChatGPT 2022. novemberi elérhetővé válását követően az árnyékinformatikai jelenségek egy újabb alcsoportjával a "shadow AI", azaz a nem jóváhagyott, nem ellenőrzött mesterséges intelligencia (MI) alkalmazások használatának veszélyével ismerkedhetünk. 

Mit mutatnak a számok?   

Egy, a közelmúltban (2024. május), a cyberhaven labs által közzétett jelentés szerint az MI alkalmazások munkahelyi használata 2023. márciusa és 2024. márciusa között 485%-al növekedett és a piacot három nagy szolgáltató (OpenAI, Microsoft, Google) megoldásai dominálják. 

Forrás: cyberhaven labs: AI Adoption and Risk Report, 2024Q2, 3. o. 

Mit értünk pontosan "árnyék MI" ("shadow AI") alatt? 

Hasonlóan a "nagy testvér", a shadow IT (árnyékinformatika) jelenségéhez, az "árnyék MI" sem jelent mást, mint különböző - jellemzően felhőalapú - mesterséges intelligencia szolgáltatások nem jóváhagyott, nem ellenőrzött használatát. Ezekben az esetekben a munkatársak a vállalat jóváhagyása, illetve sokszor tudta nélkül használnak MI-alapú alkalmazásokat, tipikusan saját regisztrációval (saját felhasználónév és jelszó), ugyanakkor munkahelyi célokra, gyakran a munkáltató adatait megadva a használat során (amelyek között védett, érzékeny üzleti információk és személyes adatok is lehetnek). Tekintve, hogy az adatok feltöltése nem az ellenőrzött, jóváhagyott vállalati felhasználói profilokra és biztonságos vállalati környezetbe történik, így a vállalati adatvagyon és üzleti titkok is jelentős veszélynek vannak kitéve. (Emlékezhetünk, hogy 2023. májusában a Samsung kénytelen volt tilalmat bevezetni a ChatGPT és más MI alkalmazások munkatársak általi használatára egy korábbi, a nem körültekintő használatból fakadó adatszivárgás miatt.)   

Milyen vállalati adatok érintettek? 

Érdekes kép rajzolódik ki az alapján, hogy az "árnyék MI" jelenségének köszönhetően mely területekről (HR, ügyfélkapcsolatok, marketing, jogi, stb.) származó adatok "kötnek ki" ellenőrizetlenül különböző szolgáltatóknál, illetve ezen adatok milyen arányban kerülnek vállalati, illetve nem vállalati (tipikusan a felhasználó saját) profilokon keresztül feltöltésére. Ez ugyanis adhat egyfajta képet arról, hogy a vállalkozások mely szervezeti egységei körében különösen elterjedt az "árnyék MI" használata. (A jelentésben szereplő adatok alapján pl. a jogi terület "felelős" az érzékeny információk 2,4%-ának az MI-rendszerekben történő felhasználásáért, ennek azonban több, mint 80%-a "landol" olyan felhasználói profilokon keresztül a szolgáltatónál, amely nem köthető a felhasználó munkáltatójához, azaz nem vállalalti profil. Lásd a jelentés 8-9. oldalait.) 

Csak a nagyvállalatok érintettek?

Természetesen nem, sőt a KKV-k esetében még nehezebb lehet a helyzet, hiszen sokszor éppen ebben a szegmensben nem jut elegendő erőforrás az IT rendszerek megfelelő működtetésére, ellenőrzésére, a tudatosság növelésére, illetve adott esetben hiányozhat a megfelelő felkészültség is, hiszen az MI alkalmazások területén olyan jelentős változások mennek végbe, amellyel szinte lehetetlen - jelentős erőforrások ráfordítása nélkül - folyamatosan lépést tartani, ugyanakkor az igény a KKV-knál is megjelenik a korszerű megoldások alkalmazására, a munkavégzés hatékonyságának a növelésére, stb.

Milyen veszélyeket jelent az "árnyék MI"?

A veszélyek között az IT rendszerek nem megfelelő használatához, illetvez az árnyékinformatikához kapcsolódó főbb veszélyek merülnek fel elsősorban, így az érzékeny vállalati adatok (üzleti titkok), illetve személyes adatok kiszivárgásának veszélye, a jogszabályi megfelelés elmulasztásából fakadó kockázatok, adatvesztés, a vállalati IT környezet támadások általi kitettségének növekedése, ezekkel összefüggésben fellépő reputációs és pénzügyi kockázatok. 

Lehetnek azonban MI-specifikus kockázatok is, így például a vállalati adatok hozzáférhetővé válása MI modellek tanításához (a nagyobb szolgáltatók egyre gyakrabban biztosítanak válallati (enterprise) verziót az MI alkalmazásaikhoz, ahol tipikusan vállalják, hogy a felhasználók által esetleg megadott vállalati adatokat nem használják a modelljeik tanításához, lásd pl. ChatGPT Enterprise), amely kapcsán aztán felmerülhetnek veszélyek MI-specifikus támadásokkal összefüggésben is (pl. prompt injection attacks). 

A jogszabályi megfelelés elmulasztásával összefüggő kockázatok kapcsán érdemes kiemelni az adatvédelmi szabályok megsértésének veszélyét, amelyre nemrégiben a holland adatvédelmi hatóság kifejezetten felhívta a figyelmet az MI chatbotok használatával kapcsolatban. A holland adatvédelmi hatóság felhívása éppen olyan esetekre utal, amelyek az MI-rendszerek nem engedélyezett és nem ellenőrzött (azaz "árnyék MI" jellegű) használatával függhetnek össze. 

Szintén érdemes észben tartani, hogy az augusztus 1-én hatályba lépett (és több lépésben alkalmazandóvá váló) MI Rendeletnek való megfelelés is csak úgy képzelhető el, ha az MI-rendszereket alkalmazó szervezetek tisztában vannak azzal, hogy a munkatársak milyen MI-rendszereket használnak és pontosan milyen célra.     

Mit lehet tenni?

Természetesen, ahogy az árnyékinformatika kapcsán általában, úgy az "árnyék MI" tekintetében is számos eszközzel fel lehet venni a harcot. Tipikusan a teljes tiltás nem jelent megoldást, mivel az éppen oda vezethet, hogy ellenőrizetlenül, nem engedélyezett módon használnak MI megoldásokat a munkatársak (hiszen ezek használata számos előnnyel is jár, megkönnyítheti a munkatársak életét, javíthatja a produktivitást és a hatékonyságot, illetve sokszor változatosabbá, érdekesebbé teheti a munkavégzést). 

Az alábbi intézkedések megtétele elősegítheti az "árnyék MI" (és ezzel együtt általánosságban az árnyékinformatikai) megoldások használatának elkerülését: 

• tudatosság növelése, megfelelő képzések, figyelemfelhívások révén, 
• MI-jártasság (és általánosabban a digitális jártasság) növelése a munkatársak körében, 
• megfelelő belső szabályozási keretek kialakítása (ehhez segítséget jelenthet például a hamburgi adatvédelmi biztos által az LLM-alapú chatbotok használatához kiadott ellenőrző lista),   
• megfelelő belső ellenőrzési folyamatok kialakítása és következetes alkalmazása, 
• a vállalati folyamatokhoz és tevékenységekhez illeszkedő IT és MI megoldások figyelemmel kísérése és a szükséges előkészítés után, a munkavégzéshez szükséges, azt elősegítő eszközök, alkalmazások - megfelelő biztonsági garanciák és működési feltételek melletti - elérhetővé tétele*. (Ennek során érdemes a munkatársaktól is folyamatosan visszajelzést gyűjteni arról, hogy a munkavégzésükkel kapcsolatban milyen igényeik merülnek fel, valamint melyek lehetnek azok az eszközök, amelyek hozzájárulhatnak a munkatársak hatékony munkavégzéséhez. Ezeket a visszajelzéseket aztán konkrét informatikai és MI igényekre lehet lefordítani.)