Az MI gyors terjedése: egyre több a szabályszegés
Ma már tízből hét alkalmazottat kifejezetten bátorítanak az MI használatára a munkájában; ugyanakkor több mint egyharmaduk őszintén bevallja, hogy nem mindig tartja be a vállalati előírásokat. Egyre gyakrabban kerülnek érzékeny információk olyan nagy nyelvi modellekbe, amelyek nem vállalati használatra készültek, és gyakran használnak jóvá nem hagyott MI-alkalmazásokat is. Ezek a hibák együttesen alkotják az úgynevezett „Shadow AI”, vagyis árnyék-MI jelenséget. Külön figyelmet érdemel, hogy a klasszikus védelmi eszközök – mint például az egyjelszavas bejelentkezési rendszer (SSO) vagy a mobil eszközmenedzsment (MDM) – sem tartanak lépést az új kihívásokkal.
Belülről bomló biztonság
A bizalmas adatokat nemcsak kívülről fenyegetik. Az alkalmazottak több mint fele már telepített saját szoftvert az informatikai jóváhagyás kihagyásával, kétharmaduk továbbra is gyenge jelszót használ, míg 38% korábbi munkahelyi fiókokhoz is hozzáfért. Bár egyre nagyobb a lelkesedés a jelszó nélküli hitelesítés és a passkey-megoldások iránt, a legtöbb cég még mindig elavult, az MI-központú munkavégzéshez nem igazított biztonsági rendszerekre támaszkodik. Az eredmény: folyamatosan nő az ún. „Access–Trust Gap”, vagyis az a rés, amelyen keresztül a dolgozói kreativitás és az MI-káosz együtt boríthatja fel a vállalati védelmet.
Ellentmondásos elvárások és szabályok
Sokan a szigorú szabályzatokat okolják: minél inkább korlátoznak valamit, annál inkább megpróbálják a munkavállalók megkerülni a tiltást. Gyakori, hogy a céges eszközök (például laptopok) nem elég erősek vagy kényelmetlenek; a dolgozók ezért inkább saját notebookot és szoftvert használnak, ezzel kiiktatva az informatikai ellenőrzést. Az is előfordul, hogy a vállalat nem biztosítja a legújabb eszközöket vagy MI-alkalmazásokat, miközben a menedzsment elvárja, hogy a beosztottak gyorsabbak, hatékonyabbak legyenek. Ha az MI-t munkaeszközként hirdetik, de tiltják az érzékeny adatok feltöltését, az alkalmazottaknak szinte lehetetlen maradéktalanul megfelelni az elvárásoknak.
Elavult jelszókezelés: a legnagyobb gyenge pont
A céges jelszóháború még mindig valóság: a dolgozók többsége rövid, könnyen kitalálható jelszavakat választ, és ugyanazt használja több helyen is. Az SSO és a jelszókezelők ugyan csökkentik az adminisztrátori terheket, de a telepített szoftverek fele már saját, nem jóváhagyott megoldás. A bejelentkezési macera, az állandó újrahitelesítés (például napi szinten több lépés minden programnál) tovább növeli a „kerülőutak” számát. Nem csoda, hogy az alkalmazottak egyre kevésbé törődnek a szabályzattal.
A vállalati MI-káosz következményei
Az MI kapkodva történő bevezetése óta a legtöbb szervezet kényelmetlen „dönts, hogyan vesztesz” helyzetbe került: vagy gyorsabban dolgozik a munkavállaló a neki tetsző, de szabálytalan MI-vel – vagy lemarad. Egyes cégek teljes tiltással próbálkoznak, mások csak a legnépszerűbb MI-eszközöket engedélyezik belső szavazás alapján. A vállalatok többsége azonban még mindig az elavult jelszavakban bízik, miközben a bizalmi rés egyre nő.
Bár a felhasználók kreatív szabálykerülése mindennapos, több évtizednyi tapasztalat mutatja: a gyenge jelszavak, a tiltott szoftverek és a szabálykerülés együtt okozzák a legtöbb belső adatlopást és -szivárgást.
Az igazi veszély: érzékeny adatok az MI-ben
Külön figyelmet érdemel, hogy az MI-rendszerekbe feltöltött bizalmas információ könnyen kiszivároghat. Volt már rá példa, hogy egy hallgató vizsga előtt beadott egy feladatot a ChatGPT-nek, ami később visszaköszönt más diákok fiókjában válaszként. A legfontosabb szabály tehát egyszerű: semmilyen titkos vagy saját fejlesztésű dokumentum nem kerülhet publikus MI-rendszerekbe, különösen nem nagy nyelvi modellekbe.
A fentiek tükrében: hogyan tovább?
A vállalati biztonság egyre kevésbé informatikai, hanem emberi kihívássá vált. Az MI-eszközök „árnyékos” felhasználása, az okos, de szabálykerülő dolgozók és az elavult jelszómenedzsment együtt teszik igazán sérülékennyé a cégeket. Vagy a szabályokat kell életszerűbbé, rugalmasabbá tenni, vagy olyan technológiai megoldásokat kell bevezetni, amelyek egyszerre kényelmesek és biztonságosak – különben a következő nagy adatszivárgás már nem kívülről, hanem belülről jön majd.
