Van egy rossz hírem: a mesterséges intelligencia nem egy új szoftver a sok közül. Nem olyan, mint amikor bevezetsz egy új CRM-et, lecseréled a vírusirtót vagy veszel egy okosabb projektmenedzsment eszközt. Az AI nem „csak egy rendszer”, hanem egy olyan technológia, amely nagyon gyorsan belenyúl abba, hogyan dolgoznak az emberek, hogyan döntenek, hogyan írnak dokumentumokat és hogyan kezelnek információkat.
És van egy még rosszabb hírem: az AI nem „IT-es téma”. Természetesen az IT érintett benne, de az igazi változás nem a szerverekben és tűzfalakban történik, hanem a munkavégzés mindennapi rutinjában. A mesterséges intelligencia olyan, mintha felvennél egy új kollégát, aki szupergyors, mindig segítőkész, zseniálisan ír, kódol, összefoglal, fordít, és soha nem kér fizetésemelést. Csakhogy van egy apró probléma: néha fogalma sincs, mit beszél, néha túl sokat beszél, és ha nem figyelsz, a céged belső információi simán kisétálnak vele az ajtón – mosolyogva.
Az ISO 27001 klasszikus logikája arra épül, hogy a szervezet védelmi rendszere folyamatokból, szerepekből, kontrollokból és bizonyítékokból álljon. Az ISO 27001 gondolkodásmódja nagyon stabil: a cél az, hogy az információbiztonság ne ösztönből működjön, hanem tervezetten, auditálhatóan és folyamatosan fejlesztve. Erre az AI ránéz, és a maga egyszerű módján felteszi a kérdést: „Oké, és a prompttal mi legyen?” És ha őszinték vagyunk, itt dől el minden.
A prompt nem kérdés, a prompt vallomás
A legtöbb szervezet még mindig úgy gondol az AI-ra, mint egy okos keresőre. Úgy képzelik el, hogy beírsz egy kérdést, és kapsz egy választ, ezért a kockázatot is a válaszban keresik. Pedig az AI használatában sok esetben nem a válasz jelenti az igazi veszélyt, hanem maga a kérdés, vagyis az a tartalom, amit a felhasználó bevisz a rendszerbe.
A promptok nagyon ritkán olyan ártatlanok, mint például az, hogy „Írj egy vicces LinkedIn posztot.” A promptok a valóságban sokkal inkább így hangzanak: „Írj egy vicces LinkedIn posztot erről a konkrét tenderanyagról, amit az XY ügyfélnek adunk be, és amiben szerepelnek a műszaki paraméterek, az árstratégia, a versenytárs gyengeségei, és a belső projekttervünk.”
A prompt ugyanis nem csak utasítás, hanem adatbevitel. Sokszor üzleti titok, sokszor személyes adat, sokszor szerződéses információ, és sokszor ezek kombinációja. Az ISO 27001 hagyományos logikája leginkább azt védi, ami a rendszereidben van, vagyis az adatokat a szervereken, fájlmegosztókon, levelezésben, alkalmazásokban. Az AI viszont egy olyan csatornát nyit, amin keresztül a kollégáid elkezdik kiírni a fejükből azt, ami eddig nem került ki sehova. Információbiztonsági szempontból ez egy csúszós lejtő, ráadásul szépen síkosítva.
Shadow AI: amikor a szervezet „titokban okos”
A shadow IT jelenségét régóta ismerjük, és a történet mindig ugyanaz. A kollégák elkezdenek saját eszközöket használni, mert gyorsabb, kényelmesebb, jobbnak tűnik, vagy „úgyis csak egyszer kell”. A shadow AI ugyanez, csak gyorsabb, tömegesebb és veszélyesebb, mert közben a cég adatainak kezelése is átcsúszik egy új dimenzióba.
Shadow AI-nak hívjuk azt, amikor a szervezetben a marketing csapat ChatGPT-t használ kampányszövegre, a HR AI-val szűri az önéletrajzokat, az értékesítés AI-val ír ajánlatot, a fejlesztők beletolnak kódrészleteket egy kódgenerátorba, a jogász egy nagy nyelvi modellel összefoglal egy szerződést, és mindeközben az IT és a compliance erről semmit sem tud. A rendszer ilyenkor nem azért sérül, mert valaki rosszindulatú, hanem azért, mert a szervezet „természetes módon” így működik: a kolléga gyorsan akar eredményt.
Az ISO 27001 egyik alappillére a kontrollált eszközhasználat és az információk tudatos kezelése. A shadow AI viszont pontosan azt üzeni: „Nyugi, én most kikerülöm a folyamatot.” Ez önmagában már egy információbiztonsági kockázat, még akkor is, ha technikailag minden egyéb védelem működik.
Adatbeszivárgás: a legkellemetlenebb adatvesztés
A klasszikus adatvesztés látványos. Van incidens, van log, van pánik, és van e-mail a vezetőségnek. Az AI-s adatvesztés ezzel szemben olyan, mint amikor a víz lassan beszivárog a falba. Nem látod azonnal, nem csöpög, nem csattan, de egy idő után már késő. Mire észreveszed, már nem az a kérdés, hogy „mi történt”, hanem az, hogy „mekkora a baj”.
Az AI-ba bemásolt tartalmak jellemzően képernyőfotók, belső dokumentumok, ügyfél levelezések, hibajegyek, szerződések, pénzügyi táblázatok, fejlesztési dokumentáció, vagy éppen hatósági audit anyagok. És még ha az AI-eszköz szolgáltatója nem is „lopja el” ezeket, a kockázat attól még valós: a szervezet elveszíti a kontrollt afelett, hol járnak az adatai, és kinek van hozzáférése.
Az ISO 27001-ben a bizalmasság nem hangulat kérdése. A bizalmasságot bizonyítani kell, méghozzá auditálható módon. Az AI használatnál viszont nagyon gyakran az történik, hogy az információt önként viszik ki egy olyan térbe, ahol a kontroll nem átlátható, a bizonyítási lánc pedig rögtön megszakad.
Az AI új támadási felület: már nem csak a rendszereidet támadják, hanem a gondolkodásodat
Az AI-val a támadók is boldogabbak lettek, mert nemcsak a technológiához nyúltunk hozzá, hanem az emberi működéshez is. Az AI olyan új támadási lehetőségeket hoz, amelyek az ISO 27001 klasszikus „tűzfal–jelszó–mentés” háromszögében korábban alig jelentek meg.
A tipikus új AI támadási felületek közé tartozik például a prompt injection, amikor a támadó úgy alakítja a bemenetet, hogy az AI védett információt adjon át vagy rossz outputot generáljon. Hasonlóan fontos kockázat a data poisoning, amikor a betanítási vagy input adatokat manipulálják annak érdekében, hogy a rendszer hibásan működjön. Ide sorolhatók a model inversion vagy leakage jellegű kockázatok is, amelyeknél egy modellből valamilyen módon információ „visszafejthető”, és itt jelenik meg a social engineering AI-val turbózva is, ahol a csaló e-mail már nem bénán fogalmaz, hanem tökéletesen. A deepfake hang és arc pedig mára kifejezetten üzleti fenyegetéssé vált, különösen utalási csalásoknál és vezetői megszemélyesítésnél.
Korábban a támadó főleg a rendszert támadta. Most viszont a támadó a rendszeren keresztül az embert támadja, és ebben az AI kifejezetten hatékony eszköz.
Az ISO 27001 logika ott törik, hogy az AI nem determinisztikus
Az ISO 27001 egyik nagy előnye az, hogy a kontrollok nagy része stabil működésre épül. Ha van jogosultságkezelés, van naplózás, van változáskezelés, van mentés és incidenskezelés, akkor az információbiztonság rendszerré válik, és ez a rendszer auditálhatóan fenntartható.
Az AI viszont sokszor nem úgy működik, mint egy hagyományos informatikai rendszer. Egy nagy nyelvi modell nem mindig ugyanarra a kérdésre ugyanazt válaszolja, képes hallucinálni, képes magabiztosan rosszat mondani, és képes nagyon hihető outputot adni nulla igazságtartalommal.
Ez teljesen új típusú kontrollt követel, mert információbiztonsági sérülés nem csak akkor történik, amikor kijut az adat, hanem akkor is, amikor az AI rossz döntést támogat, hibás tartalmat küld ügyfélnek, hamis belső riportot generál, vagy félreviszi a compliance-t. A régi ISO logika arról szólt, hogy védjük az adatot. Az új AI logika arról szól, hogy védjük a döntést is.
Jogi kockázatok: amikor a promptból peranyag lesz
AI esetén a jogi kockázatok nem elméletiek, hanem nagyon gyorsan üzleti problémává tudnak válni. Ez különösen igaz akkor, ha a szervezet érzékeny adatokkal dolgozik, vagy szabályozott iparágban működik. Az AI használat során gyakori jogi kockázat a GDPR sérülése, különösen akkor, amikor személyes adatok kerülnek a promptba, például egészségügyi vagy HR adatok. Ugyanilyen gyakori kockázat az üzleti titok megsértése, amikor ügyfél adat vagy partneri információ kerül ki. Emellett megjelenik a szerződéses titoktartás megsértése, a szellemi tulajdon kockázata, illetve az a kérdés is, hogy ki vállalja az AI outputot.
Az egyik legkellemetlenebb helyzet az, amikor AI-val generált anyag kimegy ügyfélnek, hatóságnak vagy nyilvánosságba, majd kiderül, hogy a tartalom pontatlan, jogilag hibás, vagy egyenesen kockázatos. Ilyenkor a szervezet gyakran csak annyit tud mondani: „hát… a rendszer írta”. Ez az a mondat, amit sem a hatóság, sem az ügyfél, sem a bíróság nem fog elfogadni.
Mit csinálj? Tiltani nem kell, irányítani kötelező
A legrosszabb reakció az AI-ra a teljes tiltás. Egyrészt azért, mert a tiltás a gyakorlatban nem fog működni, másrészt azért, mert a shadow AI ettől csak erősebb lesz. Ha tiltod, akkor nem megszűnik, hanem eltűnik, és ezzel a kontroll még rosszabb lesz.
A jó megoldás az, hogy az ISO 27001 logikáját kibővíted AI-ra, és az AI használatot ugyanúgy szabályozott, auditálható működésbe emeled, mint bármely kritikus informatikai folyamatot. Egy jól működő szervezetben minimum megjelenik egy AI leltár, amelyben látszik, hol, ki és mire használ AI-t. Megjelenik egy AI policy, amely kimondja, mi fér bele és mi nem, különös tekintettel az adatkezelésre. Megjelennek prompt szabályok, amelyek rögzítik, mit tilos promptba írni és miért. Szükséges beszállítói kontroll, amely meghatározza, milyen AI eszköz engedélyezett és milyen feltételekkel. Elengedhetetlen a képzés, amely nem elméleti, hanem munkakörre szabott. Fontos az incidenskezelés AI-ra is, vagyis annak tisztázása, mi számít AI incidensnek. Végül pedig kiemelten fontos az auditálhatóság, vagyis az evidenciák, naplók és jóváhagyási pontok rendszere.