Rengeteg céges AI-projekt bukik el, az adatbiztonság is aggasztó, de van megoldás a problémára

A Microsoft 2025 második félévére vonatkozó „Global AI Adoption in 2025 – A Widening Digital Divide” című jelentése szerint Magyarországon tovább nőtt a generatív mesterséges intelligencia használata, a munkaképes korú lakosság körében az AI-t használók aránya 27,9 százalékról 29,8 százalékra emelkedett 2025 első és második féléve között, amivel az ország befért a világ TOP 20 AI-használó gazdasága közé.

Miközben ez a lelkesedés megkönnyíti a cégek dolgát új, AI-alapú, hatékonyságnövelő rendszerek bevezetésére – hiszen az alkalmazottak nagy része már eleve ismeri, használja a technológiát–, addig Varga Botond, a SERCO Informatika Zrt. AI és Innovációs igazgatója szerint komoly biztonsági kihívásokat is magában hordoz.

A shadow AI csapdája

„A vállalati szektorban egyre elterjedtebb az úgynevezett „shadow AI” jelensége, amikor a munkavállalók nem kontrollált, sok esetben megosztott felhős előfizetéseken keresztül használják a különféle intelligens rendszereket” – mondta a Portfolio-nak a 43 éves múltra visszatekintő SERCO Informatika Zrt. AI és innovációs üzletágának vezetője, aki szerint ez a gyakorlat kritikus adatvédelmi kockázatokat vet fel:

hiába ígérnek a szolgáltatók nagyvállalati szintű védelmet a végfelhasználói licencszerződésekben, az érzékeny üzleti adatok, jelszavak és belső információk felhőbe szinkronizálása rendkívül sebezhetővé teszi a cégeket.

„Rengeteg cégnél használják már az AI-t a munkavállalók, csak éppen nem strukturált módon, sokszor a cég tudta nélkül, a saját előfizetéseiket, vagy rosszabb esetben a feleségükkel, barátjukkal, rokonokkal megosztott előfizetéseket használva, amely alapvető IT-biztonsági problémákat vet fel. Ilyenkor a cégnek a legszenzitívebb adatait, akár még a jelszavait is beszinkronizálják a használat közben a felhasználók” – mutatott rá Varga, aki konkrét példákat is említett ezekre az esetekre.

Az egyik legismertebb egy Samsunghoz köthető forráskód-incidens. Ennek során a mérnökök bizalmas félvezető-fejlesztési kódokat másoltak be a ChatGPT-be hibakeresés céljából. Mivel az OpenAI rendszere alapértelmezés szerint felhasználja a beírt adatokat a mesterséges intelligencia tanításához, a cég legféltettebb üzleti titkai bekerülhettek a modell tudásbázisába. Ez azzal a kockázattal járt, hogy a modell később – akár egy konkurens kérdésére válaszolva – a Samsungtól származó logikai megoldásokat vagy kódrészleteket használhat fel, így a technológiai előnyüket jelentő szellemi tulajdon közvetetten hozzáférhetővé válhatott.

Hasonló kockázatot mutatott be a Microsoft Copilot esetében az úgynevezett közvetett utasítás-befecskendezés (Indirect Prompt Injection). Ennek során a támadók láthatatlan utasításokat rejtettek el egy e-mailben. Amikor a Copilot automatikusan összefoglalta a levelet, végrehajtotta a rejtett parancsokat is: szenzitív adatokat gyűjtött ki a felhasználó fiókjából, majd ezeket – bármiféle kattintás nélkül – továbbította a támadó szerverére. Bár a Microsoft azóta javította ezt a konkrét biztonsági rést, az eset megmutatta, hogy az AI-megoldások a felhős környezetben új típusú támadási felületet nyitnak.

Ezek közé sorolja Varga azt is, hogy a jelenleg használt előfizetéses AI-szolgáltatások észak-amerikai vagy ázsiai szervereken futnak egy olyan adat-infrastruktúrán, amelyhez nincs a felhasználóknak hozzáférése.

Ha ebben a turbulens geopolitikai helyzetben az Egyesült Államok elnöke azt a döntést hozná, hogy Európát le kell vágni az AI-infrastruktúráról, akkor egyik pillanatról a másikra az összes cég azzal fog szembesülni, hogy megszűnik az AI-szolgáltatása

– tette hozzá a szakember.

Ezt a problémát a gyártók is felismerték, ezért tavaly óta az a trend a hardvergyártásban, hogy az infrastrukturális eszközökben – szerverek, laptopok, munkaállomások – megjelentek azok a mesterséges intelligenciát támogató chipek, amelyek lehetővé teszik, hogy egy cég saját infrastruktúrán, saját szerveren, laptopon tudjon mesterséges intelligenciát futtatni. Varga szerint adatbiztonsági szempontból ez a legjobb megoldás, amivel elkerülhető, hogy az adatok kikerüljenek a felhőbe.

„Egy ilyen rendszer bevezetésének egyik első lépcsőfoka – miután az infrastruktúra felépült, és az integráció elkezdődik –, hogy a vállalattal kapcsolatos információkat feltanítjuk ennek a rendszernek, vagyis a szervezeti struktúrától kezdve a munkavállalókkal kapcsolatos információig minden adatot feltöltünk. Összekötjük a sales rendszerekkel, CRM rendszerekkel, ezekből is tud tanulni, és a válaszai során tud keresni a többi becsatornázott rendszer információiban is, és ennek függvényében a lehető legkomplexebb válaszokat tudja adni, miközben az ismert AI-szolgáltatók megoldásaihoz hasonlóan ugyanúgy képes az interneten kereséseket végezni, adatot gyűjteni, mély kutatást végezni” – foglalta össze a szuverén struktúra előnyeit a cég AI és Innovációs igazgatója.

Ehhez nem kell lecserélni a teljes infrastruktúrát, elég egy AI-képes szervert vásárolni és hozzákapcsolni a meglévőhöz, amiből ki tudja nyerni az információkat. „Tapasztalataim szerint, amivel inkább probléma lehet, azok a régebbi, örökölt legacy rendszerek, amelyek nem biztos, hogy támogatják az adatkinyerés folyamatát. Ilyenkor sajnos technológiát kell váltani, akár szoftvert, vállalatirányítási rendszert is” – tette hozzá Varga, aki inkább ott látja a nehézséget céges oldalról, hogy a témában tapasztalható hatalmas zaj miatt nagyon nehéz egy cégvezetőnek, döntéshozónak naprakésznek maradnia a témában, átlátni, hogy a különböző lehetőségeket milyen szinten lehet implementálni a saját cégének működésében.

A hazai kkv-k bizonyos szempontból jó helyzetben vannak, mert a munkavállalóik már használják az AI-t, és látják a produktivitási előnyöket, másfelől viszont nem látom a tervezést, nem látom azt, hogy ezzel az adatbiztonsági kérdéssel is foglalkoznának

– tette hozzá.

Nagy a lelkesedés, de a megvalósítások zöme elbukik

Az iparági statisztikák szerint nagyvállalati környezetben az AI-projektek 70-80%-a sikertelen, a kisvállalati szegmensben pedig még ennél is rosszabb az arány: 95-97%. A szakértő szerint ennek az az oka, hogy ez egy nagyon sokrétű feladat, és a közhiedelemmel ellentétben a legkevésbé informatikai kérdésről van szó. „Rengeteg olyan esettanulmányt láttunk, amelyekből az derült ki, hogy nem biztos, hogy minden esetben az AI lesz a megoldás, nem kell minden helyzetben, minden munkafolyamatra használni. Léteznek már a piacon olyan automatizációs megoldások, amelyekkel sokkal egyszerűbben is lehet munkafolyamatokat kiváltani” – hívta fel a figyelmet.

Egy másik probléma az adatstruktúra, vagyis annak hiánya. „Az a tapasztalatom, hogy a projektek 85 százaléka az adatok hiánya vagy rossz minőség miatt bukik el. Addig, amíg egy cégben nincsenek strukturált adatok, akár a CRM-rendszerben, akár bármilyen egyéb másik rendszerükben, addig az AI sem fogja tudni strukturálni az adatokat, az adatszemétből pedig az AI is csak adatszemetet tud létrehozni.”

A szakember a téma körül kialakult hype-ot is károsnak tartja,

az egész AI kérdésre a cégvezetők hajlamosak „innovációs színházként” tekinteni, megmutatni, hogy ők foglalkoznak a kérdéssel, értenek hozzá, alkalmazzák is valamilyen formában, de közben semmilyen AI-stratégiával nem rendelkeznek.

„Ha nincs tudatos stratégia, hogy mire szeretnénk használni az AI-t, hogy hogyan lesz bevezetve, akkor a bukás garantált. Érdemes olyan fájó pontokat keresni a szervezetben, amit nagyon hamar, akár egy chatbot bevezetésével, vagy valamilyen automatizációs AI segítségével orvosolni lehet, eredményt lehet felmutatni, majd fokozatosan kiterjeszteni más munkafolyamatokra. Ez egy hosszú út, amihez alapos tervezés szükséges, és ha az elhatározás megszületett, érdemes tanácsadót is bevonni a folyamatba” – mondta a szakértő, aki szerint bár egy komplex projekt nagyon drága is tud lenni, de egy jól strukturált megoldás, amely azonnal hatást tud gyakorolni a cég életére, meglepően alacsony költségvetéssel is kivitelezhető.

Az AI bevezetésének alapfeltételei

Menedzsmentszinten mindenki álljon bele a projektbe, értse meg, tegye azt magáévá. Ha szkepticizmus van a menedzsmentben a megoldással kapcsolatban, akkor az esetek túlnyomó részében az el is fog bukni.

Az adatstruktúrák, minőségi adatok kritikus fontosságúak, akkor lehet sikeres a bevezetés, hogyha olyan adatokból tud dolgozni a rendszer, amelyek strukturáltak, koherensek és valósak.

Az egész vállalat szintjén fontos a folyamat megértése, mert valójában nem is annyira technológiai kérdés ez, mintsem vállalati kultúráé, ha pedig az alkalmazottak nem együttműködőek, akkor az egész projektet meg tudják torpedózni.

Varga szerint a SERCO új üzletágának sikeréhez a piacon tapasztalható zaj is hozzájárulhat. Rengetegen kínálnak most AI-hoz köthető szolgáltatást, de egy cégnél ennek a döntésnek egy hosszú távú stratégia részeként kell jelen lennie, amihez a vállalat 43 éves tapasztalata nagy hozzáadott értékké tud válni.

„Úgy gondoljuk, hogy nagyon jókor indultunk el ezzel az üzletággal, mert professzionális, kipróbált kapcsolattal rendelkezünk a Lenovoval és az NVIDIA-val, akiket komolyabb use case-ek esetében közvetlenül be tudunk vonni egy projektekbe. Ez olyan érték, ami csak keveseknek elérhető ezen a piacon, ezért azt gondolom, hogy nagyot tudunk robbantani, mert a szaktudásunk, eltökéltségünk, sales kapacitásunk, bizalmi viszonyunk megvan a piacon, és ez egy olyan összeállás, ami nagyon nagy sikerekre adhat lehetőséget” – mondta a szakember, aki hangsúlyozta az AI-stratégia fontosságát.

Véleménye szerint, ha nincsen stratégia és a cégek nem indulnak el ezen az úton, akkor kimaradnak, és nagyon látványos lesz az eredményben, hogy mennyivel tud hatékonyabban, produktívabban működni egy olyan cég, amely valójában jól használja az AI-t. Ugyanez igaz munkavállalói szinten is: nem az AI fogja elvenni a munkát, hanem az a kolléga, vagy az a konkurencia, aki sokkal hatékonyabban tudja használni az AI-t.

A cikk megjelenését a SERCO Informatikai Zrt. támogatta.

Címlapkép forrása: Portfolio