Nem technológiai, hanem kormányzási válságot hozott a mesterséges intelligencia, Európa legnagyobb sebezhetősége pedig a drasztikus szakemberhiány – hangzott el az ISACA és az NKE közös nemzetközi kiberbiztonsági konferenciájának plenáris előadásán. A Ludovika Campuson megrendezett nemzetközi platform legfontosabb tanulsága: a digitális bizalom ma már egy auditálandó termék, az MI esetében pedig a tiltás helyett a kontrollált környezet a megoldás.
A nemzetközi informatikai kockázatkezeléssel, kiberbiztonsággal és digitális bizalommal foglalkozó szakmai szervezet, az ISACA Budapesti Egyesülete megrendezte éves nagyszabású konferenciáját a Nemzeti Közszolgálati Egyetemmel együttműködésben június 2-án, az NKE Ludovika Campusán. Az egész napos nemzetközi tudományos tanácskozás központi témái a mesterséges intelligencia kiberbiztonsági, szabályozási és üzleti vonatkozásai voltak, fókuszban a NIS2 irányelv gyakorlati megvalósításával.
Gustavo Frega, az ISACA stratégiai és üzleti fejlesztési menedzsere nyitóelőadásában arról szólt, hogy az MI irányítása és a bizalom építése nem csupán egy hangzatos mottó, hanem a kiberbiztonsági szakma jelenlegi munkaköri leírásának alapja. Az előadó felhívta a figyelmet arra az ellentmondásra, hogy bár soha nem volt még ennyi szabályozás és MI-eszköz, a biztonsági incidensek száma folyamatosan nő. Rámutatott, hogy az Európai Unióban több mint 160 ezer szervezet tartozik a NIS2 hatálya alá, 55 százalékuk azonban létszámhiánnyal küzd a kiberbiztonsági csapatok terén, és mindössze 41 százalékuk bízik abban, hogy rendelkeznek a fenyegetések kezeléséhez szükséges képességekkel. Ez Gustavo Frega szerint nem technológiai, hanem kormányzási probléma.
Az elöregedő kiberhadtest és a vakfoltok
Az MI térnyerése a szakember szerint egyfajta kormányzási válságot idézett elő, amely négy fő területen jelentkezik: a támadások felgyorsulása (például ipari méretű adathalászat és kifinomult deepfake-ek), az irányítási vakfoltok (az MI-t gyorsabban vezetik be, mint ahogy szabályozni tudnák), a készségek elavulása, valamint a szabályozási késleltetés. Gustavo Frega külön kiemelte, hogy a jelenlegi oktatási keretrendszerek nem képesek lekövetni az MI okozta változásokat, így még a nemrég végzett szakemberek tudása is hamar elavulhat.
Európát a szabályalkotás „világbajnokának” nevezte, utalva a NIS2-re és az AI Act-re, amely utóbbi a GDPR-nál is magasabb büntetési tételeket irányoz elő. Rámutatott ugyanakkor egy kritikus hiányosságra: míg az Egyesült Államokban léteznek egységes tanúsítási mechanizmusok (mint a CMMC), addig Európa 27 tagállama között nincs közös rendszer, csak nemzeti szintű kivételek, mint például a spanyol ENS. A megoldást Gustavo Frega a már létező keretrendszerekben (például COBIT, CMMI, ISO 42001) látja, amelyek hidat képeznek a szabályok és a gyakorlati megvalósítás között.
A bizalom nem érzés, hanem „leszállítandó termék”
Az előadás központi témája a digitális bizalom volt, amely három pilléren nyugszik: a rendszerek minőségén és integritásán, az átláthatóságon és etikán, valamint a felelősségre vonhatóságon. Gustavo Frega szerint a bizalom nem egy érzés, hanem egy „leszállítandó termék”, amely a látható kormányzás és az igazolt kompetenciák eredménye. Figyelmeztetett azonban, hogy Európa legnagyobb sebezhetősége a szakemberhiány: az ENISA jelentése szerint 300 ezer kiberbiztonsági szakember hiányzik a piacról. Ezt tovább súlyosbítja a munkaerő elöregedése – a szakemberek mindössze 8 százaléka fiatalabb 35 évnél –, valamint az, hogy a munkáltatók által finanszírozott képzési támogatások mértéke jelentősen visszaesett az elmúlt évben.
Gustavo Frega kiemelte, hogy a diploma önmagában nem jelent készenlétet; a valós készségeket és a „harckészültséget” a tanúsítványok igazolják. Véleménye szerint Európa nem a szabályozással, hanem az emberekkel fogja megnyerni a kiberbiztonsági kihívást, és azok a nemzetek és szervezetek werden sikeresek, amelyek befektetnek a minősített tehetségekbe. Az MI irányítása kötelező érvényű feladat, a bizalom pedig annak az eredménye, amely végső soron a szakembereken múlik.
Döntéstámogatás felsőfokon
A plenáris előadást követően Az AI lehetőségei és kockázatai címmel rendeztek nemzetközi kerekasztal-beszélgetést, amelyen Biró Gabriella (Magyarország) moderálása mellett Tonci Kaleb (Horvátország), Marián Illovský (Szlovákia), Milica Krajšić Pecelj (Szerbia) és Gustavo Frega (globális képviseletben) vitatták meg a mesterséges intelligencia jelenlegi helyzetét. A szakértők egyetértettek abban, hogy az AI legnagyobb pozitívuma a hatékonyabb döntéshozatalban rejlik, mivel a technológia képes hatalmas adatmennyiséget feldolgozni és átlátni. Gustavo Frega kiemelte az automatizációt és a sebességet, valamint az új munkalehetőségek és az adatelemzői szerepkörök felértékelődését. Tonci Kaleb konkrét példaként említette a Horvátországban induló önvezető robo-taxi projektet, mint az AI egyik látványos európai alkalmazását.
A beszélgetés során ugyanakkor hangsúlyos szerepet kaptak a kockázatok is. Marián Illovský figyelmeztetett, hogy a rossz minőségű adatok tönkretehetk a vállalati kormányzást, ezért az adatminőség biztosítása kritikus feltétele az MI használatának. A szakértők szerint az MI-t nem szabad elszigetelt technológiaként kezelni; bevezetése nem csupán az IT-részleg, hanem a teljes szervezet stratégiai döntése kell, hogy legyen. Bár az AI-t gyorsabbá és erősebbé teszi a felhasználót, hangsúlyozták, hogy csak akkor hasznos, ha tudjuk, hogyan kell élni vele.
Új szabályok helyett adaptáció és digitális homokozó
A szabályozás és irányítás (governance) kapcsán elhangzott, hogy nincs szükség teljesen új keretrendszerekre; a már meglévő standardokat – mint a COBIT vagy az ISO 27001 – kell adaptálni és továbbfejleszteni az AI nemdeterminisztikus jellegéhez és gyors fejlődéséhez. Tonci Kaleb felhívta a figyelmet az EU AI Act fontosságára, valamint az ISACA új képzéseire és eszköztárára, amelyek segíthetnek a megfelelőségben.
A szakértők a továbbképzést és a tudatosság növelését nevezték meg a siker kulcsaként. Gustavo Frega szerint a képzésnek minden részlegre ki kell terjednie, és a monoton, „következő-következő” típusú kötelező oktatások helyett gyakorlatiasabb megközelítésre van szükség. Marián Illovský hozzátette, hogy a munkavállalók személyes adatbiztonsági tudatossága szorosan összefügg a vállalati adatok védelmével: ha valaki megtanulja, miért veszélyes a saját egészségügyi vagy pénzügyi adatait megosztani egy nyilvános MI-vel, azt a tudást a munkahelyén is alkalmazni fogja. Hozzátette, hogy érdemesebb olyan megbízható szolgáltatók eszközeit használni, amelyeknél a szervezet adatai már egyébként is jelen vannak, ahelyett, hogy ismeretlen, új platformokra regisztrálnának.
A beszélgetés résztvevői szerint a mesterséges intelligencia vállalati integrációjában a tiltás helyett a kontrollált használat és a tudatosság a legfontosabb. Javaslatuk szerint a cégeknek „sandbox” (homokozó) környezetet vagy vállalati szintű licenceket kell biztosítaniuk a munkatársaknak, hogy elkerüljék a kontrollálatlan „shadow IT” kialakulását. Ez a jelenség – az informatikai osztály tudta nélkül használt eszközök – már az Excel-makrók korszakában is jelen volt, mivel a felhasználók a gyorsabb megoldásokat keresték a hivatalos folyamatokkal szemben.
Árnyék-informatika és a jövőbeli gazdasági függőség
A biztonságos működéshez elengedhetetlen egy világos használati szabályzat kialakítása, valamint a munkatársak folyamatos oktatása. Az MI-stratégiát közvetlenül az üzleti igényekhez kell igazítani: a szakértők azt javasolják, hogy az IT-vezetők az üzleti döntéshozókkal (példákul a pénzügyi igazgatóval) közösen keressék meg a céljaiknak leginkább megfelelő specifikus eszközöket. Fontos hangsúlyozni, hogy nem elég csupán bevezetni a technológiát, hanem mérni és auditálni is kell annak hatékonyságát és a felhasználás célját.
A beszélgetés során a szakértők több kritikus kockázatra is felhívták a figyelmet. A legjelentősebb veszélyek közé tartozik az adatbiztonság hiánya (amikor a cégek nem tudják, milyen adatokat küldenek ki az MI-nek), az MI-adatokba vetett túlzott bizalom, valamint az emberi munkaerő elhamarkodott helyettesítése. Emellett figyelmeztettek a jövőbeli gazdasági függőségre is, mivel a jelenlegi alacsony előfizetési díjak valószínűleg csak átmenetiek, és a technológiától való függővé válás utáni áremelések komoly terhet jelenthetnek. Zárógondolatként elhangzott, hogy minden új technológia a kezdeti visszaéléseken és hibákon keresztül fejlődik, így a jelenlegi időszak a tanulásról és a biztonsági mechanizmusok kialakításáról szól.
Nyitókép forrása: depositphotos.com
