Világszerte egyre több szervezet vezeti be az AI-t, mert felismerik a benne rejlő lehetőségeket, a széles körű alkalmazás azonban új kiberbiztonsági kihívásokat is teremt. Ugyanazok az AI-képességek, amelyek jelentős üzleti előnyt biztosítanak, új sebezhetőségeket is létrehozhatnak, emellett növelik a kibertámadások sebességét és káros hatását is.

A legégetőbb, AI-hoz kapcsolódó kockázatok jelentős része a szervezeteken belülről ered. Ilyen például a „shadow AI”, az engedély nélkül bevezetett AI-alapú megoldások, ezek súlyos biztonsági, irányítási és átláthatósági kockázatokat okozhatnak. Hasonló kihívást jelenthetnek az érzékeny adatokkal interakcióba lépő autonóm döntéshozatali rendszerek, amik adatvesztéshez, a modellek manipulációjához vagy jogosulatlan hozzáférésekhez vezethetnek, ezért kiemelten fontos a proaktív kockázatkezelés.

A Deloitte Tech Trends 2026 tanulmányban négy olyan kulcsterületet azonosítanak, ahol az AI-hoz kapcsolódó biztonsági kockázatok megjelennek: az adatok, az AI-modellek, az alkalmazások és az infrastruktúra szintjén. Míg a fenyegetések köre folyamatosan bővül, a reaktív védekezésre egyre kevesebb idő áll rendelkezésre. Ezért a hagyományos kiberbiztonsági gyakorlatokat jelentősen módosítani kell ahhoz, hogy hatékonyan kezelni lehessen ezeket az AI-specifikus kihívásokat.

„Igaz, hogy az AI új támadási felületeket hoz létre, és felgyorsítja a fenyegetések megjelenését is, de számos alapvető kiberbiztonsági elv továbbra is kulcsfontosságú marad. A feladatunk, hogy az olyan bevált gyakorlatokat, mint a biztonságos szoftverfejlesztési folyamatok vagy a szigorú hozzáféréskezelés az AI-rendszerek sajátos követelményeihez igazítsuk. Így biztosítható, hogy az innováció fejlődési üteme mögött ne maradjon le a biztonság sem” – mondta Szöllősi Zoltán, a Deloitte Kiberbiztonsági Tanácsadási csapatának közép-európai partnere.

Az AI szerepe a fejlett kibervédelemben 

Bár a mesterséges intelligencia új kockázatokat hoz létre, a védekezésben is jelentős lehetőségeket kínál. Az AI-alapú kiberbiztonsági megoldások képesek gépi sebességgel működni és valós időben alkalmazkodni az új fenyegetésekhez.

Ezek a rendszerek olyan mintázatokat is felismerhetnek, amelyeket az emberi elemzők nehezebben vesznek észre. Segíthetnek a teljes digitális infrastruktúra monitorozásában. Emellett felgyorsíthatják a fenyegetésekre adott válaszokat, előre jelezhetik a támadók lépéseit, és automatizálhatják az ismétlődő feladatokat.

Az élenjáró szervezetek már AI-natív védekezési stratégiákat is alkalmaznak. Ilyen például a „red teaming”, amely során szimulált támadásokkal és stressztesztekkel vizsgálják az AI-rendszerek sebezhetőségeit. Így még azelőtt azonosíthatók a gyenge pontok, hogy azokat rosszindulatú szereplők kihasználnák. Emellett a szándékos megtévesztést, az úgynevezett szimulált ellenséges (adversarial) támadást használják arra, hogy a modellek felismerjék és kivédjék a manipulációs kísérleteket. Ez növeli a rendszerek ellenálló képességét a kifinomult támadásokkal szemben.

Az AI-hoz kapcsolódó irányítási, kockázatkezelési és megfelelőségi (governance, risk, compliance) keretrendszerek szintén gyorsan fejlődnek. Ez különösen igaz a szabályozott iparágakban, például a pénzügyi szektorban. Egyre gyakoribb, hogy az AI-felügyelet a vállalatok audit bizottságainak hatáskörébe kerül. Ezek a testületek rendszeresen értékelik az AI-hoz kapcsolódó tevékenységeket. Az autonóm rendszerek terjedésével az AI-ügynökök irányítása, a dinamikus jogosultságkezelés és a teljes életciklus-menedzsment is kulcsfontosságúvá válik.

„Az AI jelentősen növelheti a kiberbiztonsági védekezés hatékonyságát. Automatizálja az ismétlődő feladatokat, felismeri a rejtett támadási mintákat, és felgyorsítja a reakcióidőt. Ennek köszönhetően a kiberbiztonsági csapatok gyorsabban és megalapozottabban hozhatnak döntéseket, ami alapjaiban alakítja át a kockázatkezelést” – összegezte Szöllősi Zoltán.

A jövő kiberbiztonsága: új technológiai határterületek 

Több új trend is alakíthatja a kiberbiztonságot a jövőben. Ilyen például az AI és a fizikai infrastruktúra egyre szorosabb összekapcsolódása, az autonóm kiberhadviselés megjelenése, valamint az űr- és kvantumbiztonság új kihívásai. Ezek a fejlemények alapjaiban formálhatják a védekezési stratégiákat. Az ezekre való felkészüléshez már ma szükség van rugalmas technológiai architektúrákra és erős irányítási keretrendszerekre.

A jövőben azok a szervezetek lehetnek sikeresek, amelyek rétegzett stratégiai védekezési modellt alakítanak ki. Fontos az is, hogy a biztonság már az AI-kezdeményezések tervezési szakaszában megjelenjen. Azok a vállalatok, amelyek képesek egyensúlyt teremteni az innováció és a biztonság között, nemcsak eszközeiket védhetik meg, hanem versenyelőnyt is szerezhetnek az egyre inkább AI-vezérelt gazdaságban.

A kiberbiztonság és a mesterséges intelligencia kapcsolatáról, valamint további technológiai trendekről szóló elemzés itt elérhető.

 A szabvány különlegességét adja, hogy megalkotására azzal a nem titkolt céllal került sor, hogy a GDPR 42. cikke szerinti tanúsítvány létrehozásnak alapja legyen. Kialakítását egy adatvédelmi szakértőkből, adatvédelmi hatóságokból, információbiztonsági szakértőkből és iparági képviselőkből álló bizottság alakította ki, amely elősegítette, hogy a PIMS szabvány nem csupán a GDPR-on, de számos tagállami adatvédelmi jogszabályok ismeretén és információbiztonsági jó gyakorlatokon és sztenderdeken alapuljon.

„A PIMS tanúsítvány egyértelmű út a GDPR szerinti tanúsítási mechanizmusig, amely igazolni tudja mind az ügyfelek, mind a munkavállalók és egyéb harmadik személyek felé, hogy a tanúsítvánnyal rendelkező társaság a GDPR követelményeinek megfelelően működik. Érdemes tehát a PIMS tanúsítvány megszerzésére mielőbb felkészülni, mely éppúgy jelenthet védelmet, mint üzleti előnyt is a személyes adatokat kezelő vállalkozásoknak” – mondta Dr. Bánczi Lea, a Deloitte Legal ügyvédje.

A szabvány az ISO/IEC 27001 Információbiztonsági Irányítási Rendszer szabvánnyal már rendelkező vállalatok számára érhető el, a szükséges tanúsítási folyamatot követően. Olyan kézzelfogható gyakorlati iránymutatásokat, követelményeket és intézkedéseket fogalmaz meg, amelyek biztosításával elősegíthető egy gyakorlati szinten működő GDPR-nak megfelelő adatvédelmi rendszer kialakítása. Ez köszönhető annak is, hogy a GDPR alapelvi keretrendszerét konkrét kontrollokra és megoldásokra fordítja le. Ez a megoldás segíti a csoportszintű vállalkozásokat is abban, hogy egy globális adatvédelmi keretrendszert alakítsanak ki, helyi lokális szabályoknak való megfeleltetési lehetőséggel.

„Az ISO/IEC 27701 folyamatokat határoz meg és útmutatót ad a személyazonosító adatok védelmére. Mivel ez egy irányítási rendszer, meghatározza az adatvédelem folyamatos fejlesztésének folyamatait, amely különösen fontos egy olyan világban, ahol a technológiai fejlődés nem áll meg.” – mondta dr. Andreas Wolf, a szabványt kidolgozó ISO/IEC bizottság elnöke.

A szabvány további célja, hogy informatikai oldalról is iránymutatást adjon a szükséges technikai intézkedések bevezetésére. Az információbiztonságot magában foglaló fejezetek alapvetően az ISO 27001 „A” mellékletében definiált és az ISO 27002-ben kifejtett kontrollokból építkeznek, azonban azok alkalmazásán túl, további követelményeket fogalmaz meg.

„Az eddigi tapasztalataink azt mutatják, hogy számos technikai és megvalósíthatósági probléma merül fel az adatbiztonsági kontrollok technológiai bevezetése és működtetése során, pl. az adatok transzparens osztályozása, informatikai rendszerek jogosultságkezelése, a személyes adatokat tároló rendszerek naplózása és naplóelemzése, az adatszivárgás figyelése, vagy akár a tényleges adattörlési képesség megvalósítása. Véleményünk szerint a szabványt implementáló és a tanúsítványt megszerezni szándékozó szervezetek immáron ismerős struktúrában, egy tematikailag rendszerezett keretrendszer alapján lesznek képesek a technikai kontrollok kialakítására és bevezetésére a szabvány segítségével” – mondta Szöllősi Zoltán, a Deloitte információbiztonsági szakértője.

A Deloitte MeetingRequest podcast sorozatának vendége Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke volt, aki Szöllősi Zoltánnal, a Deloitte kockázati tanácsadási üzletágának technológiai szakértőjével és dr. Majoros Gáborral, a Deloitte Legal ügyvédi iroda adatvédelemi és technológiai jogi szolgáltatásokért felelős ügyvédjével (nyitó képünkön) beszélgetett. A szakértők a közös európai adatvédelmi szabályozás elmúlt évének tapasztalatait, hatásait és a jövőbeni kérdéseit vitatták meg.

A Deloitte két tanulmányt is publikált ebben a témában: egy regionális jelentést és egy globális kitekintést a GDPR első hat hónapjáról. A tanulmányokban megvizsgálták azokat a területeket, amelyek leginkább problémát okoztak adatkezelési szempontból, illetve azokat a joggyakorlatokat, amelyek segítették az egyes országokban a piaci szereplőket. A felmérés kiterjedt a felügyeleti hatóságok kapcsolódó gyakorlatára és a szektorális kezdeményezésekre is.

„Az európai gyakorlatban hosszabb távon arra lehet számítani, hogy a kiszabott bírságok szintje közelíteni fog egymáshoz. Ennek összehangolása időigényes lesz, főleg, hogy minden tagországnak saját bírságolási gyakorlata van, azonban nem tartható fenn az a gyakorlat, hogy egy bizonyos jogsértésért ne ugyanaz a mértékű bírság kerüljön kiszabásra az Európai Unión belül mindenhol. Először olyan mérvadó ügyeknél várható egységes bírságolási gyakorlat, ahol az egyablakos ügyintézés keretében szankcionálnak. Ezeknél a kiszabott bírság összege is szavazással dől majd el” – mondta Péterfalvi Attila, a NAIH elnöke.

„A GDPR szabályozás egyik kritikus technológiai pontja, hogy az adatkezelők megfelelő technikai kontrollokat vezessenek be, a jogosultságkezelés, tevékenységnaplózás és adatszivárgás területén. Ezenkívül az eddigi tapasztalatok alapján nem került a piaci szereplők fókuszába a cookie-k kezelése, amelyek a végfelhasználó készülékére települnek, lehetővé téve ezáltal az adatgyűjtést és adattovábbítást a felhasználói szokásokról” – mondta Szöllősi Zoltán, a Deloitte kockázati tanácsadási üzletágának technológiai szakértője.

A GDPR bevezetése óta számos hazai jogszabályváltozás, harmonizációs törvénymódosítás történt, amelyekre nagy szükség volt. Ilyen például a Munka Törvénykönyvének módosítása, amelybe több olyan terület is bekerült, ami megkönnyíti a munkáltatók adatvédelemmel kapcsolatos megfelelését. Ilyen például a biometrikus adatkezelés szabályozása, a bűnügyi személyes adatok kezelése, az erkölcsi bizonyítvány kérése és kezelése, illetve a munkáltatói ellenőrzés információtechnológiai eszközök alkalmazásával. „Az e-mail fiókok adatellenőrzése problémás szokott lenni, mivel nagy hiányosság, hogy ez nem jogszerűen történik abban az esetben, ha nem valósul meg előzetes és kifejezett tájékoztatás a munkavállaló felé, ahogy ezt a törvénymódosítás is egyértelműen rögzíti” – mondta dr. Majoros Gábor, a Deloitte Legal ügyvédi iroda adatvédelemi és technológiai szolgáltatásokért felelős ügyvédje.

A privacy by design vagy privacy by default kérdéskörét is körbejárták a szakértők. Elhangzott, hogy fontos különbség van az adatok anonimizálása és törlése között. „Egy törlési kérelemnél mindenképpen meg kell vizsgálni, hogy ténylegesen megvan-e a lehetőség az adatok törlésére. Az egész adatkezelést eleve úgy kell felépíteni, hogy a törlésre lehetőség legyen. Az adatvédelmi hatóság nem fogja elfogadni azt, hogy egy törlés nem valósítható meg, hiszen az adatkezelés megtervezésekor a rendszert ennek megfelelően kell megtervezni. A közeljövőben várhatók olyan adatvédelmi hatósági határozatok, ahol a hatóság bírságolni fog, mert a szükséges törlést nem hajtották végre” – mondta Péterfalvi Attila.

Annak ellenére, hogy Európa gazdasági dominanciája csökkent, a GDPR szabályozás nem csupán egy „európai játszóteret” hozott létre, hanem globális hatással bír. Az Egyesült Államokban, Dél-Amerikában és Ázsiában egyre fokozottabb szabályozási tendenciák indultak el, melyek az adatkezelési szabályok harmonizálását célozzák, hogy azok illeszkedjenek az európai szabályozáshoz és az európai piacra is megfelelő válaszokat tudjanak adni.

A beszélgetést itt tudja meghallgatni.