Digitális megfelelés – Compliance és kiberbiztonság az AI árnyékában


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Wolters Kluwer Hungary szervezésében 2023. május 10-én tartott webináriumon két fontos területet, a mesterséges intelligenciát és a kiberrezilienciát tekinttették át a megfelelés szemszögéből az előadók – dr. Firniksz Judit, a Pázmány Péter Katolikus Egyetem Versenyjogi Kutató Központjának kutatója, Kocsis-Tóth Szilvia a Vodafone Magyarország mesterséges intelligencia szakértője, valamint dr. Zala Mihály az Ernst&Young kiberbiztonsági szakértője.

A webináriumon mindkét terület közös jellemzőiként határozták meg a szakértők az alábbiakat: 

  • a közösségi jogszabály már folyamatban van, 
  • a digitális piacokon szinte minden szereplőt érint, 
  • compliance szempontból az induló, illetve a tervezés alatt lévő projektek többségénél már most figyelemmel kell lenni ezekre a jövőbeni, de nyilvánvalóan még nem végleges tartalmú elvárásokra; 
  • jelentősen technikai meghatározottságú a szabályrendszer, ezért a megfelelési feladatok nem kis részben abból is állnak, hogy a jogi és technológiai kérdéseket házon belül le kell fordítani és közös nevezőre kell jutni. 

A digitális transzformáció kihívásai 

Dr. Firniksz Judit felvezetőjében megvilágította, hogy a digitális transzformáció – gondoljunk csak egy okostelefon funkciória – olyan eszközöket (például: zseblámpa, térkép, GPS navigátor, bankkártya, jegyzetfüzet, lemezjátszó, számológép), intézményeket (például bankfiók, könyvtár, edzőterem) és tartalmakat (például: könyv, újság) alakít át folyamatosan, amelyek a mindennapi életünkben is jelen vannak. A covid-járvány időszaka pedig katalizátorként erősítette fel a digitális transzformációs folyamatot. 

A technológiai fejlődésnek van egy erős társadalmi hatása is, hiszen mindenhol jelen van, könnyen hozzáférhető, ugyanakkor olyan mély etikai dilemmákat is felvet – kiemelten a mesterséges intelligencia, amelyekre a helyes válasz megfogalmazásával még adósak vagyunk. Ezzel párhuzamosan együtt jár, hogy a széleskörű elfogadás ellenére van bennünk egy kis gyanakvás, amikor azt vizsgáljuk, hogy az egyes technológiák következménye milyen hatást gyakorol az életünkre. 

Az online gazdaságot szabályozási kettősség feszíti. A digitális piacok nagyon gyorsan fejlődnek, ez olyan kettősséget jelent, amelynek a kezelése szabályozói oldalról jelentős nehézségeket okoz. Egyrészről azt látjuk, hogy a digitális gazdaságban megjelenő termékek és szolgáltatások rendkívül dinamikusan változnak, másrészt viszont a digitális gazdaság alapját adó számítástechnikai és technológiai, távközlési-hírközlési infrastruktúra teljesen más fejlődési dinamika mentén működik – hosszútávú gondolkodást, befektetési biztonságot igényel. 

A vállalkozások eligazodásának egyik alapvető problémája és kérdése az, hogy egy megváltozó logika mentén kell tájékozódniuk a digitális szabályozási univerzumban. Az infrastrukturális, fogyasztóvédelmi, platform- és tartalomszabályok, valamint az adatkezelésre, adatgazdaságra, adatbiztonságra, a kiberbiztonságra vonatkozó normák és formálódó tervezetek szinte önálló szabályozási ökoszisztémát alkotva hálózzák be a vállalkozásokat. 

Paradigmaváltás kell: dönteni kell arról, hogy a meglévő rendszereket igyekszünk adaptálni a megváltozott körülményekhez, vagy lecseréljük azokat. A stratégiai meghatározás mögött ott áll a compliance. A digitális compliance fogalmába beletartoznak mindazok a vállalati lépések, amelyek azt célozzák, hogy jogszerűen biztosítsák a megváltozott szabályozási környezethez történő vállalati adaptációt. 

A szakértő felhívta a figyelmet: egy a Dentons által elvégzett felmérés azt mutatta ki, hogy a vállalatok 75 százaléka alkalmaz már mesterséges intelligencián alapuló technológiát, viszont még csak 45 százalékuknak van az arra vonatkozó belső stratégiája, hogy ezt hogyan alkalmazza és hogyan biztosítja a megfelelő biztonságot a rendszerek mögé. 

Kiberreziliencia, kiberbiztonság 

Dr. Zala Mihály kiberbiztonsági szakértő elmondta, hogy az Európai Unió folyamatosan arra törekszik, hogy fokozza a rezilienciát az egyre növekvő kiberfenyegetésekkel szemben. Bevezetőjében utalt arra az az Allianz által végzett “Risk Barométer” elnevezésű kockázatelemzésre, amelynek legfrissebb adatai szerint 2023-ban az üzleti kockázatok első helyén a kiber-kockázat szerepel és ez már évek óta így van.  

Ezt követően felvázolta a kibertámadások anatómiáját, a támadásokhoz vezető okokat, a jellemző kibertámadási formákat és a védekezési lehetőségeket. 

A kibertámadások evolúciója 

A kibertámodások evolúciójáról szólva elmondta, hogy eleinte a kevésbé szofisztikált támadások voltak jellemzőek, ahol még alapvetően nem a pénzügyi indokok voltak döntőek, hanem az volt a lényeg, hogy ha már bele tudnak nyúlni a rendszerbe, miért ne tennék meg. Ezt követően már megjelentek szofisztikáltabb támadások is pénzügyi előnyökért, és jellemzővé váltak a versenytársak egymás ellen megrendelt támadásai is, kialakultak a kiberbűnözői körök, akik anonimitásba burkolózva nem fizetnek adót, de jó pénzért bármilyen támadást elvégeznek. Majd megjelent a cégek egymás elleni kémkedése, a stratégiai tervek, üzleti adatok megszerzése, egymás lejáratása…stb. Gyakorlatilag a szervezett bűnözés olyan szintre épült föl, hogy már tíz éve a kiberbűnözés a legjövedelmezőbb bűnözési fajta a világon. 

Röviden vázolta, hogy a szofisztikált támadások úgy zajlanak, hogy felmérik a rendszereket, majd megpróbálnak behatolni és ha megtalálják az adatbázist, már csak azt kell kitalálni, hogyan fogják az információkat megszerezni – és ez távoli eléréssel nem is olyan problematikus.  

A támadásokhoz vezető okok 

A kibertámadásokhoz vezető okok között említette az IT biztonsági terület problémáit (például a szervezeti hierarchia hibáit, a költségvetés szűkösségét, a szakértői csapatok gyengeségét, a korszerűtlen rendszereket és a belső szabályozók hiányát) és a technológiai hiányosságokat (például az elavult rendszereket, a frissítések hiányát). 

Legjellemzőbb támadási formák 

A legjellemzőbb támadási formák közé sorolta az emberi megtévesztést, a mobil eszközök elleni, valamint a botnetekkel elvégezhető támadásokat (keylogging, email spamming), továbbá azt, amikor ún. a third party alkalmazások vagy szolgáltatók kapnak korlátozott hozzáférést a rendszerekhez. Felhívta a figyelmet arra, hogy 2024. február 1-től indul az AFR 2.0, azaz az azonnali fizetési rendszer, ami már QR-kódra alapul és új támadási formákat is hozhat magával. 

Védekezési lehetőségek 

A megfelelő védekezés kialakításához fontos a külső technológiai kitettségek kontrollálása. Mindig a legrosszabb forgatókönyvre kell számítani, ezért javasolt a biztonsági rések haladéktalan feltárása és javítása a szervezet internet irányból elérhető eszközein és határvédelmi rendszerein, akár külső szolgáltató igénybevételével. Kiemelte az úgynevezett harmadik feles vagy ellátási lánchoz köthető kockázatok kezelését is, példaként említve a beszállítók ellenőrzését. Nagyon lényeges, hogy a vállalatok projektjein legyen minőségbiztosítás, legyenek biztonsági vizsgálatok és auditálják a rendszereiket. 

Mesterséges intelligencia a szervezetek felé támasztott elvárások tükrében 

Kocsis-Tóth Szilvia mesterséges intelligencia megoldások bevezetésért felelős vezetőként előadásában a szervezetek oldaláról mutatta be azt, hogy milyen elvárásoknak kell megfelelni egy felelős és fenntartható MI-felhasználás kapcsán.  

Az állandósult turbulens piaci környezetben és gyorsuló technológiai fejlődésben versenyelőny nincsen, a versenyparitás fenntartása lett a fenntartható gazdasági működés állandó feltétele.  

A szakértő elmondta, hogy az MI technológiákkal kapcsolatban túlzóak az elvárások az optimalizált termelési ciklusok növekvő ígéreteivel, valamint növekvő eredmények és csökkenő fejlesztési idő mentén. Az MI technológia fejlődése paradigmaváltásokban mérhető, ugyanis egyes technológia-ágak szekvenciálisan nem továbbfejleszthetőek az adott üzleti felhasználás vonatkozásában, csupán teljes „rendszercsere” mentén.  

Nem elhanyagolható a humán tőke befektetés, ugyanis a mesterséges intelligencia megoldások a legtöbb esetben nem kész, úgynevezett „dobozos” szoftvertermékek. Inkább technológiai komponensek és eszközök rendszere, melyet adott üzleti felhasználásra kell alakítani, valamint üzemben tartani a megfelelő minőségi és megbízhatósági szintek fenntartásához. Ehhez új szakértői tudás honosítására van szükség, ezáltal a “mobilis” humán tőkébe való befektetés szintén paradigma, hiszen enélkül nem is lehetséges a rövid- és középtávú implementáció. 

A kialakulóban lévő jogi és szabályozási keretrendszer mellett, kiemelten fontos a fogyasztói elvárások megismerése, nyomon követése és a legszélesebb körben való megfelelésre törekvés. A fogyasztói igényekhez és képességekhez igazított biztonságos és transzparens szolgáltatási környezet kialakítása a virtuális térben egyre nagyobb szerepet kap. 

A felelős és fenntartható MI-alkalmazások előmozdításában a szakértő szervezeten belül fontosnak nevezte az önszabályozást. Megfelelő és kellőképpen rugalmas belső irányítási intézkedések és sztenderdek bevezetését javasolta, beleértve az adatvédelmi protokollokat, a rendszerbiztonsági politikákat, fejlesztési módszertanokat és irányítási-fejlesztési folyamatok kialakítását. 

Döntő jelentőségűnek nevezte az MI-akkreditált és kompetens szakértők fejlesztését, valamint az ehhez kapcsolódó autonóm szerepek kijelölését a szervezeten belül. A hatékony működéshez szükséges eszközrendszer biztosítását, például az új fejlesztési módszertanokhoz illeszkedő digitális alkalmazások létrehozását. Progresszív szervezetfejlesztési célként emelte ki a pszichológiai tőke (énhatékonyság, remény, reális optimizmus, rezíliencia) előtérbe helyezését és fontosságának erősítését a szervezetben, amely a humán erőforrások védelmét, és ezáltal a fenntarthatóságot szolgálja. 

Dr. Firniksz Judit zárszóként úgy összegezte az elhangzottakat, hogy a jogi, az innovációs, és a kiberbiztonsági szakemberek tudnak közös nyelvet és közös megértést kialakítani. A vállalatoknál a stratégiaalkotás legkorábbi fázisában indokolt és érdemes ezt a párbeszédet lefolytatni, hiszen a cégek hosszútávú versenyképességi helytállását egy ilyen minden területet lefedő compliance-jellegű diskurzus tudja biztosítani. 

A webinárium felvételről ingyenes regisztrációval itt elérhető.


A digitális megfelelésről szóló cikksorozatunkban megjelent írások Mit értünk digitális compliance alatt? valamint Eljárási kisokos: a digitális magatartások és a tisztességtelen kereskedelmi gyakorlatok kapcsán lefolytatott eljárások alaptípusai továbbá A bejelentési rendszerek helye a hatékony kockázatkezelésben – gondolatok a Wish-döntés margójára alcímmel olvashatók.


A cikk Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó linket tartalmaz. A Jogászvilág kiadója a Wolters Kluwer Hungary Kft.




Kapcsolódó cikkek

2023. február 15.

Digitális megfelelés: A jövő elkezdődött – I. rész Mit értünk digitális compliance alatt?

Cikksorozatunk első részében arra a kérdésre keressük a választ, mit értünk digitális megfelelés alatt. Ezáltal gyakorlati megközelítési pontokat kívánunk adni ahhoz, hogyan lehet megragadni a digitális transzformáció lényegét megfelelési szempontból. Ehhez kiindulásként meg kell határoznunk a digitális megfeleléssel érintett szabályozási kört, és láthatjuk, hogy ez nem is olyan egyszerű, mint elsőre gondolnánk.