Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.
- Kérdés esetén:
- sales@commit.hu
- +36 20 436-2957
AI és adatbiztonság, mi a helyzet a vállalatirányítási rendszerek esetében?
A mai világban az AI megoldások teljesen felforgatták a minket körülvevő, de az üzleti világot is. Ez a technológia szinte pillanatok alatt vált megkerülhetetlenné, így a vállalatirányítási rendszerekben is szükségszerűen megjelennek az AI lehetőségeket kihasználó funkciók, integrált vagy valamilyen AI modellel kommunikáló megoldások. Így van ez a WinDirect ERP rendszerben is, ahová szintén készültek AI által támogatott lehetőségek.
Az AI modellek, mint a ChatGPT és társai, általában kérdéseket, kéréseket fogadnak és arra adnak vissza valamilyen (helyes vagy kevésbé helyes) választ. Ez azt jelenti, hogy a kérés és annak tartalma felkerülnek az AI modellbe, akár úgy is fogalmazhatunk, hogy annak „tudásának” részévé válnak. Mivel senki sem tudja, hogy ezekkel az AI-hoz került információkkal (amelyek között akár érzékenyek, titkosak, személyes adatok, stb. is lehetnek, sőt idiótább politikusok/közszolgák esetén akár nemzetbiztonsági kockázatúak is) mit kezdenek, hogyan gondoskodnak, hogyan élnek vagy hogyan élnek vissza az azokat üzemeltető cégek, ezért az AI-jal tudatott információk milyensége közel sem részletkérdés. Már jelenleg is komoly perek folynak AI üzemeltető cégek ellen szerzői jogi, adat érzékenységi és egyéb problematikák felvetése miatt.
Ha vállalatirányítási rendszer kommunikál valamilyen AI modellel, ott leginkább két aspektus esetén merülhet fel az adatbiztonság kérdése, amelyekben nagyon fontos tisztán látni az ERP rendszer működtetése során.
1. A kezelő által kérdésként/kérésként megadott, az AI felé továbbított információ érzékenysége.
2. Maga a szoftverrendszer által az AI felé eljuttatott információk érzékenysége, például a rendszer adatstruktúrája, technológiai háttere vagy hogy konkrét adatokat is eljuttat-e az AI felé.
Az első ponttal kapcsolatban a kezelői oldalról nem nagyon van mit tenni. Ha van valamilyen beviteli mező, felület, alkalmazás, ahol a kezelő teljesen szabadon meg tudja adni a kérését, az már csak rajta múlik, milyen kérdést tesz fel, milyen adatot, adatkört kér le az AI-tól az ERP rendszeren keresztül. Azzal lehet valamit kezdeni, hogy már az AI felé továbbítás mechanizmusában ki lehessen szűrni, ki lehessen iktatni az olyan kéréseket, amelyek nem engedélyezettek (titkos, bizalmas adatok, illetéktelen adatlekérések, esetleg káros programok futtatásának megfogalmazása). Vagy pedig az AI lehetőséget eleve csak vezetői szintre, vezetői jogosultsággal érdemes biztosítani, akik várhatóan nagyobb felelősséggel kezelik azt, mint egy „átlag felhasználó”.
Az AI-tól visszakapott válasszal, annak megjelenítésével már több beavatkozási lehetőség van. Itt már jobban lehet elemezni, hogy a visszakapott válasz megfelel-e az elvárt feltételeknek, ellenkező esetben meg se legyen jelenítve. Vagy hibaüzenetet adjon a rendszer. Például ha csak SQL-es adatlekéréseket, információkéréseket szabad kezelni az AI-nak, akkor kizárólag „SELECT” jellegű válaszokat jelenítsen meg a kezelő számára. Bármilyen más, nem „SELECT” jellegű válasz érkezése esetén (ami azt is feltételezheti, hogy a kezelő valamilyen illegális kérést fogalmazott meg) ne jelenjen meg, ne kerüljön futtatásra a válasz.
Mindezek a felhasználói oldalt érintő kérdések, de legalább ennyire fontos a fenti 2. pont is, azaz hogy magában a vállalatirányítási rendszerben hogyan lett megvalósítva az AI kommunikáció, milyen információt vagy adatot kap a rendszerből/rendszerről az AI a működés közben.
Egyszerűen fogalmazva, eltekintve a felhasználói kérésektől, alap esetben az ERP rendszernek semmiféle adatbázisban tárolt ADATOT nem lenne szabad szolgáltatni az AI, mint harmadik fél felé. A szoftverrendszerek szállítóinak erre általában szerződéses titoktartásuk is vonatkozik. Maguk az adatok minden esetben a rendszert használó vállalat tulajdona, így ha azok harmadik fél felé eljutnak, köztük esetleg kényes, bizalmas, üzleti titkot jelentő adatok, az adatbiztonsági szempontból mindenképpen problémás.
Az AI funkcionalitást csakis olyan céllal ajánlott használni egy vállalatirányítási rendszerben, ami nem szolgáltat kifelé adatot, csakis befelé ad olyan információt, javaslatot, figyelmeztetést, stb, ami a vállalat működése, vállalati folyamatok tekintetében releváns. Esetleg ezek a visszakapott információk valamilyen mechanizmust, automatizmust beindítanak a rendszerben. Ha ezekhez az információkhoz valamilyen rendszerből származó adatkör szükséges előfeltételként, annak is az anonimizálása szükséges.
Ha az AI a rendszer, az adatbázis egészéből képes válaszokat, információkat szolgáltatni, ez esetben az AI-jal „tudatni kell” az adatbázis felépítését, szerkezetét. Hogy adott kérdések esetében az AI „tudja”, hogy az adatbázis, adattáblák mely részeiben kell keresni a kérdésnek megfelelő választ. Vagyis ezzel a céllal a szoftverrendszernek, az adatbázisnak bizonyos elemei, felépítése felkerül az AI-ba, de fontos tisztázni, hogy ezek nem maguk a vállalati adatok, csak szerkezetek, struktúrák.
Az AI technológia még mindig sok újdonságot, kihívást, akár jogi precedenst idéz elő, így az AI-jal való „bánásmód” és jogszabályi környezet még a mai napig is folyamatosan formálódik. Az ERP rendszerek esetében is nagy lehetőségeket, komoly funkcionalitást jelent, ha valamilyen AI kapcsolat segíti a működést, de a használatba vétel előtt az ezzel kapcsolatos adatbiztonsági kérdéseket, az AI kapcsolat technikai megvalósításának módját mindenképpen szükséges tisztázni.