Mesterséges intelligencia és kiberbiztonság
Végh József Egy AI irányítási rendszer könnyen papíron marad, ha a szervezet csak szabályokat ír, de nem biztosítja a betartásukhoz szükséges tudást, időt és eszközöket. Ilyenkor a munkatársak látszólag követik az előírásokat, de nem feltétlenül tudják, mikor kell kockázatot jelezni, mikor szükséges emberi felülvizsgálat, vagy milyen bizonyítékot kell megőrizni egy döntési helyzetben. A felelős AI-irányítás ezért nem … Olvass tovább
Egy új AI-alapú eszköz bevezetése ritkán csak technológiai kérdés. A munkatársak nem pusztán azt mérlegelik, hogy az új rendszer gyorsabbá vagy kényelmesebbé teszi-e a munkát, hanem azt is, hogy figyeli-e őket, átvesz-e tőlük döntéseket, rontja-e a szakmai autonómiájukat, vagy igazságtalan következményekhez vezethet-e. Az AI irányítási rendszer akkor működik jól, ha ezeket az aggályokat nem zavaró … Olvass tovább
Egy AI-eszköz bevezetése nem ott kezdődik, hogy a szervezet kiválaszt egy modellt, és nem ott ér véget, hogy a rendszer éles környezetben működni kezd. A valódi kockázatok gyakran csak használat közben jelennek meg: változik az adat, módosul az üzleti folyamat, új felhasználói szokások alakulnak ki, vagy a rendszer kimenetei más döntésekre kezdenek hatni, mint amire … Olvass tovább
Egy AI-eszköz bevezetése ritkán ott bukik meg, hogy a modell egyáltalán nem működik. A gyakoribb probléma az, hogy működik ugyan, de nem világos, ki engedélyezte, milyen adatokkal tesztelték, ki figyeli a hibáit, és mi történik, ha a használati környezet megváltozik. Az AI-rendszerek irányítása ezért nem egyszeri jóváhagyási pont, hanem teljes életcikluson át fenntartott szervezeti működés. … Olvass tovább
Egy AI-rendszer kockázata sokszor nem magában a modellben kezdődik, hanem abban az adatfolyamban, amelyből a rendszer tanul, amelyre működés közben támaszkodik, és amelyet később naplóként, visszajelzésként vagy bizonyítékként megőriz. Ha nem világos, honnan származik az adat, mire használható, ki férhet hozzá, meddig őrizhető meg, és milyen minőségi korlátai vannak, akkor az AI-irányítás már az alapoknál … Olvass tovább
Egy AI-modell módosítása első látásra technikai feladatnak tűnhet: új adat, új paraméter, új teszteredmény, jobb pontosság. A szervezeti kockázat azonban gyakran éppen ott keletkezik, ahol a változtatás túl rutinszerűvé válik, és senki nem kérdezi meg, hogy az új modell ugyanarra alkalmas-e, ugyanazokra az érintettekre hat-e, és ugyanazokkal a kontrollokkal működtethető-e. Az AI irányítási rendszerben a … Olvass tovább
Egy szervezet könnyen érezheti úgy, hogy a kockázat jelentős részét kiszervezte, amikor nem maga fejleszt AI-modellt, hanem kész felhőszolgáltatást, generatív AI-eszközt vagy szoftverbe épített AI-funkciót használ. A valóság ennél kényelmetlenebb: az üzleti döntés, az adathasználat, az ügyfélhatás és a megfelelőségi felelősség továbbra is a szervezet működésében jelenik meg. A külső AI-szolgáltatás nem egyszerű beszerzési tétel. … Olvass tovább
Egy AI-rendszer bevezetése után könnyű azt hinni, hogy a legnehezebb rész lezárult. A valóságban ekkor kezdődik az a szakasz, ahol a szervezetnek folyamatosan bizonyítania kell: az AI nemcsak működik, hanem kontrolláltan, kockázattudatosan és tanulásra képes irányítási rendben működik. A monitoring, mérés és elemzés az AI irányítási rendszer egyik legfontosabb teljesítményértékelési területe. Nem csupán technikai mutatókról … Olvass tovább
Egy AI irányítási rendszer akkor válik valóban működő irányítási rendszerré, amikor már nemcsak szabályok, felelősségek és dokumentumok léteznek, hanem ezek tényleges működése is ellenőrizhető. A belső audit ebben a helyzetben nem adminisztratív formaság, hanem annak vizsgálata, hogy a szervezet képes-e az AI-kockázatokat felismerni, kezelni, nyomon követni és fejleszteni. Az ISO/IEC 42001 alapú AIMS belső auditja … Olvass tovább
Egy belső audit akkor válik igazán próbára tett szakmai helyzetté, amikor nem elég megkérdezni, hogy „van-e szabályzat”. AI-rendszereknél azt is látni kell, hogy a szabályok hogyan jelennek meg a tényleges használatban, a döntési gyakorlatban, a naplókban, a tesztekben, az incidensekben és a felelősségi nyomvonalban. Az ISO/IEC 42001 alapú AI irányítási rendszerben a bizonyítékgyűjtés nem puszta … Olvass tovább
Egy AI-alapú üzleti alkalmazás első ránézésre gyakran csak egy új funkciónak tűnik: gyorsabban rangsorol, pontosabban jelez előre, összefoglal egy dokumentumot, vagy választ ad egy ügyfélkérdésre. A szervezeti kockázat azonban nem ott kezdődik, hogy a megoldás látványosan „intelligensnek” tűnik, hanem ott, hogy a kimenetére emberek, folyamatok és döntések kezdenek támaszkodni. Ezért a gépi tanulás, a mélytanulás … Olvass tovább
Egy szervezetben a mesterséges intelligencia ritkán ott válik valódi kérdéssé, ahol először beszereznek egy új eszközt. A döntő pillanat inkább akkor érkezik el, amikor az AI kimenete már emberek munkáját, ügyfélélményt, üzleti döntést, megfelelőségi kockázatot vagy információbiztonsági helyzetet befolyásol. Ezért az AI irányítási szempontból nem egyszerűen technológiai címke. Egy vállalati, közintézményi vagy szolgáltatói környezetben azt … Olvass tovább
A modern titkosítás legfontosabb elemei közé tartozik az egyirányú függvény fogalma. Ez olyan matematikai művelet, amelyet könnyű végrehajtani, de visszafelé – vagyis az eredeti bemenet kinyerése – gyakorlatilag lehetetlen, ha nem ismerjük a kulcsot. A kódalapú kriptográfiában a szindrómakódolás éppen ezt a szerepet tölti be: gyorsan kiszámítható, de visszafejteni csak a megfelelő dekóderrel lehet. Mi … Olvass tovább
A McEliece-kriptoszisztéma lényege, hogy egy hibajavító kódot használunk nyilvános kulcsnak álcázva. Ez a kód belül jól strukturált – például egy Goppa-kód –, de kívülről véletlenszerűnek tűnik. A felhasználó olyan transzformációkat alkalmaz a kódrendszer generátormátrixán, amelyek elrejtik annak valódi szerkezetét. A támadó nem lát mást, csak egy véletlenszerű mátrixot – és ez teszi a visszafejtést gyakorlatilag … Olvass tovább
A kódalapú kriptográfia nem újkeletű ötlet. Már 1978-ban, a kvantumkorszak árnyéka nélkül, Robert McEliece bemutatott egy olyan nyilvános kulcsú titkosítási rendszert, amely hibajavító kódokon alapult. Azóta több évtized telt el, de a rendszer alapját képező matematikai problémát – a generikus szindrómadekódolást – sem klasszikus, sem kvantum algoritmusokkal nem sikerült hatékonyan megoldani. Mi az a hibajavító … Olvass tovább
A kvantumfenyegetés láthatatlan, de halad – a felkészülés nem halogatható Sokan azt gondolják, hogy majd akkor érdemes post-kvantum algoritmusokra váltani, ha már valóban működnek a nagyteljesítményű kvantumszámítógépek. Ez azonban hibás gondolkodás. A titkosítás nemcsak a jelenről, hanem a jövőről is szól: minden ma titkosított adat, amelyet hosszú távon meg kell őriznünk, veszélybe kerül, ha nem … Olvass tovább
A klasszikus kriptográfia a digitális kommunikáció védelmét a matematikai nehézségekre bízza. A kvantumkriptográfia viszont egy teljesen más utat követ: a fizikai törvényszerűségeket használja arra, hogy a kommunikáció feltörhetetlen legyen. Ennek az új megközelítésnek nem az az erőssége, hogy bonyolultabbá teszi az algoritmust, hanem hogy olyan alapra épít, amelyet elvileg nem lehet megsérteni – hacsak nem … Olvass tovább
A post-kvantum kriptográfia nem egyetlen technológiát jelent, hanem egy sokszínű, egymással versengő módszercsaládot. Mindegyik saját matematikai struktúrára és kihívásra épít, mindegyik másképp közelíti meg a biztonságot és a hatékonyságot. Nincs egyetlen „tökéletes” megoldás – különböző alkalmazásokhoz különböző típusú post-kvantum algoritmusok illenek. Kódalapú kriptográfia – a veterán, amely még mindig állja a sarat A legismertebb kódalapú … Olvass tovább
Ahhoz, hogy választ adjunk a kvantumfenyegetésre, teljesen új alapokra kell helyeznünk a kriptográfiai megközelítéseinket. A kulcs nem az, hogy a meglévő algoritmusokat „megerősítjük” – például hosszabb kulcsokat használunk –, hanem hogy olyan matematikai problémákat választunk, amelyek önmagukban is ellenállnak a kvantumalgoritmusoknak. Ezeket hívjuk kvantumrezisztens vagy post-kvantum algoritmusoknak. Az új típusú biztonság nem bonyolultabb – másféle … Olvass tovább
Amikor az RSA vagy az ECDSA algoritmusokat kifejlesztették, azok olyan matematikai problémákra épültek, amelyek megoldása klasszikus számítógépeken évezredekig is eltarthatott volna. Ilyen probléma például a nagyszámok prímtényezősítése vagy a diszkrét logaritmus kiszámítása. Ezen számítási nehézségekre épült fel az egész modern digitális hitelesítés és titkosítás. Ám ez a modell nem veszi figyelembe a kvantum-számítási paradigmát, amely … Olvass tovább