Egy szervezet k\u00f6nnyen \u00e9rezheti \u00fagy, hogy a kock\u00e1zat jelent\u0151s r\u00e9sz\u00e9t kiszervezte, amikor nem maga fejleszt AI-modellt, hanem k\u00e9sz felh\u0151szolg\u00e1ltat\u00e1st, generat\u00edv AI-eszk\u00f6zt vagy szoftverbe \u00e9p\u00edtett AI-funkci\u00f3t haszn\u00e1l. A val\u00f3s\u00e1g enn\u00e9l k\u00e9nyelmetlenebb: az \u00fczleti d\u00f6nt\u00e9s, az adathaszn\u00e1lat, az \u00fcgyf\u00e9lhat\u00e1s \u00e9s a megfelel\u0151s\u00e9gi felel\u0151ss\u00e9g tov\u00e1bbra is a szervezet m\u0171k\u00f6d\u00e9s\u00e9ben jelenik meg.<\/p>\n\n\n\n
A k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1s nem egyszer\u0171 beszerz\u00e9si t\u00e9tel. AI ir\u00e1ny\u00edt\u00e1si rendszerben \u00fagy kell kezelni, mint olyan ir\u00e1ny\u00edt\u00e1si kapcsolatot, amely adatkezel\u00e9si, modellm\u0171k\u00f6d\u00e9si, inform\u00e1ci\u00f3biztons\u00e1gi, szerz\u0151d\u00e9ses, audit\u00e1lhat\u00f3s\u00e1gi \u00e9s v\u00e1ltoz\u00e1skezel\u00e9si k\u00e9rd\u00e9seket egyszerre vet fel. A besz\u00e1ll\u00edt\u00f3 technol\u00f3gi\u00e1t adhat, de a szervezetnek kell eld\u00f6ntenie, milyen c\u00e9lra, milyen adatokkal, milyen kontrollok mellett \u00e9s milyen bizony\u00edt\u00e9kok alapj\u00e1n haszn\u00e1lja azt.<\/p>\n\n\n\n
A harmadik f\u00e9lt\u0151l sz\u00e1rmaz\u00f3 AI haszn\u00e1lata gyakran az\u00e9rt vonz\u00f3, mert gyorsabb, olcs\u00f3bb \u00e9s egyszer\u0171bb, mint egy saj\u00e1t rendszer fejleszt\u00e9se. A k\u00fcls\u0151 szolg\u00e1ltat\u00f3 biztos\u00edthat modellt, infrastrukt\u00far\u00e1t, API-t, felhaszn\u00e1l\u00f3i fel\u00fcletet, biztons\u00e1gi funkci\u00f3kat vagy be\u00e9p\u00edtett automatiz\u00e1l\u00e1st. Ett\u0151l azonban a kiszervez\u00e9s nem sz\u00fcnteti meg a felel\u0151ss\u00e9get<\/strong>, mert az AI-rendszer hat\u00e1sa tov\u00e1bbra is a szervezet folyamataiban, \u00fcgyf\u00e9lkapcsolataiban \u00e9s d\u00f6nt\u00e9seiben jelenik meg.<\/p>\n\n\n\n Az ISO\/IEC 42001 logik\u00e1ja szerint az AI ir\u00e1ny\u00edt\u00e1si rendszer a szervezet AI-val kapcsolatos politik\u00e1it, c\u00e9ljait \u00e9s folyamatait rendezi egys\u00e9ges ir\u00e1ny\u00edt\u00e1si rendszerbe, f\u00fcggetlen\u00fcl att\u00f3l, hogy a szervezet fejleszt\u0151k\u00e9nt, szolg\u00e1ltat\u00f3k\u00e9nt vagy felhaszn\u00e1l\u00f3k\u00e9nt vesz r\u00e9szt az AI-\u00e9letciklusban (International Organization for Standardization, 2023a). Ez a besz\u00e1ll\u00edt\u00f3i kapcsolatokn\u00e1l k\u00fcl\u00f6n\u00f6sen fontos. Egy szervezet nem mondhatja azt, hogy az AI-kock\u00e1zat kiz\u00e1r\u00f3lag a k\u00fcls\u0151 szolg\u00e1ltat\u00f3 \u00fcgye, ha \u0151 v\u00e1lasztja ki az eszk\u00f6zt, \u0151 t\u00f6lti fel az adatokat, \u0151 \u00e1ll\u00edtja be a haszn\u00e1lati felt\u00e9teleket, \u00e9s \u0151 \u00e9p\u00edti be a kimenetet a d\u00f6nt\u00e9si folyamatba.<\/p>\n\n\n\n A k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1s kock\u00e1zata t\u00f6bb ir\u00e1nyb\u00f3l \u00e9rkezhet. Lehet adatkezel\u00e9si kock\u00e1zat, ha nem vil\u00e1gos, milyen adat ker\u00fcl a szolg\u00e1ltat\u00f3hoz, hogyan haszn\u00e1lj\u00e1k fel, meddig \u0151rzik meg, \u00e9s beker\u00fcl-e modellfejleszt\u00e9si vagy tan\u00edt\u00e1si folyamatba. Lehet modellkock\u00e1zat, ha nem \u00e1tl\u00e1that\u00f3, hogyan m\u0171k\u00f6dik a modell, milyen korl\u00e1tai vannak, milyen hib\u00e1kat produk\u00e1lhat, vagy hogyan v\u00e1ltozik id\u0151vel. Emellett a besz\u00e1ll\u00edt\u00f3i kapcsolat AI-kock\u00e1zati l\u00e1ncot hoz l\u00e9tre<\/strong>, mert a szervezet saj\u00e1t kontrolljai r\u00e9szben egy k\u00fcls\u0151 f\u00e9l m\u0171k\u00f6d\u00e9s\u00e9t\u0151l f\u00fcggenek.<\/p>\n\n\n\n A besz\u00e1ll\u00edt\u00f3i kock\u00e1zat hagyom\u00e1nyosan is ismert ter\u00fclet az inform\u00e1ci\u00f3biztons\u00e1gban. Az ISO\/IEC 27036 a besz\u00e1ll\u00edt\u00f3i kapcsolatok inform\u00e1ci\u00f3biztons\u00e1gi kezel\u00e9s\u00e9t olyan keretk\u00e9nt t\u00e1rgyalja, amelyben az \u00fcgyf\u00e9lnek \u00e9s a szolg\u00e1ltat\u00f3nak egyar\u00e1nt szerepe van az inform\u00e1ci\u00f3s rendszerek \u00e9s adatok v\u00e9delm\u00e9ben (International Organization for Standardization, 2021). AI-k\u00f6rnyezetben ez a logika b\u0151v\u00fcl: nemcsak a hozz\u00e1f\u00e9r\u00e9st, titkos\u00edt\u00e1st vagy incidenskezel\u00e9st kell vizsg\u00e1lni, hanem az adatfelhaszn\u00e1l\u00e1s c\u00e9lj\u00e1t, a modellfriss\u00edt\u00e9st, az AI-kimenetek kezel\u00e9s\u00e9t \u00e9s a szolg\u00e1ltat\u00f3 bizony\u00edt\u00e9kait is.<\/p>\n\n\n\n A felel\u0151ss\u00e9g megmarad\u00e1sa nem azt jelenti, hogy a szervezetnek minden technikai r\u00e9szletet saj\u00e1t maga kell ellen\u0151riznie. Azt jelenti, hogy tudnia kell, milyen bizony\u00edt\u00e9kokra t\u00e1maszkodik. Ha a szolg\u00e1ltat\u00f3 \u00e1ll\u00edtja, hogy nem haszn\u00e1lja fel az \u00fcgyf\u00e9ladatokat modellk\u00e9pz\u00e9sre, akkor ezt szerz\u0151d\u00e9ses felt\u00e9tellel, dokument\u00e1ci\u00f3val, be\u00e1ll\u00edt\u00e1ssal vagy auditbizony\u00edt\u00e9kkal kell al\u00e1t\u00e1masztani. Ebben az \u00e9rtelemben a bizalom nem helyettes\u00edti a bizony\u00edt\u00e9kot<\/strong>, k\u00fcl\u00f6n\u00f6sen olyan AI-szolg\u00e1ltat\u00e1sn\u00e1l, amely \u00fczleti vagy szem\u00e9lyes adatokat kezel.<\/p>\n\n\n\n A NIST AI Risk Management Framework az AI-kock\u00e1zatokat nemcsak technikai hibak\u00e9nt, hanem az egy\u00e9nekre, szervezetekre \u00e9s t\u00e1rsadalomra gyakorolt hat\u00e1sok \u00f6sszef\u00fcgg\u00e9s\u00e9ben kezeli (National Institute of Standards and Technology, 2023). Harmadik felek eset\u00e9ben ez azt jelenti, hogy a szervezetnek nem el\u00e9g a szolg\u00e1ltat\u00e1s el\u00e9rhet\u0151s\u00e9g\u00e9t vagy \u00e1r\u00e1t vizsg\u00e1lnia. A haszn\u00e1lati kontextust is \u00e9rt\u00e9kelnie kell: milyen d\u00f6nt\u00e9st t\u00e1mogat az eszk\u00f6z, kikre hat, milyen adatokat kezel, \u00e9s milyen k\u00f6vetkezm\u00e9nye lehet egy hib\u00e1s, elfogult vagy jogosulatlan kimenetnek.<\/p>\n\n\n\n A k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1sok k\u00fcl\u00f6n\u00f6sen megt\u00e9veszt\u0151k lehetnek, ha egy megl\u00e9v\u0151 szoftverben \u201ecsak\u201d \u00faj funkci\u00f3k\u00e9nt jelennek meg. Egy \u00fcgyf\u00e9lszolg\u00e1lati platformba \u00e9p\u00edtett automatikus v\u00e1laszgener\u00e1l\u00e1s, egy HR-rendszerbe \u00e9p\u00edtett jel\u00f6lt\u00e9rt\u00e9kel\u00e9s vagy egy irodai alkalmaz\u00e1sba \u00e9p\u00edtett dokumentumelemz\u00e9s l\u00e1tsz\u00f3lag nem k\u00fcl\u00f6n AI-projekt. A kock\u00e1zat azonban ett\u0151l m\u00e9g val\u00f3s. Ilyenkor a be\u00e9p\u00edtett AI-funkci\u00f3 is ir\u00e1ny\u00edtand\u00f3 AI-haszn\u00e1lat<\/strong>, m\u00e9g akkor is, ha a szervezet nem k\u00fcl\u00f6n beszerz\u00e9sk\u00e9nt tal\u00e1lkozik vele.<\/p>\n\n\n\n A felel\u0151s kezel\u00e9s els\u0151 gyakorlati l\u00e9p\u00e9se az AI-szolg\u00e1ltat\u00e1sok nyilv\u00e1ntart\u00e1sa. A szervezetnek tudnia kell, milyen k\u00fcls\u0151 AI-eszk\u00f6z\u00f6ket haszn\u00e1l, mely \u00fczleti folyamatokban, milyen adatokkal, milyen felhaszn\u00e1l\u00f3i k\u00f6rrel \u00e9s milyen d\u00f6nt\u00e9si k\u00f6vetkezm\u00e9nyekkel. Nyilv\u00e1ntart\u00e1s n\u00e9lk\u00fcl nincs val\u00f3s kock\u00e1zatkezel\u00e9s. Ha az AI-haszn\u00e1latok csak csapatok, r\u00e9szlegek vagy egy\u00e9ni munkat\u00e1rsak szintj\u00e9n jelennek meg, akkor a l\u00e1thatatlan AI-haszn\u00e1lat gazd\u00e1tlan kock\u00e1zatot termel<\/strong>, mert sem a kontrollok, sem a szerz\u0151d\u00e9ses felt\u00e9telek nem illeszkednek hozz\u00e1.<\/p>\n\n\n\n A felel\u0151ss\u00e9gi rendnek ez\u00e9rt ki kell t\u00e9rnie arra, ki enged\u00e9lyezhet k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1st, ki \u00e9rt\u00e9keli a besz\u00e1ll\u00edt\u00f3t, ki vizsg\u00e1lja az adatkezel\u00e9st, ki hagyja j\u00f3v\u00e1 a szerz\u0151d\u00e9ses felt\u00e9teleket, ki ellen\u0151rzi az inform\u00e1ci\u00f3biztons\u00e1gi bizony\u00edt\u00e9kokat, \u00e9s ki fel\u00fcgyeli a szolg\u00e1ltat\u00e1s m\u0171k\u00f6d\u00e9s\u00e9t. A besz\u00e1ll\u00edt\u00f3i AI-kock\u00e1zat nem kezelhet\u0151 egyetlen oszt\u00e1ly feladatak\u00e9nt. A k\u00fcls\u0151 AI ir\u00e1ny\u00edt\u00e1sa t\u00f6bb szerepk\u00f6r k\u00f6z\u00f6s d\u00f6nt\u00e9se<\/strong>, amelyben \u00fczleti, jogi, adatv\u00e9delmi, inform\u00e1ci\u00f3biztons\u00e1gi, IT- \u00e9s compliance-szempontok egyar\u00e1nt megjelennek.<\/p>\n\n\n\n A hagyom\u00e1nyos besz\u00e1ll\u00edt\u00f3i \u00e1tvil\u00e1g\u00edt\u00e1s \u00e1ltal\u00e1ban p\u00e9nz\u00fcgyi stabilit\u00e1st, szolg\u00e1ltat\u00e1si szintet, inform\u00e1ci\u00f3biztons\u00e1got, adatv\u00e9delmet, \u00fczletmenet-folytonoss\u00e1got \u00e9s szerz\u0151d\u00e9ses felt\u00e9teleket vizsg\u00e1l. AI-szolg\u00e1ltat\u00e1sn\u00e1l ez nem el\u00e9g. Az \u00e1tvil\u00e1g\u00edt\u00e1snak a modellm\u0171k\u00f6d\u00e9sre, az adathaszn\u00e1latra, a kimenetek korl\u00e1taira, a v\u00e1ltoz\u00e1sbejelent\u00e9sre, az emberi fel\u00fcgyelet t\u00e1mogat\u00e1s\u00e1ra \u00e9s az audit\u00e1lhat\u00f3s\u00e1gra is ki kell terjednie.<\/p>\n\n\n\n A besz\u00e1ll\u00edt\u00f3i \u00e1tvil\u00e1g\u00edt\u00e1s c\u00e9lja nem az, hogy a szervezet teljesen felt\u00e1rja a szolg\u00e1ltat\u00f3 \u00fczleti titkait vagy modellarchitekt\u00far\u00e1j\u00e1t. A c\u00e9l annak eld\u00f6nt\u00e9se, hogy a szolg\u00e1ltat\u00e1s a tervezett haszn\u00e1lati c\u00e9lra, adott kock\u00e1zati szinten, elfogadhat\u00f3 kontrollok mellett haszn\u00e1lhat\u00f3-e. Ez\u00e9rt az \u00e1tvil\u00e1g\u00edt\u00e1snak a haszn\u00e1lati c\u00e9lb\u00f3l kell kiindulnia<\/strong>, nem egy \u00e1ltal\u00e1nos, minden szolg\u00e1ltat\u00f3ra azonosan alkalmazott k\u00e9rd\u0151\u00edvb\u0151l.<\/p>\n\n\n\n Az ISO\/IEC 23894 az AI-kock\u00e1zatkezel\u00e9st olyan megk\u00f6zel\u00edt\u00e9sk\u00e9nt \u00edrja le, amelyet az AI-val kapcsolatos tev\u00e9kenys\u00e9gekbe \u00e9s szervezeti funkci\u00f3kba kell be\u00e9p\u00edteni (International Organization for Standardization, 2023b). Besz\u00e1ll\u00edt\u00f3k eset\u00e9ben ez azt jelenti, hogy az AI-kock\u00e1zat\u00e9rt\u00e9kel\u00e9s nem k\u00fcl\u00f6n\u00fclhet el a beszerz\u00e9st\u0151l, szerz\u0151d\u00e9sk\u00f6t\u00e9st\u0151l \u00e9s \u00fczemeltet\u00e9st\u0151l. Ha az \u00e1tvil\u00e1g\u00edt\u00e1s csak a beszerz\u00e9si folyamat v\u00e9g\u00e9n t\u00f6rt\u00e9nik meg, akkor m\u00e1r gyakran k\u00e9s\u0151: az \u00fczleti ig\u00e9ny, a szolg\u00e1ltat\u00f3v\u00e1laszt\u00e1s \u00e9s a k\u00f6lts\u00e9gkeret addigra r\u00f6gz\u00fclt.<\/p>\n\n\n\n Az AI-specifikus \u00e1tvil\u00e1g\u00edt\u00e1s els\u0151 ter\u00fclete az adatkezel\u00e9s. Meg kell \u00e9rteni, milyen adatok ker\u00fclnek a szolg\u00e1ltat\u00f3hoz, milyen c\u00e9lb\u00f3l, milyen jogalapon, milyen feldolgoz\u00e1si helyen, milyen meg\u0151rz\u00e9si id\u0151vel \u00e9s milyen hozz\u00e1f\u00e9r\u00e9si szab\u00e1lyok mellett. Generat\u00edv AI-szolg\u00e1ltat\u00e1sn\u00e1l k\u00fcl\u00f6n\u00f6sen fontos k\u00e9rd\u00e9s, hogy a szolg\u00e1ltat\u00f3 felhaszn\u00e1lja-e a bemeneteket, dokumentumokat, promptokat vagy kimeneteket saj\u00e1t modelljeinek fejleszt\u00e9s\u00e9re. Itt az adathaszn\u00e1lat c\u00e9lja kulcskontroll<\/strong>, mert ugyanaz az adat elfogadhat\u00f3 lehet feldolgoz\u00e1sra, de nem felt\u00e9tlen\u00fcl elfogadhat\u00f3 modellk\u00e9pz\u00e9sre.<\/p>\n\n\n\n A m\u00e1sodik ter\u00fclet a modellm\u0171k\u00f6d\u00e9s \u00e9s a szolg\u00e1ltat\u00e1s korl\u00e1tainak \u00e9rt\u00e9se. A szervezetnek tudnia kell, milyen t\u00edpus\u00fa AI-funkci\u00f3t haszn\u00e1l: oszt\u00e1lyoz\u00e1st, rangsorol\u00e1st, gener\u00e1l\u00e1st, aj\u00e1nl\u00e1st, el\u0151rejelz\u00e9st, kivonatol\u00e1st vagy automatikus d\u00f6nt\u00e9st\u00e1mogat\u00e1st. Nem minden esetben sz\u00fcks\u00e9ges m\u00e9ly technikai r\u00e9szlet, de a haszn\u00e1lati korl\u00e1toknak vil\u00e1gosnak kell lenni\u00fck. A modell korl\u00e1tja \u00fczleti kock\u00e1zatt\u00e1 v\u00e1lik<\/strong>, ha a felhaszn\u00e1l\u00f3k biztos t\u00e9nyk\u00e9nt kezelik a bizonytalan vagy nem ellen\u0151rz\u00f6tt kimenetet.<\/p>\n\n\n\n A harmadik ter\u00fclet a teljes\u00edtm\u00e9ny, pontoss\u00e1g \u00e9s megb\u00edzhat\u00f3s\u00e1g. K\u00fcls\u0151 szolg\u00e1ltat\u00f3n\u00e1l a szervezet sokszor nem tudja k\u00f6zvetlen\u00fcl \u00fajratesztelni a modellt teljes m\u00e9lys\u00e9gben, de k\u00e9rhet dokument\u00e1lt teljes\u00edtm\u00e9nyinform\u00e1ci\u00f3kat, tesztel\u00e9si m\u00f3dszereket, valid\u00e1l\u00e1si \u00f6sszefoglal\u00f3t, ismert korl\u00e1tokat \u00e9s felhaszn\u00e1l\u00e1si figyelmeztet\u00e9seket. A NIST AI RMF hangs\u00falyos eleme a kock\u00e1zatok m\u00e9rhet\u0151s\u00e9ge \u00e9s kezelhet\u0151s\u00e9ge, ami k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1sn\u00e1l csak akkor m\u0171k\u00f6dik, ha a szolg\u00e1ltat\u00f3 legal\u00e1bb \u00e9rdemi inform\u00e1ci\u00f3t ad a rendszer jellemz\u0151ir\u0151l (National Institute of Standards and Technology, 2023). Ebben a helyzetben a hom\u00e1lyos szolg\u00e1ltat\u00f3i \u00edg\u00e9ret nem el\u00e9g<\/strong>, mert a szervezetnek saj\u00e1t d\u00f6nt\u00e9st kell hoznia az elfogadhat\u00f3 kock\u00e1zatr\u00f3l.<\/p>\n\n\n\n A negyedik ter\u00fclet az inform\u00e1ci\u00f3biztons\u00e1g. Ide tartozik a hozz\u00e1f\u00e9r\u00e9s-kezel\u00e9s, titkos\u00edt\u00e1s, s\u00e9r\u00fcl\u00e9kenys\u00e9gkezel\u00e9s, napl\u00f3z\u00e1s, incidensbejelent\u00e9s, alv\u00e1llalkoz\u00f3k kezel\u00e9se, felh\u0151biztons\u00e1g \u00e9s a szolg\u00e1ltat\u00f3 biztons\u00e1gi tan\u00fas\u00edtv\u00e1nyainak \u00e9rt\u00e9kel\u00e9se. A NIST SP 800-161 Rev. 1 a kiberbiztons\u00e1gi ell\u00e1t\u00e1si l\u00e1nc kock\u00e1zatkezel\u00e9s\u00e9t olyan szervezeti szint\u0171 gyakorlatk\u00e9nt kezeli, amelyben a kock\u00e1zatokat azonos\u00edtani, \u00e9rt\u00e9kelni \u00e9s m\u00e9rs\u00e9kelni kell a teljes besz\u00e1ll\u00edt\u00f3i l\u00e1ncban (Boyens et al., 2022). AI-szolg\u00e1ltat\u00e1sokn\u00e1l az inform\u00e1ci\u00f3biztons\u00e1g \u00e9s az AI-kock\u00e1zat \u00f6sszekapcsol\u00f3dik<\/strong>, mert az adat, a modell, a hozz\u00e1f\u00e9r\u00e9s \u00e9s a kimenet ugyanabban a szolg\u00e1ltat\u00e1si l\u00e1ncban mozog.<\/p>\n\n\n\n Az \u00f6t\u00f6dik ter\u00fclet az audit\u00e1lhat\u00f3s\u00e1g. A szolg\u00e1ltat\u00f3nak nem felt\u00e9tlen\u00fcl kell minden bels\u0151 r\u00e9szletet felt\u00e1rnia, de a szervezetnek rendelkeznie kell olyan bizony\u00edt\u00e9kokkal, amelyekkel k\u00e9s\u0151bb igazolhat\u00f3 a d\u00f6nt\u00e9s megalapozotts\u00e1ga. Ilyen lehet tan\u00fas\u00edt\u00e1s, f\u00fcggetlen auditjelent\u00e9s, biztons\u00e1gi riport, adatkezel\u00e9si dokument\u00e1ci\u00f3, modellle\u00edr\u00e1s, v\u00e1ltoz\u00e1skezel\u00e9si t\u00e1j\u00e9koztat\u00f3 vagy szerz\u0151d\u00e9ses v\u00e1llal\u00e1s. Ha ezek hi\u00e1nyoznak, akkor a besz\u00e1ll\u00edt\u00f3i kock\u00e1zat nem \u00e9rt\u00e9kelhet\u0151 megfelel\u0151en<\/strong>, csak felt\u00e9telez\u00e9sek alapj\u00e1n kezelhet\u0151.<\/p>\n\n\n\n Az \u00e1tvil\u00e1g\u00edt\u00e1s m\u00e9lys\u00e9g\u00e9t a kock\u00e1zat hat\u00e1rozza meg. Egy alacsony kock\u00e1zat\u00fa, bels\u0151 produktivit\u00e1si c\u00e9l\u00fa AI-eszk\u00f6zn\u00e9l elegend\u0151 lehet egyszer\u0171bb besz\u00e1ll\u00edt\u00f3i k\u00e9rd\u0151\u00edv \u00e9s alapvet\u0151 adatkezel\u00e9si korl\u00e1toz\u00e1s. Egy \u00fcgyf\u00e9ladatokat kezel\u0151, d\u00f6nt\u00e9st\u00e1mogat\u00f3 vagy \u00e9rz\u00e9keny \u00fczleti folyamatba \u00e9p\u00edtett AI-szolg\u00e1ltat\u00e1sn\u00e1l r\u00e9szletesebb bizony\u00edt\u00e9kokra, er\u0151sebb szerz\u0151d\u00e9ses garanci\u00e1kra \u00e9s szigor\u00fabb monitoringra van sz\u00fcks\u00e9g. A besz\u00e1ll\u00edt\u00f3i kontrollnak ar\u00e1nyosnak kell lennie<\/strong>, de az ar\u00e1nyoss\u00e1g nem jelentheti a kritikus k\u00e9rd\u00e9sek elhagy\u00e1s\u00e1t.<\/p>\n\n\n\n Az \u00e1tvil\u00e1g\u00edt\u00e1s sor\u00e1n legal\u00e1bb a k\u00f6vetkez\u0151 AI-specifikus k\u00e9rd\u00e9scsoportokat c\u00e9lszer\u0171 vizsg\u00e1lni:<\/p>\n\n\n\n milyen AI-funkci\u00f3t biztos\u00edt a szolg\u00e1ltat\u00f3;<\/p>\n\n\n\n milyen adatok ker\u00fclnek a szolg\u00e1ltat\u00e1sba;<\/p>\n\n\n\n haszn\u00e1lj\u00e1k-e az adatokat modellk\u00e9pz\u00e9sre vagy szolg\u00e1ltat\u00e1sfejleszt\u00e9sre;<\/p>\n\n\n\n milyen alv\u00e1llalkoz\u00f3k vagy felh\u0151szolg\u00e1ltat\u00f3k vesznek r\u00e9szt;<\/p>\n\n\n\n milyen biztons\u00e1gi \u00e9s adatv\u00e9delmi kontrollok m\u0171k\u00f6dnek;<\/p>\n\n\n\n milyen dokument\u00e1ci\u00f3 \u00e1ll rendelkez\u00e9sre a modellr\u0151l;<\/p>\n\n\n\n hogyan t\u00f6rt\u00e9nik a modell vagy szolg\u00e1ltat\u00e1s friss\u00edt\u00e9se;<\/p>\n\n\n\n kap-e a szervezet el\u0151zetes v\u00e1ltoz\u00e1sbejelent\u00e9st;<\/p>\n\n\n\n milyen audit- vagy bizony\u00edt\u00e9kszolg\u00e1ltat\u00e1s \u00e9rhet\u0151 el;<\/p>\n\n\n\n hogyan kezelik az incidenseket, hib\u00e1kat \u00e9s panaszokat.<\/p>\n\n\n\n A besz\u00e1ll\u00edt\u00f3i \u00e1tvil\u00e1g\u00edt\u00e1s v\u00e9gs\u0151 kimenete nem maga a k\u00e9rd\u0151\u00edv, hanem a d\u00f6nt\u00e9s. Haszn\u00e1lhat\u00f3-e a szolg\u00e1ltat\u00e1s? Milyen korl\u00e1toz\u00e1ssal? Milyen adatokkal nem haszn\u00e1lhat\u00f3? Sz\u00fcks\u00e9ges-e tov\u00e1bbi szerz\u0151d\u00e9ses felt\u00e9tel? Kell-e pilot, kock\u00e1zatcs\u00f6kkent\u0151 int\u00e9zked\u00e9s vagy vezet\u0151i j\u00f3v\u00e1hagy\u00e1s? Ilyenkor az \u00e1tvil\u00e1g\u00edt\u00e1s d\u00f6nt\u00e9si kapu<\/strong>, nem adminisztrat\u00edv mell\u00e9klet a beszerz\u00e9s v\u00e9g\u00e9n.<\/p>\n\n\n\n A k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1s kezel\u00e9s\u00e9ben a szerz\u0151d\u00e9s \u00e9s a technikai kontroll nem helyettes\u00edti, hanem kieg\u00e9sz\u00edti egym\u00e1st. A szerz\u0151d\u00e9s r\u00f6gz\u00edti az elv\u00e1r\u00e1sokat, k\u00f6telezetts\u00e9geket, jogokat \u00e9s felel\u0151ss\u00e9gi hat\u00e1rokat. A technikai kontroll biztos\u00edtja, hogy ezek az elv\u00e1r\u00e1sok a mindennapi m\u0171k\u00f6d\u00e9sben is \u00e9rv\u00e9nyes\u00fcljenek. Egyik sem elegend\u0151 \u00f6nmag\u00e1ban. A szerz\u0151d\u00e9s pap\u00edron v\u00e9d<\/strong>, a technikai kontroll a m\u0171k\u00f6d\u00e9sben.<\/p>\n\n\n\n Adatkezel\u00e9sn\u00e9l p\u00e9ld\u00e1ul a szerz\u0151d\u00e9s kimondhatja, hogy a szolg\u00e1ltat\u00f3 nem haszn\u00e1lhatja fel az \u00fcgyf\u00e9ladatokat saj\u00e1t modelljeinek tan\u00edt\u00e1s\u00e1ra. Ez fontos, de nem mindig el\u00e9g. Sz\u00fcks\u00e9g lehet olyan adminisztr\u00e1tori be\u00e1ll\u00edt\u00e1sra, amely kikapcsolja a tan\u00edt\u00e1si c\u00e9l\u00fa felhaszn\u00e1l\u00e1st, korl\u00e1tozza az adatmeg\u0151rz\u00e9st, meghat\u00e1rozza a hozz\u00e1f\u00e9r\u00e9si jogosults\u00e1gokat \u00e9s napl\u00f3zza a haszn\u00e1latot. \u00cdgy a szerz\u0151d\u00e9ses tilalom technikai be\u00e1ll\u00edt\u00e1ssal v\u00e1lik ellen\u0151rizhet\u0151v\u00e9<\/strong>, k\u00fcl\u00f6n\u00f6sen generat\u00edv AI-eszk\u00f6z\u00f6k eset\u00e9ben.<\/p>\n\n\n\n A szerz\u0151d\u00e9snek ki kell t\u00e9rnie az adatkezel\u00e9s c\u00e9lj\u00e1ra, az adatfeldolgoz\u00e1s hely\u00e9re, az alv\u00e1llalkoz\u00f3kra, az adatmeg\u0151rz\u00e9sre, a t\u00f6rl\u00e9sre, az incidensbejelent\u00e9sre, a biztons\u00e1gi k\u00f6vetelm\u00e9nyekre \u00e9s a szolg\u00e1ltat\u00e1s megsz\u0171n\u00e9sekor k\u00f6vetend\u0151 elj\u00e1r\u00e1sra. AI-szolg\u00e1ltat\u00e1sn\u00e1l emellett sz\u00fcks\u00e9ges lehet a modellfriss\u00edt\u00e9sek, teljes\u00edtm\u00e9nyv\u00e1ltoz\u00e1sok, l\u00e9nyeges funkci\u00f3m\u00f3dos\u00edt\u00e1sok \u00e9s auditbizony\u00edt\u00e9kok kezel\u00e9s\u00e9nek r\u00f6gz\u00edt\u00e9se. Ilyenkor az AI-szerz\u0151d\u00e9s nem csak adatv\u00e9delmi meg\u00e1llapod\u00e1s<\/strong>, hanem m\u0171k\u00f6d\u00e9si \u00e9s kock\u00e1zatkezel\u00e9si eszk\u00f6z is.<\/p>\n\n\n\n Az EU AI Act a magas kock\u00e1zat\u00fa AI-rendszerek eset\u00e9ben k\u00fcl\u00f6n\u00f6s jelent\u0151s\u00e9get tulajdon\u00edt t\u00f6bbek k\u00f6z\u00f6tt a kock\u00e1zatkezel\u00e9snek, adatir\u00e1ny\u00edt\u00e1snak, m\u0171szaki dokument\u00e1ci\u00f3nak, napl\u00f3z\u00e1snak, \u00e1tl\u00e1that\u00f3s\u00e1gnak, emberi fel\u00fcgyeletnek, valamint a pontoss\u00e1g, robusztuss\u00e1g \u00e9s kiberbiztons\u00e1g k\u00f6vetelm\u00e9nyeinek (European Parliament & Council of the European Union, 2024). Nem minden k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1s tartozik magas kock\u00e1zat\u00fa kateg\u00f3ri\u00e1ba, de a szervezeti tanuls\u00e1g vil\u00e1gos: a szolg\u00e1ltat\u00f3i szerz\u0151d\u00e9snek \u00e9s kontrollrendszernek alkalmasnak kell lennie a kock\u00e1zati szinthez illeszked\u0151 bizony\u00edt\u00e1sra.<\/p>\n\n\n\n A technikai kontrollok k\u00f6z\u00e9 tartozhat a felhaszn\u00e1l\u00f3i jogosults\u00e1gok korl\u00e1toz\u00e1sa, az \u00e9rz\u00e9keny adatok bevitel\u00e9nek tilt\u00e1sa, adatmaszkol\u00e1s, napl\u00f3z\u00e1s, exportkorl\u00e1toz\u00e1s, j\u00f3v\u00e1hagy\u00e1si munkafolyamat, biztons\u00e1gos API-kulcs-kezel\u00e9s, integr\u00e1ci\u00f3s kontroll, tartalomsz\u0171r\u00e9s, emberi fel\u00fclvizsg\u00e1lat vagy monitoring. Ezek nem minden esetben \u00e9rhet\u0151k el ugyanabban a szolg\u00e1ltat\u00e1sban. Ez\u00e9rt a szolg\u00e1ltat\u00e1s konfigur\u00e1lhat\u00f3s\u00e1ga beszerz\u00e9si szempont<\/strong>, nem ut\u00f3lagos technikai r\u00e9szlet.<\/p>\n\n\n\n A szerz\u0151d\u00e9sben a szolg\u00e1ltat\u00f3i v\u00e1ltoz\u00e1sbejelent\u00e9s k\u00fcl\u00f6n\u00f6sen fontos. AI-szolg\u00e1ltat\u00e1sokn\u00e1l a modell vagy annak m\u0171k\u00f6d\u00e9si k\u00f6rnyezete v\u00e1ltozhat an\u00e9lk\u00fcl, hogy a szervezet ezt k\u00f6zvetlen\u00fcl \u00e9szrevenn\u00e9. Egy API m\u00f6g\u00f6tt m\u00f3dosulhat a modellverzi\u00f3, az alap\u00e9rtelmezett be\u00e1ll\u00edt\u00e1s, a tartalomsz\u0171r\u00e9s, a napl\u00f3z\u00e1s vagy az adatkezel\u00e9si felt\u00e9tel. Ha a szervezet err\u0151l nem kap id\u0151ben inform\u00e1ci\u00f3t, akkor a kontroll\u00e1lt haszn\u00e1lat l\u00e1tsz\u00f3lagoss\u00e1 v\u00e1lhat<\/strong>, mert a szolg\u00e1ltat\u00e1s m\u00e1r nem pontosan ugyanaz, amelyet kor\u00e1bban \u00e9rt\u00e9keltek.<\/p>\n\n\n\n A szerz\u0151d\u00e9snek ez\u00e9rt ki kell mondania, milyen v\u00e1ltoz\u00e1sokr\u00f3l kell a szolg\u00e1ltat\u00f3nak \u00e9rtes\u00edt\u00e9st adnia. Nem minden apr\u00f3 fejleszt\u00e9s ig\u00e9nyel el\u0151zetes j\u00f3v\u00e1hagy\u00e1st, de l\u00e9nyeges v\u00e1ltoz\u00e1s lehet p\u00e9ld\u00e1ul az adatfeldolgoz\u00e1si hely m\u00f3dos\u00edt\u00e1sa, \u00faj alv\u00e1llalkoz\u00f3 bevon\u00e1sa, modellfriss\u00edt\u00e9s, funkci\u00f3v\u00e1ltoz\u00e1s, biztons\u00e1gi kontroll cs\u00f6kken\u00e9se, auditbizony\u00edt\u00e9k megv\u00e1ltoz\u00e1sa vagy szolg\u00e1ltat\u00e1si felt\u00e9telek m\u00f3dosul\u00e1sa. Ebben a rendszerben a v\u00e1ltoz\u00e1sbejelent\u00e9s kock\u00e1zati riaszt\u00e1s<\/strong>, nem marketingt\u00e1j\u00e9koztat\u00f3.<\/p>\n\n\n\n A technikai \u00e9s szerz\u0151d\u00e9ses kontrollokat a felhaszn\u00e1l\u00e1si c\u00e9lhoz kell igaz\u00edtani. Egy generat\u00edv AI-szolg\u00e1ltat\u00e1s bels\u0151 sz\u00f6vegtervez\u00e9shez m\u00e1s kontrollt ig\u00e9nyel, mint ugyanaz a szolg\u00e1ltat\u00e1s \u00fcgyf\u00e9ladatok elemz\u00e9s\u00e9re vagy jogi dokumentumok el\u0151k\u00e9sz\u00edt\u00e9s\u00e9re. A szolg\u00e1ltat\u00e1s neve \u00f6nmag\u00e1ban nem hat\u00e1rozza meg a kock\u00e1zatot. Ugyanaz az AI-eszk\u00f6z m\u00e1s kock\u00e1zat\u00fa lehet<\/strong>, ha m\u00e1s adatokkal, m\u00e1s d\u00f6nt\u00e9si helyzetben \u00e9s m\u00e1s felhaszn\u00e1l\u00f3i k\u00f6rrel haszn\u00e1lj\u00e1k.<\/p>\n\n\n\n A szerz\u0151d\u00e9ses kontrolloknak tartalmazniuk kell a bizony\u00edt\u00e9kszolg\u00e1ltat\u00e1s m\u00f3dj\u00e1t is. A szolg\u00e1ltat\u00f3 milyen rendszeress\u00e9ggel ad biztons\u00e1gi vagy megfelel\u0151s\u00e9gi dokumentumot? El\u00e9rhet\u0151-e f\u00fcggetlen auditjelent\u00e9s? \u00c9rtes\u00edt-e incidensr\u0151l? Biztos\u00edt-e napl\u00f3kat vagy \u00fcgyf\u00e9loldali adminisztr\u00e1ci\u00f3s riportokat? T\u00e1mogatja-e a t\u00f6rl\u00e9si vagy hozz\u00e1f\u00e9r\u00e9si k\u00e9relmek kezel\u00e9s\u00e9t? Itt a bizony\u00edt\u00e9khoz val\u00f3 hozz\u00e1f\u00e9r\u00e9s szerz\u0151d\u00e9ses jog<\/strong>, amelyet k\u00e9s\u0151bb audit vagy incidenshelyzetben lehet \u00e9rv\u00e9nyes\u00edteni.<\/p>\n\n\n\n A szervezetnek azt is meg kell hat\u00e1roznia, milyen esetben nem haszn\u00e1lhat\u00f3 a szolg\u00e1ltat\u00e1s. Lehetnek tiltott adatkateg\u00f3ri\u00e1k, tiltott d\u00f6nt\u00e9si c\u00e9lok, j\u00f3v\u00e1hagy\u00e1shoz k\u00f6t\u00f6tt felhaszn\u00e1l\u00e1sok vagy csak tesztk\u00f6rnyezetben enged\u00e9lyezett funkci\u00f3k. A bels\u0151 szab\u00e1lyok \u00e9s a szerz\u0151d\u00e9ses felt\u00e9telek akkor m\u0171k\u00f6dnek j\u00f3l egy\u00fctt, ha a munkat\u00e1rsak nem jogi absztrakci\u00f3kat kapnak, hanem konkr\u00e9t haszn\u00e1lati hat\u00e1rokat. Ilyenkor a bels\u0151 szab\u00e1ly ford\u00edtja le a szerz\u0151d\u00e9st<\/strong>, hogy a napi m\u0171k\u00f6d\u00e9sben is alkalmazhat\u00f3 legyen.<\/p>\n\n\n\n A besz\u00e1ll\u00edt\u00f3i AI-kontroll egyik legfontosabb d\u00f6nt\u00e9se az, hogy mi t\u00f6rt\u00e9nik a szolg\u00e1ltat\u00e1s megsz\u0171n\u00e9sekor. Hogyan export\u00e1lhat\u00f3k vagy t\u00f6r\u00f6lhet\u0151k az adatok? Mi t\u00f6rt\u00e9nik a napl\u00f3kkal? Megmaradnak-e a szervezet \u00e1ltal adott bemenetek vagy finomhangol\u00e1si adatok? Tov\u00e1bb haszn\u00e1lhatja-e a szolg\u00e1ltat\u00f3 az ezekb\u0151l sz\u00e1rmaz\u00f3 tanuls\u00e1gokat? Van-e \u00e1t\u00e1ll\u00e1si terv m\u00e1s szolg\u00e1ltat\u00f3ra vagy bels\u0151 megold\u00e1sra? A kil\u00e9p\u00e9si felt\u00e9telek hi\u00e1nya f\u00fcgg\u0151s\u00e9get teremt<\/strong>, amely k\u00e9s\u0151bb \u00fczleti \u00e9s megfelel\u0151s\u00e9gi kock\u00e1zatt\u00e1 v\u00e1lhat.<\/p>\n\n\n\n A k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1s kock\u00e1zata nem \u00e1lland\u00f3. V\u00e1ltozhat a modell, a szolg\u00e1ltat\u00e1si architekt\u00fara, az adatkezel\u00e9si gyakorlat, az alv\u00e1llalkoz\u00f3i l\u00e1nc, a biztons\u00e1gi k\u00f6rnyezet, a jogi felt\u00e9tel vagy a szervezet saj\u00e1t haszn\u00e1lati m\u00f3dja. Ez\u00e9rt a besz\u00e1ll\u00edt\u00f3i \u00e9rt\u00e9kel\u00e9s nem egyszeri esem\u00e9ny<\/strong>, hanem folyamatos fel\u00fcgyeleti feladat.<\/p>\n\n\n\n A v\u00e1ltoz\u00e1sbejelent\u00e9s az\u00e9rt kritikus, mert a szervezet csak akkor tudja \u00fajra\u00e9rt\u00e9kelni a kock\u00e1zatot, ha \u00e9rtes\u00fcl a l\u00e9nyeges v\u00e1ltoz\u00e1sokr\u00f3l. Egy modellfriss\u00edt\u00e9s jav\u00edthatja a teljes\u00edtm\u00e9nyt, de \u00faj viselked\u00e9st, \u00faj hib\u00e1kat vagy elt\u00e9r\u0151 kimeneti mint\u00e1zatot is l\u00e9trehozhat. Egy \u00faj alv\u00e1llalkoz\u00f3 bevon\u00e1sa jav\u00edthatja a sk\u00e1l\u00e1zhat\u00f3s\u00e1got, de m\u00f3dos\u00edthatja az adat\u00e1raml\u00e1st vagy az adatfeldolgoz\u00e1s f\u00f6ldrajzi hely\u00e9t. Ilyenkor a szolg\u00e1ltat\u00f3i v\u00e1ltoz\u00e1s szervezeti v\u00e1ltoz\u00e1sk\u00e9nt hat<\/strong>, m\u00e9g akkor is, ha technikailag a szolg\u00e1ltat\u00f3 oldal\u00e1n t\u00f6rt\u00e9nik.<\/p>\n\n\n\n Az AI-szolg\u00e1ltat\u00e1sok audit\u00e1lhat\u00f3s\u00e1ga t\u00f6bb szint\u0171 k\u00e9rd\u00e9s. Az egyik szint a szolg\u00e1ltat\u00f3 saj\u00e1t bizony\u00edt\u00e9ka: tan\u00fas\u00edtv\u00e1ny, f\u00fcggetlen audit, megfelel\u0151s\u00e9gi jelent\u00e9s, biztons\u00e1gi dokument\u00e1ci\u00f3, adatv\u00e9delmi t\u00e1j\u00e9koztat\u00f3 vagy technikai feh\u00e9r k\u00f6nyv. A m\u00e1sik szint a szervezet saj\u00e1t bizony\u00edt\u00e9ka: beszerz\u00e9si d\u00f6nt\u00e9s, kock\u00e1zat\u00e9rt\u00e9kel\u00e9s, j\u00f3v\u00e1hagy\u00e1s, konfigur\u00e1ci\u00f3, haszn\u00e1lati szab\u00e1ly, napl\u00f3z\u00e1s \u00e9s monitoring. A kett\u0151 egy\u00fctt ad k\u00e9pet. Az audit\u00e1lhat\u00f3s\u00e1g k\u00f6z\u00f6s bizony\u00edt\u00e9kl\u00e1nc<\/strong>, amelyben a szolg\u00e1ltat\u00f3 \u00e9s a szervezet dokumentumai egym\u00e1sra \u00e9p\u00fclnek.<\/p>\n\n\n\n A NIST SP 800-161 Rev. 1 hangs\u00falyozza, hogy a kiberbiztons\u00e1gi ell\u00e1t\u00e1si l\u00e1nc kock\u00e1zatkezel\u00e9se szervezeti szinten, t\u00f6bb r\u00e9tegben \u00e9s a besz\u00e1ll\u00edt\u00f3i kapcsolatok teljes \u00e9letciklus\u00e1n \u00e1t \u00e9rtelmezend\u0151 (Boyens et al., 2022). AI-szolg\u00e1ltat\u00e1sokn\u00e1l ez a megk\u00f6zel\u00edt\u00e9s k\u00fcl\u00f6n\u00f6sen hasznos, mert a besz\u00e1ll\u00edt\u00f3i kapcsolat nem \u00e9r v\u00e9get a szerz\u0151d\u00e9s al\u00e1\u00edr\u00e1s\u00e1val. A szervezetnek nyomon kell k\u00f6vetnie, hogy a szolg\u00e1ltat\u00e1s tov\u00e1bbra is megfelel-e az eredeti kock\u00e1zati \u00e9s m\u0171k\u00f6d\u00e9si felt\u00e9teleknek.<\/p>\n\n\n\n Az ENISA ell\u00e1t\u00e1si l\u00e1nci t\u00e1mad\u00e1sokr\u00f3l sz\u00f3l\u00f3 elemz\u00e9se r\u00e1mutatott, hogy a besz\u00e1ll\u00edt\u00f3i l\u00e1ncok egyre fontosabb t\u00e1mad\u00e1si \u00e9s kock\u00e1zati fel\u00fcletet jelentenek a digit\u00e1lis rendszerekben (European Union Agency for Cybersecurity, 2021). AI-k\u00f6rnyezetben ez a jelent\u0151s\u00e9g tov\u00e1bb n\u0151, mert a szolg\u00e1ltat\u00f3i kapcsolat nemcsak szoftverkomponenseket, hanem adat\u00e1raml\u00e1st, modellm\u0171k\u00f6d\u00e9st \u00e9s automatiz\u00e1lt kimeneteket is mag\u00e1ban foglalhat. Ennek k\u00f6vetkezt\u00e9ben az AI-besz\u00e1ll\u00edt\u00f3 digit\u00e1lis kock\u00e1zati kapu<\/strong>, amelyen kereszt\u00fcl biztons\u00e1gi, adatv\u00e9delmi \u00e9s m\u0171k\u00f6d\u00e9si kock\u00e1zatok l\u00e9phetnek be.<\/p>\n\n\n\n A bizony\u00edt\u00e9kok \u00e9rt\u00e9kel\u00e9s\u00e9n\u00e9l nem el\u00e9g azt n\u00e9zni, hogy a szolg\u00e1ltat\u00f3 adott-e dokumentumot. Azt is vizsg\u00e1lni kell, hogy a dokumentum mire vonatkozik, mennyire friss, f\u00fcggetlen-e, lefedi-e a haszn\u00e1lt szolg\u00e1ltat\u00e1st, kiterjed-e alv\u00e1llalkoz\u00f3kra, \u00e9s kapcsol\u00f3dik-e az AI-specifikus kock\u00e1zatokhoz. Egy \u00e1ltal\u00e1nos biztons\u00e1gi tan\u00fas\u00edtv\u00e1ny hasznos lehet, de nem felt\u00e9tlen\u00fcl v\u00e1laszolja meg, hogy a generat\u00edv AI-bemeneteket felhaszn\u00e1lj\u00e1k-e modellfejleszt\u00e9sre. Ez\u00e9rt a bizony\u00edt\u00e9k relevanci\u00e1ja fontosabb a mennyis\u00e9g\u00e9n\u00e9l<\/strong>, k\u00fcl\u00f6n\u00f6sen \u00f6sszetett szolg\u00e1ltat\u00f3i \u00f6kosziszt\u00e9m\u00e1ban.<\/p>\n\n\n\n A szolg\u00e1ltat\u00f3i bizony\u00edt\u00e9kokat \u00e9rdemes kock\u00e1zati szint szerint kategoriz\u00e1lni. Alacsony kock\u00e1zatn\u00e1l elegend\u0151 lehet nyilv\u00e1nos biztons\u00e1gi dokument\u00e1ci\u00f3, adatkezel\u00e9si felt\u00e9tel \u00e9s bels\u0151 j\u00f3v\u00e1hagy\u00e1s. K\u00f6zepes kock\u00e1zatn\u00e1l sz\u00fcks\u00e9ges lehet r\u00e9szletesebb k\u00e9rd\u0151\u00edv, szerz\u0151d\u00e9ses adatfeldolgoz\u00e1si meg\u00e1llapod\u00e1s, konfigur\u00e1ci\u00f3s bizony\u00edt\u00e9k \u00e9s incidensbejelent\u00e9si v\u00e1llal\u00e1s. Magasabb kock\u00e1zatn\u00e1l indokolt lehet f\u00fcggetlen auditjelent\u00e9s, r\u00e9szletes technikai dokument\u00e1ci\u00f3, alv\u00e1llalkoz\u00f3i lista, v\u00e1ltoz\u00e1sbejelent\u00e9si mechanizmus \u00e9s rendszeres fel\u00fclvizsg\u00e1lat. \u00cdgy a bizony\u00edt\u00e9kk\u00e9r\u00e9snek kock\u00e1zatalap\u00fanak kell lennie<\/strong>, nem puszt\u00e1n beszerz\u00e9si rutinon alapulnia.<\/p>\n\n\n\n A szervezet saj\u00e1t oldal\u00e1n is sz\u00fcks\u00e9g van bizony\u00edt\u00e9kokra. R\u00f6gz\u00edteni kell, ki d\u00f6nt\u00f6tt a szolg\u00e1ltat\u00e1s haszn\u00e1lat\u00e1r\u00f3l, milyen c\u00e9lra enged\u00e9lyezt\u00e9k, milyen adatkateg\u00f3ri\u00e1kkal haszn\u00e1lhat\u00f3, milyen korl\u00e1toz\u00e1sok \u00e9rv\u00e9nyesek, milyen technikai be\u00e1ll\u00edt\u00e1sok t\u00f6rt\u00e9ntek, \u00e9s milyen monitoringot v\u00e9geznek. Ha a szolg\u00e1ltat\u00e1s k\u00e9s\u0151bb probl\u00e9m\u00e1t okoz, ezek n\u00e9lk\u00fcl neh\u00e9z igazolni, hogy a szervezet \u00e9sszer\u0171 \u00e9s felel\u0151s d\u00f6nt\u00e9st hozott. Ilyenkor a bels\u0151 dokument\u00e1ci\u00f3 v\u00e9di a d\u00f6nt\u00e9s min\u0151s\u00e9g\u00e9t<\/strong>, nem csup\u00e1n auditmapp\u00e1t t\u00f6lt meg.<\/p>\n\n\n\n A v\u00e1ltoz\u00e1skezel\u00e9s r\u00e9sze a szolg\u00e1ltat\u00f3 rendszeres \u00fajra\u00e9rt\u00e9kel\u00e9se is. Nem minden szolg\u00e1ltat\u00f3t kell azonos gyakoris\u00e1ggal fel\u00fclvizsg\u00e1lni, de magasabb kock\u00e1zat\u00fa AI-szolg\u00e1ltat\u00e1sokn\u00e1l indokolt lehet \u00e9ves vagy esem\u00e9nyalap\u00fa \u00e9rt\u00e9kel\u00e9s. Esem\u00e9nyalap\u00fa \u00fajra\u00e9rt\u00e9kel\u00e9s sz\u00fcks\u00e9ges lehet jelent\u0151s szolg\u00e1ltat\u00e1sv\u00e1ltoz\u00e1s, incidens, \u00faj adatkateg\u00f3ria, \u00faj \u00fczleti c\u00e9l, szab\u00e1lyoz\u00e1si v\u00e1ltoz\u00e1s vagy jelent\u0151s felhaszn\u00e1l\u00f3i panasz eset\u00e9n. Ez alapj\u00e1n a fel\u00fclvizsg\u00e1latot nem napt\u00e1rhoz kell k\u00f6tni kiz\u00e1r\u00f3lag<\/strong>, hanem kock\u00e1zati esem\u00e9nyekhez is.<\/p>\n\n\n\n Az audit\u00e1lhat\u00f3s\u00e1g egyik gyakorlati k\u00e9rd\u00e9se a napl\u00f3z\u00e1s. K\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1sn\u00e1l tiszt\u00e1zni kell, milyen napl\u00f3k keletkeznek, ki f\u00e9r hozz\u00e1juk, meddig \u0151rzik \u0151ket, export\u00e1lhat\u00f3k-e, \u00e9s alkalmasak-e incidensvizsg\u00e1latra vagy megfelel\u0151s\u00e9gi ellen\u0151rz\u00e9sre. Generat\u00edv AI-eszk\u00f6z\u00f6kn\u00e9l k\u00fcl\u00f6n\u00f6sen fontos lehet, hogy l\u00e1that\u00f3 legyen, ki, mikor, milyen c\u00e9lra haszn\u00e1lta a szolg\u00e1ltat\u00e1st, milyen adatot vitt be, \u00e9s milyen kimenetet haszn\u00e1lt fel d\u00f6nt\u00e9shez vagy kommunik\u00e1ci\u00f3hoz. Ebben a helyzetben a napl\u00f3z\u00e1s a felel\u0151s haszn\u00e1lat nyoma<\/strong>, nem csup\u00e1n technikai adatgy\u0171jt\u00e9s.<\/p>\n\n\n\n A szolg\u00e1ltat\u00f3val kapcsolatos d\u00f6nt\u00e9seket a szervezetnek \u00f6ssze kell kapcsolnia a bels\u0151 AI-nyilv\u00e1ntart\u00e1ssal. Egy k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1s akkor kezelhet\u0151 \u00e1tl\u00e1that\u00f3an, ha szerepel az AI-haszn\u00e1lati esetek k\u00f6z\u00f6tt, megvan a tulajdonosa, ismert a kock\u00e1zati besorol\u00e1sa, dokument\u00e1ltak a besz\u00e1ll\u00edt\u00f3i bizony\u00edt\u00e9kai, \u00e9s l\u00e1that\u00f3k a fel\u00fclvizsg\u00e1lati k\u00f6telezetts\u00e9gei. Ha ez nincs meg, akkor a besz\u00e1ll\u00edt\u00f3i kontroll elszakad a napi m\u0171k\u00f6d\u00e9st\u0151l<\/strong>, \u00e9s a megfelel\u0151s\u00e9g k\u00f6nnyen form\u00e1lis gyakorlatt\u00e1 v\u00e1lik.<\/p>\n\n\n\n Egy generat\u00edv AI-szolg\u00e1ltat\u00e1s beszerz\u00e9s\u00e9n\u00e9l a k\u00e9rd\u00e9slista c\u00e9lja az, hogy a szervezet ne csak funkci\u00f3t \u00e9s \u00e1rat hasonl\u00edtson \u00f6ssze, hanem a haszn\u00e1lat felt\u00e9teleit, kock\u00e1zatait \u00e9s bizony\u00edt\u00e9kait is \u00e9rt\u00e9kelje. A k\u00e9rd\u00e9seknek adatkezel\u00e9si, biztons\u00e1gi, modell-, szerz\u0151d\u00e9ses \u00e9s audit\u00e1lhat\u00f3s\u00e1gi ter\u00fcleteket egyar\u00e1nt le kell fedni\u00fck. Egy j\u00f3l fel\u00e9p\u00edtett k\u00e9rd\u00e9slista eset\u00e9ben a beszerz\u00e9s kock\u00e1zati d\u00f6nt\u00e9ss\u00e9 v\u00e1lik<\/strong>, nem puszt\u00e1n technol\u00f3giai v\u00e1laszt\u00e1ss\u00e1.<\/p>\n\n\n\n Az els\u0151 k\u00e9rd\u00e9scsoport az adatkezel\u00e9sre vonatkozik. A szervezetnek pontosan \u00e9rtenie kell, milyen adatok ker\u00fclnek a szolg\u00e1ltat\u00f3hoz, milyen c\u00e9lb\u00f3l, milyen ideig \u00e9s milyen jogi felt\u00e9telekkel. Generat\u00edv AI-n\u00e1l a promptok, felt\u00f6lt\u00f6tt dokumentumok, kimenetek, napl\u00f3k \u00e9s felhaszn\u00e1l\u00f3i metaadatok is relev\u00e1nsak lehetnek. Ebben a k\u00f6rben a prompt is adatkezel\u00e9si esem\u00e9ny lehet<\/strong>, k\u00fcl\u00f6n\u00f6sen akkor, ha \u00fcgyf\u00e9ladatot, \u00fczleti titkot vagy szem\u00e9lyes adatot tartalmaz.<\/p>\n\n\n\n Adatkezel\u00e9si k\u00e9rd\u00e9sek:<\/p>\n\n\n\n Milyen adatokat kezel a szolg\u00e1ltat\u00e1s a haszn\u00e1lat sor\u00e1n?<\/p>\n\n\n\n Felhaszn\u00e1lja-e a szolg\u00e1ltat\u00f3 a bemeneteket vagy kimeneteket modellk\u00e9pz\u00e9sre?<\/p>\n\n\n\n Kikapcsolhat\u00f3-e szerz\u0151d\u00e9sesen \u00e9s technikailag a tan\u00edt\u00e1si c\u00e9l\u00fa felhaszn\u00e1l\u00e1s?<\/p>\n\n\n\n Hol t\u00f6rt\u00e9nik az adatfeldolgoz\u00e1s \u00e9s adatt\u00e1rol\u00e1s?<\/p>\n\n\n\n Milyen adatmeg\u0151rz\u00e9si id\u0151k \u00e9rv\u00e9nyesek?<\/p>\n\n\n\n Hogyan t\u00f6rt\u00e9nik az adatok t\u00f6rl\u00e9se a szolg\u00e1ltat\u00e1s megsz\u0171n\u00e9sekor?<\/p>\n\n\n\n Milyen alv\u00e1llalkoz\u00f3k f\u00e9rhetnek hozz\u00e1 az adatokhoz?<\/p>\n\n\n\n Van-e lehet\u0151s\u00e9g \u00fcgyf\u00e9loldali adatmaszkol\u00e1sra vagy \u00e9rz\u00e9keny adatok kiz\u00e1r\u00e1s\u00e1ra?<\/p>\n\n\n\n A m\u00e1sodik k\u00e9rd\u00e9scsoport az inform\u00e1ci\u00f3biztons\u00e1gra \u00e9s hozz\u00e1f\u00e9r\u00e9s-kezel\u00e9sre ir\u00e1nyul. Egy generat\u00edv AI-szolg\u00e1ltat\u00e1s gyakran sok felhaszn\u00e1l\u00f3val, b\u00f6ng\u00e9sz\u0151n kereszt\u00fcl, felh\u0151alapon vagy API-n \u00e1t m\u0171k\u00f6dik. Ez megn\u00f6veli a hozz\u00e1f\u00e9r\u00e9s-kezel\u00e9s, napl\u00f3z\u00e1s \u00e9s konfigur\u00e1ci\u00f3 szerep\u00e9t. Ilyenkor a felhaszn\u00e1l\u00f3i jogosults\u00e1g AI-kontroll is<\/strong>, mert meghat\u00e1rozza, ki milyen adatokkal \u00e9s milyen c\u00e9lra haszn\u00e1lhatja az eszk\u00f6zt.<\/p>\n\n\n\n Biztons\u00e1gi k\u00e9rd\u00e9sek:<\/p>\n\n\n\n T\u00e1mogatott-e az egyszeri bejelentkez\u00e9s \u00e9s t\u00f6bbt\u00e9nyez\u0151s hiteles\u00edt\u00e9s?<\/p>\n\n\n\n Be\u00e1ll\u00edthat\u00f3k-e szerepk\u00f6ralap\u00fa jogosults\u00e1gok?<\/p>\n\n\n\n Napl\u00f3zhat\u00f3-e a felhaszn\u00e1l\u00f3i aktivit\u00e1s?<\/p>\n\n\n\n Export\u00e1lhat\u00f3k-e a napl\u00f3k ellen\u0151rz\u00e9si vagy incidensvizsg\u00e1lati c\u00e9lb\u00f3l?<\/p>\n\n\n\n Milyen titkos\u00edt\u00e1st alkalmaznak adat\u00e1tvitel \u00e9s adatt\u00e1rol\u00e1s sor\u00e1n?<\/p>\n\n\n\n Hogyan kezelik a s\u00e9r\u00fcl\u00e9kenys\u00e9geket?<\/p>\n\n\n\n Milyen incidensbejelent\u00e9si hat\u00e1rid\u0151t v\u00e1llal a szolg\u00e1ltat\u00f3?<\/p>\n\n\n\n Milyen biztons\u00e1gi tan\u00fas\u00edtv\u00e1nyok vagy auditjelent\u00e9sek \u00e9rhet\u0151k el?<\/p>\n\n\n\n A harmadik k\u00e9rd\u00e9scsoport a modellm\u0171k\u00f6d\u00e9sre \u00e9s kimenetekre vonatkozik. A generat\u00edv AI saj\u00e1toss\u00e1ga, hogy meggy\u0151z\u0151en megfogalmazott, de hib\u00e1s vagy nem ellen\u0151rz\u00f6tt kimenetet is adhat. Ez\u00e9rt nem el\u00e9g azt tudni, hogy a szolg\u00e1ltat\u00e1s \u201ej\u00f3l m\u0171k\u00f6dik\u201d. A szervezetnek \u00e9rtenie kell, milyen korl\u00e1tok mellett haszn\u00e1lhat\u00f3, milyen t\u00edpus\u00fa feladatokra aj\u00e1nlott, \u00e9s milyen esetekben sz\u00fcks\u00e9ges emberi ellen\u0151rz\u00e9s. Ezen a ponton az AI-kimenet nem automatikus igazs\u00e1g<\/strong>, hanem ellen\u0151rizend\u0151 munkaterm\u00e9k.<\/p>\n\n\n\n Modell- \u00e9s kimeneti k\u00e9rd\u00e9sek:<\/p>\n\n\n\n Milyen modell vagy modellcsal\u00e1d \u00e1ll a szolg\u00e1ltat\u00e1s m\u00f6g\u00f6tt?<\/p>\n\n\n\n Kap-e a szervezet \u00e9rtes\u00edt\u00e9st modellverzi\u00f3-v\u00e1ltoz\u00e1sr\u00f3l?<\/p>\n\n\n\n Milyen ismert korl\u00e1tai vannak a szolg\u00e1ltat\u00e1snak?<\/p>\n\n\n\n Milyen tesztel\u00e9si vagy valid\u00e1l\u00e1si dokument\u00e1ci\u00f3 \u00e9rhet\u0151 el?<\/p>\n\n\n\n Hogyan kezeli a szolg\u00e1ltat\u00f3 a pontatlan, k\u00e1ros vagy nem megfelel\u0151 kimeneteket?<\/p>\n\n\n\n Van-e tartalomsz\u0171r\u00e9s vagy biztons\u00e1gi korl\u00e1t?<\/p>\n\n\n\n T\u00e1mogatott-e az emberi fel\u00fclvizsg\u00e1lat munkafolyamata?<\/p>\n\n\n\n Megk\u00fcl\u00f6nb\u00f6ztethet\u0151-e a modell \u00e1ltal gener\u00e1lt tartalom az ember \u00e1ltal j\u00f3v\u00e1hagyott tartalomt\u00f3l?<\/p>\n\n\n\n A negyedik k\u00e9rd\u00e9scsoport a szerz\u0151d\u00e9ses elv\u00e1r\u00e1sokra vonatkozik. A szerz\u0151d\u00e9snek nemcsak az \u00e1rat \u00e9s szolg\u00e1ltat\u00e1si szintet kell r\u00f6gz\u00edtenie, hanem az AI-specifikus k\u00f6telezetts\u00e9geket is. Ide tartozik a felhaszn\u00e1l\u00e1si c\u00e9l, adathaszn\u00e1lat, v\u00e1ltoz\u00e1sbejelent\u00e9s, auditbizony\u00edt\u00e9k, alv\u00e1llalkoz\u00f3k kezel\u00e9se, incidens, t\u00f6rl\u00e9s, kil\u00e9p\u00e9s \u00e9s felel\u0151ss\u00e9gi hat\u00e1r. Ebben a keretben a szerz\u0151d\u00e9s az AI-ir\u00e1ny\u00edt\u00e1s jogi gerince<\/strong>, amelyhez a technikai be\u00e1ll\u00edt\u00e1soknak \u00e9s bels\u0151 szab\u00e1lyoknak illeszkedni\u00fck kell.<\/p>\n\n\n\n Szerz\u0151d\u00e9ses k\u00e9rd\u00e9sek:<\/p>\n\n\n\n R\u00f6gz\u00edti-e a szerz\u0151d\u00e9s a megengedett \u00e9s tiltott adathaszn\u00e1latokat?<\/p>\n\n\n\n V\u00e1llal-e a szolg\u00e1ltat\u00f3 adatfeldolgoz\u00f3i vagy m\u00e1s relev\u00e1ns jogi k\u00f6telezetts\u00e9geket?<\/p>\n\n\n\n El\u0151\u00edrhat\u00f3-e el\u0151zetes \u00e9rtes\u00edt\u00e9s l\u00e9nyeges szolg\u00e1ltat\u00e1sv\u00e1ltoz\u00e1sr\u00f3l?<\/p>\n\n\n\n R\u00f6gz\u00edti-e a szerz\u0151d\u00e9s az alv\u00e1llalkoz\u00f3k kezel\u00e9s\u00e9t?<\/p>\n\n\n\n Milyen audit- vagy bizony\u00edt\u00e9kszolg\u00e1ltat\u00e1si jogok vannak?<\/p>\n\n\n\n Mi t\u00f6rt\u00e9nik szolg\u00e1ltat\u00e1smegsz\u0171n\u00e9skor az adatokkal \u00e9s napl\u00f3kkal?<\/p>\n\n\n\n Van-e t\u00e1mogatott adatexport vagy \u00e1t\u00e1ll\u00e1si lehet\u0151s\u00e9g?<\/p>\n\n\n\n Milyen felel\u0151ss\u00e9gi korl\u00e1tokat tartalmaz a szerz\u0151d\u00e9s?<\/p>\n\n\n\n Az \u00f6t\u00f6dik k\u00e9rd\u00e9scsoport a szervezeti bevezet\u00e9sre \u00e9s m\u0171k\u00f6dtet\u00e9sre ir\u00e1nyul. M\u00e9g a legjobb szolg\u00e1ltat\u00f3i kontroll is gyenge lesz, ha a szervezet nem hat\u00e1rozza meg a bels\u0151 haszn\u00e1lati szab\u00e1lyokat. Ki haszn\u00e1lhatja az eszk\u00f6zt? Milyen adatokkal? Milyen kimenetet kell ellen\u0151rizni? Ki hagyhat j\u00f3v\u00e1 \u00fcgyf\u00e9lnek sz\u00e1nt tartalmat? Hogyan kell hib\u00e1t vagy incidenst jelenteni? Ezen a ponton a besz\u00e1ll\u00edt\u00f3i kontroll bels\u0151 m\u0171k\u00f6d\u00e9si szab\u00e1lly\u00e1 v\u00e1lik<\/strong>, k\u00fcl\u00f6nben a felhaszn\u00e1l\u00f3k saj\u00e1t \u00e9rtelmez\u00e9s\u00fck szerint alkalmazz\u00e1k az eszk\u00f6zt.<\/p>\n\n\n\n Bels\u0151 m\u0171k\u00f6dtet\u00e9si k\u00e9rd\u00e9sek:<\/p>\n\n\n\n Ki az \u00fczleti tulajdonosa a szolg\u00e1ltat\u00e1snak?<\/p>\n\n\n\n Ki felel a szolg\u00e1ltat\u00f3 rendszeres fel\u00fclvizsg\u00e1lat\u00e1\u00e9rt?<\/p>\n\n\n\n Milyen adatkateg\u00f3ri\u00e1kkal enged\u00e9lyezett a haszn\u00e1lat?<\/p>\n\n\n\n Milyen c\u00e9lokra tilos a szolg\u00e1ltat\u00e1s haszn\u00e1lata?<\/p>\n\n\n\n Milyen kimenetek ig\u00e9nyelnek emberi j\u00f3v\u00e1hagy\u00e1st?<\/p>\n\n\n\n Hogyan kell dokument\u00e1lni a l\u00e9nyeges felhaszn\u00e1l\u00e1si eseteket?<\/p>\n\n\n\n Milyen k\u00e9pz\u00e9s sz\u00fcks\u00e9ges a felhaszn\u00e1l\u00f3knak?<\/p>\n\n\n\n Hogyan t\u00f6rt\u00e9nik a panaszok, hib\u00e1k \u00e9s incidensek kezel\u00e9se?<\/p>\n\n\n\n A k\u00e9rd\u00e9slista haszn\u00e1lata akkor eredm\u00e9nyes, ha a v\u00e1laszokb\u00f3l d\u00f6nt\u00e9s sz\u00fcletik. A v\u00e1lasz lehet elfogad\u00e1s, felt\u00e9teles elfogad\u00e1s, tov\u00e1bbi bizony\u00edt\u00e9kk\u00e9r\u00e9s, korl\u00e1tozott pilot, szerz\u0151d\u00e9sm\u00f3dos\u00edt\u00e1s vagy elutas\u00edt\u00e1s. A besz\u00e1ll\u00edt\u00f3 nem att\u00f3l megfelel\u0151, hogy minden k\u00e9rd\u00e9sre t\u00f6k\u00e9letes v\u00e1laszt ad, hanem att\u00f3l, hogy a szolg\u00e1ltat\u00e1s kock\u00e1zata \u00e9rthet\u0151, kontroll\u00e1lhat\u00f3 \u00e9s a haszn\u00e1lati c\u00e9lhoz k\u00e9pest elfogadhat\u00f3. \u00cdgy a besz\u00e1ll\u00edt\u00f3i d\u00f6nt\u00e9s az elfogadhat\u00f3 kock\u00e1zatr\u00f3l sz\u00f3l<\/strong>, nem arr\u00f3l, hogy l\u00e9tezik-e kock\u00e1zatmentes AI-szolg\u00e1ltat\u00e1s.<\/p>\n\n\n\n A harmadik felek, besz\u00e1ll\u00edt\u00f3k \u00e9s k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1sok kezel\u00e9se az AI ir\u00e1ny\u00edt\u00e1si rendszer egyik leggyakorlatiasabb ter\u00fclete. A szervezetnek nem kell minden modellt saj\u00e1t maga fejlesztenie, de minden k\u00fcls\u0151 AI-haszn\u00e1latn\u00e1l tudnia kell, milyen adatot ad \u00e1t, milyen modellt\u0151l f\u00fcgg, milyen bizony\u00edt\u00e9kokra t\u00e1maszkodik, milyen szerz\u0151d\u00e9ses jogai vannak, \u00e9s hogyan kezeli a v\u00e1ltoz\u00e1sokat. A felel\u0151s AI-ir\u00e1ny\u00edt\u00e1s l\u00e9nyege itt az, hogy a k\u00fcls\u0151 technol\u00f3gia ne v\u00e1ljon bels\u0151 vakfoltt\u00e1.<\/p>\n\n\n\n Boyens, J., Paulsen, C., Moorthy, R., & Bartol, N. (2022). Cybersecurity supply chain risk management practices for systems and organizations<\/em> (NIST Special Publication 800-161 Revision 1). National Institute of Standards and Technology. https:\/\/doi.org\/10.6028\/NIST.SP.800-161r1<\/p>\n\n\n\n European Parliament & Council of the European Union. (2024). Regulation (EU) 2024\/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence<\/em>. Official Journal of the European Union. https:\/\/eur-lex.europa.eu\/eli\/reg\/2024\/1689\/oj\/eng<\/p>\n\n\n\n European Union Agency for Cybersecurity. (2021). ENISA threat landscape for supply chain attacks<\/em>. ENISA. https:\/\/www.enisa.europa.eu\/publications\/threat-landscape-for-supply-chain-attacks<\/p>\n\n\n\n International Organization for Standardization. (2021). ISO\/IEC 27036-1:2021: Cybersecurity \u2014 Supplier relationships \u2014 Part 1: Overview and concepts<\/em>. ISO. https:\/\/www.iso.org\/standard\/82905.html<\/p>\n\n\n\n International Organization for Standardization. (2023a). ISO\/IEC 42001:2023: Information technology \u2014 Artificial intelligence \u2014 Management system<\/em>. ISO. https:\/\/www.iso.org\/standard\/42001<\/p>\n\n\n\n International Organization for Standardization. (2023b). ISO\/IEC 23894:2023: Information technology \u2014 Artificial intelligence \u2014 Guidance on risk management<\/em>. ISO. https:\/\/www.iso.org\/standard\/77304.html<\/p>\n\n\n\nA besz\u00e1ll\u00edt\u00f3i \u00e1tvil\u00e1g\u00edt\u00e1s AI-specifikus szempontjai<\/h2>\n\n\n\n
Szerz\u0151d\u00e9ses \u00e9s technikai kontrollok kapcsolata<\/h2>\n\n\n\n
V\u00e1ltoz\u00e1sbejelent\u00e9s, audit\u00e1lhat\u00f3s\u00e1g \u00e9s bizony\u00edt\u00e9kok<\/h2>\n\n\n\n
Besz\u00e1ll\u00edt\u00f3i k\u00e9rd\u00e9slista generat\u00edv AI-szolg\u00e1ltat\u00e1shoz<\/h2>\n\n\n\n
Felhaszn\u00e1lt szakirodalom<\/h2>\n\n\n\n