27.2.1. Red Team megbízólevél minta

2025.10.06.
AI Biztonság Blog

Egyetlen professzionális Red Team művelet sem indulhat el nélküle. Ez a dokumentum a jogi pajzsod, a felhatalmazásod és a legfontosabb biztosítékod egy esetleges félreértés vagy hatósági vizsgálat esetén. A megbízólevél, vagy ahogy a szakmai szlengben hívják, a „Szabadulás a börtönből kártya”, nem csupán egy formalitás, hanem a művelet alapköve.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A megbízólevél jogi és gyakorlati szerepe

A Red Teaming tevékenység a felszínen kísértetiesen hasonlít egy valós kibertámadásra. A rendszerek feltörése, adatokhoz való hozzáférés, a védelmi mechanizmusok kijátszása mind olyan cselekmények, amelyek megfelelő felhatalmazás nélkül súlyos bűncselekménynek minősülnek. A megbízólevél (Letter of Authorization – LoA) az a jogi dokumentum, amely egyértelműen és visszavonhatatlanul igazolja, hogy a tevékenységedet a megbízó tudtával és kifejezett kérésére végzed.

A „Szabadulás a börtönből” kártya

Képzeld el a helyzetet: a műveletedet egy külső fél (például a megbízó internetszolgáltatója vagy egy felhőszolgáltató biztonsági csapata) észleli, és illegális behatolásként jelenti a hatóságoknak. Ebben a pillanatban a megbízólevél az egyetlen hivatalos irat, amellyel bizonyítani tudod a tevékenységed jogszerűségét. Enélkül komoly jogi következményekkel nézhetsz szembe, függetlenül a megbízóval kötött szóbeli megállapodástól.

A felhatalmazás határainak kijelölése

A dokumentum nemcsak védelmet nyújt, hanem a játékszabályokat is rögzíti. Precízen definiálja a művelet hatókörét (scope), az engedélyezett célpontokat, a tesztelés időablakát és a megengedett módszereket. Ez mindkét fél számára egyértelmű kereteket szab: a Red Team tudja, meddig mehet el, a megbízó pedig biztos lehet benne, hogy a tesztelés nem okoz kárt a hatókörön kívüli rendszerekben vagy adatokban.

Minta: AI Red Team Megbízólevél

Az alábbi minta egy általános sablon, amelyet minden esetben az adott megbízás specifikumaihoz kell igazítani, és jogi szakértővel is érdemes átnézetni. A megjegyzések segítenek értelmezni az egyes szekciók fontosságát.

FELHATALMAZÁS ÉS MEGBÍZÓLEVÉL
AI RENDSZEREK RED TEAM TESZTELÉSÉRE

Kiadás dátuma: [Dátum: ÉÉÉÉ.HH.NN.]
A dokumentum kiállításának hivatalos dátuma.
Érvényesség: [Kezdő dátum és időpont, UTC][Befejező dátum és időpont, UTC]
Kritikusan fontos a pontos időintervallum megadása, beleértve az időzónát is, hogy elkerülhetők legyenek a félreértések. Minden, ezen az intervallumon kívül eső tevékenység jogosulatlannak minősül.
1. Megbízó Fél (Felhatalmazó):
Cégnév: [Megbízó Cég Neve]
Székhely: [Cég címe]
Adószám: [Cég adószáma]
Képviseli: [Aláíró személy neve, beosztása]
Annak a szervezetnek az adatai, amely a tesztelést megrendelte. Az aláírónak rendelkeznie kell a megfelelő jogkörrel a felhatalmazás megadásához (pl. CISO, CIO, CEO).
2. Megbízott Fél (Felhatalmazott Red Team):
Cégnév/Szervezet: [Red Team Szolgáltató Neve]
Székhely: [Szolgáltató címe]
A műveletben résztvevő csapattagok: [Név1, Név2, Név3…]
A tesztelést végző cég és a műveletben hivatalosan részt vevő személyek listája. Csak az itt felsorolt személyek jogosultak a tevékenység végzésére.
3. A felhatalmazás tárgya:

A [Megbízó Cég Neve] (a továbbiakban: Megbízó) ezennel felhatalmazza a [Red Team Szolgáltató Neve] (a továbbiakban: Megbízott) fent nevesített tagjait, hogy a jelen dokumentumban meghatározott keretek között ellenőrzött, támadó jellegű biztonsági tesztelést (Red Teaming) hajtsanak végre a Megbízó alább részletezett AI rendszerein és kapcsolódó infrastruktúráján.

4. Tesztelési Célpontok (Hatókör / Scope):

A felhatalmazás kizárólag az alábbi, tételesen felsorolt célpontokra terjed ki:

  • Modell végpontok: [pl. api.pelda.hu/v1/chat, model-serving.internal-domain/predict]
  • Webes alkalmazások: [pl. www.pelda-ai-app.hu, admin.pelda-ai-app.hu]
  • IP-cím tartományok: [pl. 192.168.1.0/24, 10.0.0.0/16]
  • Fizikai helyszínek: [pl. Adatközpont, 1234 Budapest, Teszt utca 1.]
  • Adatbázisok: [pl. production_model_data_db (csak olvasási hozzáférés)]

Ez a legkritikusabb rész. A célpontokat a lehető legpontosabban kell meghatározni. Ami itt nem szerepel, az tiltott terület (out of scope).

5. Engedélyezett Tevékenységek:

A Megbízott jogosult a következő, nem kizárólagos listában szereplő technikák alkalmazására: prompt injection, modell-manipuláció, adat-exfiltrációs tesztek, a modell betanítási adatainak visszafejtésére tett kísérletek, social engineering (kizárólag az előre egyeztetett célcsoportra), DoS-támadások szimulációja (kizárólag az előre egyeztetett időablakban).

Itt kell felsorolni, hogy milyen típusú támadásokat szimulálhat a csapat. A különösen destruktív teszteket (pl. DoS) külön ki kell emelni.

6. Kifejezetten Tiltott Tevékenységek:

A Megbízott számára szigorúan tilos: a hatókörön (scope) kívüli rendszerek támadása, éles felhasználói vagy üzleti adatok szándékos módosítása vagy törlése, a szolgáltatás szándékos, a tesztelési célokat meghaladó megszakítása.

Ami engedélyezett, azt is korlátozni kell. Egyértelművé kell tenni, mi az, ami semmilyen körülmények között nem megengedett.

7. Sürgősségi Kapcsolattartók:

Bármilyen, a művelet során felmerülő incidens vagy váratlan esemény esetén a Megbízott haladéktalanul köteles értesíteni a Megbízó alábbi kapcsolattartóit:

  • Elsődleges kontakt: [Név, Beosztás, Telefonszám, E-mail]
  • Másodlagos kontakt: [Név, Beosztás, Telefonszám, E-mail]

A „de-konfliktációs” csatorna. Ha valami balul sül el, vagy a Blue Team riadót fúj, ezen a számon lehet tisztázni a helyzetet. 24/7 elérhetőség javasolt.

Alulírott [Aláíró személy neve], mint a [Megbízó Cég Neve] képviselője, kijelentem, hogy a fenti információk a valóságnak megfelelnek, és teljes felelősséget vállalok a jelen dokumentumban foglalt felhatalmazás megadásáért.

____________________________________
[Aláíró személy neve]
[Beosztás]
[Megbízó Cég Neve]
(Cégszerű aláírás)

Kritikus elemek és buktatók

Egy rosszul megírt megbízólevél többet árthat, mint használ. A sablon használata során figyelj a következőkre:

  • Túl általános hatókör: A „cég teljes hálózata” típusú megfogalmazás veszélyes. Legyél a lehető legspecifikusabb (IP-címek, domain nevek, alkalmazásverziók).
  • Hiányzó időkorlát: A dátum és időpont nélküli felhatalmazás érvénytelen. Mindig legyen kezdő és befejező időpont, lehetőleg UTC-ben megadva.
  • Nem megfelelő aláíró: Győződj meg róla, hogy a megbízólevélen szereplő aláíró valóban rendelkezik a szükséges jogkörrel a cégen belül. Egy alacsonyabb szintű vezető aláírása nem biztos, hogy elegendő jogi védelmet nyújt.
  • Elérhetetlen kapcsolattartó: A sürgősségi kontaktoknak a tesztelés teljes ideje alatt elérhetőnek kell lenniük. Egy incidens esetén minden perc számít.
  • Fizikai birtoklás: A Red Teamnek a művelet teljes ideje alatt rendelkeznie kell a dokumentum egy másolatával (digitális és/vagy nyomtatott formában), hogy szükség esetén azonnal fel tudja mutatni.

27.1.5 Accountability keretrendszer

2025.10.06.

27.2.2. Szolgáltatási szerződés sablon

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit