"Slėptis ir riboti arba suprati grėsmes ir jas valdyti. Tarp
šių dviejų pasirinkimų šiandien laviruoja verslai, naudojami dirbtinio
intelekto (AI) sprendimus. Netrukus įsigalios ilgai lauktas Europos Sąjungos dirbtinio
intelekto aktas (AI aktas). Tačiau kaip saugiai tvarkytis su AI ir kokius
principus taikyti – kol kas yra ir dar kurį laiką bus kiekvieno verslo
reikalas. Ir dažnai tai paliekama spręsti kiekvienam darbuotojui asmeniškai.
Tad kaip galima sumažinti kylančias rizikas, keliant duomenis į AI įrankius?
Algoritmai analizuodami informaciją prognozuoja rinkos
tendencijas ir net rekomenduoja strateginius sprendimus, tačiau norint
rezultatų, reikia jiems patikėti duomenis. Čia kyla konfidencialumo,
intelektinės nuosavybės, o kartu – ir asmens duomenų kontrolės praradimo
rizikos.
Tarp rizikų – ir diskriminacija,
ir įsilaužimas, ir duomenų nutekėjimas
Pirmiausia, AI gali
turėti prieigą prie didžiulių duomenų rinkinių, kuriuose gali būti asmens
duomenys. Netinkamas tokių duomenų
tvarkymas gali lemti privatumo pažeidimus ir netgi galimą duomenų vagystę.
Antra, AI sistemose gali būti užprogramuotas tam tikras nusistatymas, jei
testinės aplinkos duomenys yra netikslūs arba neteisingi.
Tai gali lemti diskriminaciją pagal lytį, rasę, amžių ar
kitus veiksnius, o tai gali būti neigiamas visuomenės atžvilgiu. Trečia,
nesaugus AI gali būti pažeidžiamas įsilaužėlių atakoms. Jei nebus tinkamai
apsaugotos AI sistemos, tai gali lemti AIdelius duomenų nutekėjimus ar net
kibernetinę katastrofą. Galiausiai, AI sistemų sprendimai gali būti sudėtingi
ir nepastovūs, todėl gali būti sunku suprasti, kaip šie sprendimai buvo priimti
ir kodėl ir, atitinkamai, juos paaiškinti duomenų subjektams.
Reguliavimas Europoje prasidės tik po 2 metų
2024 m. gegužės 21 d. Europos Taryba priėmė ilgai lauktą AI
aktą. Artimiausiu metu jis bus paskelbtas ES oficialiajame leidinyje ir
įsigalios praėjus 20 d. po šio paskelbimo. Naujasis reglamentas bus pradėtas
taikyti tik praėjus 2 m. nuo jo įsigaliojimo, su tam tikromis išimtimis
konkrečioms nuostatoms.
Nacionaliniame lygmenyje Lietuva yra viena pirmųjų valstybių
narių ES, patvirtinusių nacionalinę AI strategiją. Taip pat Seimas visiškai
neseniai rezoliucija patvirtino AI naudojimo viešajame sektoriuje principus.
Tad, regis, einama reguliavimo kryptimi.
Rizikas vis tiek reikia įvertinti patiems
Vis dėlto, šiandien egzistuojantys duomenų apsaugos teisės
aktai aiškiai nenusako AI naudojimo ir, be abejo, to nedraudžia. Duomenų
apsaugos reglamentavime laikomasi rizika pagrįsto požiūrio. Tai reiškia, kad
verslai patys turi atidžiai įvertinti riziką, kurią AI sprendimų naudojimas
kelia žmonių teisėms ir laisvėms. Tada turi įgyvendinti tinkamas priemones, kad
pakankamai sumažintų arba valdytų tą riziką.
Yra įmonių, kurios yra nusprendusios drausti savo darbuotojams
naudoti AI sprendimus darbiniais tikslais. Kitos priešingai – aktyviai ieško
įrankių, kurie labiausiai atitiktų jų rinkos poreikius ir juos testuoja.
Renkasi tarp brangesnių uždarų ir valdomų (neprarandant duomenų/asmens duomenų
kontrolės) AI modelių verslui ir pigesnių ar nemokamų, bet nevaldomų.
Pasak „Such Much AI“ vieno iš įkūrėjų ir vadovo Edmundo
Balčikonio, pastaruoju metu išryškėjo kita tendencija – išaugo verslo
susidomėjimas atviro kodo AI sprendimais.
Pavyzdžiui, tarp tokių sprendimų yra
„Meta“ (anksčiau „Facebook") kuriami AI atviro kodo "Llama 3"
modeliai. Pagal atviro kodo licenciją „Meta“ paskelbė savo modelių technines
detales ir šaltinio kodą, kuriuo galima nemokamai naudotis, integruoti ir
keisti pagal savo poreikius.
Pritaikius atviro kodo AI modelį procese, kuris bus daug
naudojamas, galutinė kaina ir kaštai gali būti dešimtimis kartų mažesnė, nei
uždaro kodo sprendimų.
Be to, atviro kodo sprendimus siūlantys pagrindiniai
debesijos („cloud") paslaugų tiekėjai, tokie kaip „Amazon Web
Services", „Google Cloud Platform", „Microsoft Azure", „Oracle
Cloud" ar kiti, siūlo greitą integraciją, aukščiausius duomenų apsaugos
standartus, neprarandant duomenų kontrolės.
Instrukcijos, saugumo auditai, patvirtinta politika
O kokiomis priemonėmis valdyti dėl žmonių veiksmų kylančias
rizikas? Pirmiausia, reikia suprasti, kad asmeniškai darbuotojų naudojamų
sistemų nesukontroliuosime, todėl vertėtų pasiruošti atmintinę ir, priklausomai
nuo rinkos, kurioje veikiate, nusistatyti tam tikras taisykles ir raudonas
linijas, pvz., instruktuoti, kas įmonėje yra laikoma konfidencialia informacija
ir komercine paslaptimi, priminti, kas yra asmens duomenys ir kt.
Kai kalbame apie įmonės centralizuotai priimamas ir
naudojamas sistemas, yra rekomenduojama pasidaryti ne tik rizikos vertinimą,
mini auditus, bet ir poveikio duomenų apsaugai vertinimą, kuomet yra nustatomos
rizikos ir priemonės joms minimizuoti.
Pavyzdžiui, galbūt, duomenis, prieš
teikiant į AI sistemas, galima pseudonimizuoti, prašyti tam tikrų techninių ir
organizacinių priemonių iš AI sistemų tiekėjo – tarkime, skirti jums specialų
serverį ir duomenų lokalizavimo mechanizmus ir kt.
Prieš pradėdami klientų duomenis tvarkyti AI priemonėmis bei
ruošdami savo išorines privatumo politikas ir sutartis su klientais, būtinai
pagalvokite, ar jie žino, kad jų duomenys yra apdorojami AI įrankių? Ar turite
tam tinkamą pagrindą ir esate jį tinkamai įvertinę? Jei bent vienas iš klientų
paprašys nenaudoti jo duomenų ir neapdoroti AI sistemomis – ar turėsite galimybę
tą užtikrinti? Ar turėsite galimybę atsakyti į duomenų prieinamumo užklausą
(angl. access requests), jei tokia pasitaikys?
Trumpuoju laikotarpiu būtų pravartu pasitvirtinti politiką,
kaip įmonė laikosi AI valdymo principų, o ilgalaikėje perspektyvoje – turėti
strategiją, kaip AI bus įdarbinama ateityje ir kokie įrankiai naudojami.
Taip pat įmonėms reikėtų atlikti reguliarius saugumo auditus
ir atnaujinti saugumo priemones, kad būtų užtikrinta, jog AI sistemos yra
apsaugotos nuo įsilaužėlių. Kadangi padedami AI įrankių dažnai veikia ir
įsilaužėliai, tai sukuria nuolatinį atsakomųjų priemonių ciklą, todėl
besiginantiems nuo tokių atakų būtina išlikti priekyje.
Neužteks valandos trunkančių mokymų
Nors AI yra galingas duomenų privatumo ir saugumo įrankis,
žmogiškasis elementas išlieka labai svarbus. AI sistemos yra tiek veiksmingos,
kiek jas kuria, diegia ir valdo žmonės. Žmogaus sprendimas ir kompetencija yra
gyvybiškai svarbūs prižiūrint AI pagrįstas saugumo priemones ir reaguojant į
kylančias grėsmes.
Na, ir galiausiai – paskutinis aspektas: nuolat papildyti ir
atnaujinti žinių bagažą. Valandą trunkančių mokymų čia neužteks. Organizacijos
turėtų investuoti į nuolatinius savo darbuotojų mokymus kibernetinio saugumo
bei AI klausimais, kad jie suprastų riziką, atpažintų galimas grėsmes ir
veiksmingai naudotų AI pagrįstas saugos priemones.
Šiandien, kai žmonių dėmesio langas yra toks trumpas,
nepamirškite ir kitų, kartais netgi veiksmingesnių priemonių: nuolat priminti
svarbiausius akcentus pasitelkiant pranešimus (angl. push notifications) ar
bendrus laiškus/žinutes intranete, plakatus bendro naudojimo patalpose ir
panašius būdus. Tik tinkamai įvaldę ir įsivardinę rizikas galime tikėtis, kad AI dirbs ne prieš mus, o su mumis."
Komentarų nėra:
Rašyti komentarą