Verslo duomenų apsauga dirbtinio intelekto eroje: ar gali pagelbėti ISO standartai?
Duomenų apsauga šiuolaikiniame verslo pasaulyje įgauna ypatingą reikšmę – o ypač tuomet, kai nereta organizacija savo veiklos procesams pagerinti, palengvinti ir (ar) pagreitinti pasitelkia dirbtinį intelektą (angl. artificial intelligence arba AI). Tiesa, drauge su vos keletą metų skaičiuojančiomis technologijomis kyla ir naujos, kol kas nebūtinai pamatuotos bei įvertintos rizikos. Jas besidžiaugdamos AI teikiamais privalumais įmonės neretai pamiršta. Tad kyla klausimas: ar sėkmingas AI įrankių naudojimas bei konfidencialios informacijos, organizacijos know-how ir klientų duomenų apsauga – išties efektyvus, o galbūt nesuderinamas duetas? O jei priimti teisingus sprendimus informacijos apsaugai nuo AI keliamų grėsmių padėtų ISO standartai?
Duomenų apsauga ir dirbtinio intelekto programos: kam naudojama ir kuo rizikuojama?
Dirbtinio intelekto programų pasaulis nepaprastai platus – tokių įrankių skaičiuojami kone tūkstančiai. Nors kai kurie yra itin specializuoti ir skirti atlikti konkrečias užduotis, kiti AI įrankiai sėkmingai pritaikomi įvairiose verslo srityse, kasdienėje veikloje, kūrybiniuose procesuose ir net asmeniniame gyvenime.
Plačiai žinomos dirbtinio intelekto programos (pavyzdžiui, „ChatGPT“) informuoja vartotojus apie jų duomenų saugojimo, laikymo ir naudojimo tvarką. Tiesa, siekdami išskirtinumo ar pagalbos atliekant specifines užduotis, verslai renkasi ir itin naujus, nebūtinai autoritetingus AI įrankius. Jų taikoma duomenų apsauga ne visuomet pakankamai skaidri, o kartais interneto svetainėje nepateikiama net privatumo politika.
Kas gali nutikti su duomenimis, kuriuos lengva ranka atiduodame dirbtiniam intelektui? Galimi keli scenarijai:
- Dirbtinio intelekto įrankiui suteikiame jautrią informaciją, konfidencialius įmonės duomenis. Manome, kad jie nebus naudojami pokalbyje su kitu vartotoju. Dirbtinis intelektas, mokydamasis iš jam pateiktų užklausų, informaciją priima kaip gerąją praktiką ir ja toliau dalinasi su kitais, nieko bendro su mūsų verslu neturinčiais įrankio naudotojais.
- Ieškome įkvėpimo internete. Kaip pavyzdį ar idėją pateikiame konkurento informaciją. Rezultatas – stinga originalumo, o AI į užduotį nepažvelgus pakankamai kūrybiškai, auga ir plagijavimo rizika.
- Nepateikiame nei mūsų verslui jautrios, nei konkurentų sukurtos informacijos, tačiau nepatikriname galutinio rezultato originalumo – mums nežinant, kokiu šaltiniu pateikdamas atsakymą naudojosi AI, vis dar išlieka plagijavimo rizika.
ISO standartai ir jų vaidmuo AI grėsmių prevencijoje
Duomenų apsauga su ISO 27001 – AI (ir ne tik) keliamoms rizikoms valdyti
ISO 27001 – tarptautinis standartas, skirtas įmonės informacijos saugumo valdymo sistemoms įgyvendinti ir nuolat tobulinti. ISO 27001 standartas apima platų veiksmų spektrą maksimaliai duomenų apsaugai – nuo potencialių grėsmių identifikavimo iki efektyvių apsaugos priemonių diegimo ir nuolatinio jų vertinimo.
Informacijos saugos ISO standartų diegimas padeda užtikrinti, kad visa jautri organizacijos, jos partnerių ar klientų informacija būtų apsaugota nuo įvairių grėsmių – taip pat ir tų, kurios gali kilti dėl dirbtinio intelekto naudojimo. Vienas tokių pavyzdžių – konfidencialios informacijos nutekinimas, kai darbuotojai, besinaudojantys DI įrankiais, nebuvo pakankamai edukuojami apie įmonėje priimtas duomenų saugojimo ir apdorojimo taisykles – kyla rizika, kad jautri informacija gali būti atskleista netyčia.
Tokiose situacijose vienu efektyviausių sprendimo būdų tampa kruopštus ISO 27001 standartu paremtos informacijos saugumo valdymo sistemos laikymasis. Ji suteikia tvirtą pagrindą užkirsti kelią galimoms grėsmėms ir apsaugoti duomenis, kurie negali būti matomi viešai ar atskleidžiami trečiosioms šalims.
ISO 42001 – NAUJAS standartas dirbtinio intelekto vadybos sistemai
Reaguojant į sparčią DI technologijų plėtrą ir siekį suvaldyti su jomis susijusias rizikas, ISO/IEC 42001:2023 standartas buvo priimtas 2023 m. Tai – tarptautinis susitarimas, skirtas užtikrinti atsakingą dirbtinio intelekto įrankių kūrimą bei naudojimą organizacijose, įskaitant valdymą, rizikos vertinimą, etikos principų laikymąsi ir skaidrumą (kaip ir ISO 27001 atveju). Vieni ryškiausių standarto privalumų – sistemingas su DI susijusių grėsmių valdymas; didesnis klientų bei partnerių pasitikėjimas ir konkurencinis pranašumas demonstruojant atsakingą naudojimąsi naujausiomis technologijomis.
ISO 42001 standartas naudingas tiek organizacijoms, kurios DI produktus vysto pačios, tiek ir įmonėms, pasitelkiančioms jau sukurtus DI įrankius savo veikloje. Atsakingas dirbtinio intelekto vadybos sistemos diegimas ir jos laikymasis užkerta kelią šioms grėsmėms:
- algoritmo šališkumas;
- privatumo pažeidimai, duomenų apsauga nuo kibernetinių atakų;
- skaidrumas – informuotumas apie DI modelių veikimą;
- atskaitomybė nesuvaldžius rizikų;
- etiškas sprendimų priėmimas.
Dirbtinis intelektas – kasdienybė organizacijoje. Ar duomenų apsaugai pakaks ISO 27001, o galbūt tinkamesnis sprendimas – ISO 42001 sertifikatas?
Svarbu pažymėti, kad šie standartai ne konkuruoja, o papildo vienas kitą, tad galimas ir abiejų ISO standartų derinys. ISO 27001 užtikrina sklandų informacijos saugumo sistemos įdiegimą ir laikymąsi – ši sistema apsaugo ne tik nuo AI keliamų rizikų, bet ir kitų galimų grėsmių – pvz., žmogiškųjų klaidų, kai duomenys tretiesiems asmenims perduodami netyčia. Tuo tarpu ISO 42001 standartas paremtas gairėmis, susijusiomis tik su AI keliamų grėsmių kontroliavimu. Jei ISO 27001 – standartas, šiandien rekomenduojamas daugumai savo ar klientų jautrius duomenis apsaugoti norinčių įmonių, ISO 42001 aktualus tik toms organizacijoms, kurių veikloje bent iš dalies, o gal ir visiškai pasikliaujama dirbtinio intelekto pagalba.
ISO standartai efektyviam verslo valdymui ir pozityviai organizacijos kultūrai
Terminas „ISO standartas“ – puikiai pažįstamas, tačiau ne itin išnaudojamas kasdieniuose organizacijos procesuose? Laikas plėstis į naujus horizontus! Bendraukime ir aptarkime, kaip ISO standartai gali prisidėti prie Jūsų verslo efektyvumo.