- Trumpai
- Duomenų apsauga ir dirbtinio intelekto programos: kam naudojama ir kuo rizikuojama?
- TOP 3 AI grėsmių grupės: kas aktualiausia organizacijoms?
- ISO 42001 – NAUJAS standartas dirbtinio intelekto vadybos sistemai
- Dirbtinis intelektas. Ką rinktis duomenų apsaugai: ISO 27001 ar ISO 42001 sertifikatą?
- Dažniausiai užduodami klausimai
Duomenų apsauga šiuolaikiniame verslo pasaulyje įgauna ypatingą reikšmę – o ypač tuomet, kai nereta organizacija savo veiklos procesams pagerinti, palengvinti ir (ar) pagreitinti pasitelkia dirbtinį intelektą (angl. artificial intelligence arba AI). Tiesa, drauge su vos keletą metų skaičiuojančiomis technologijomis kyla ir naujos, kol kas nebūtinai pamatuotos bei įvertintos rizikos. Jas, besidžiaugdamos AI teikiamais privalumais, įmonės neretai pamiršta. Tad kyla klausimas: ar sėkmingas AI įrankių naudojimas bei konfidencialios informacijos, organizacijos know-how ir klientų duomenų apsauga – išties efektyvus, o galbūt nesuderinamas duetas? O jei priimti teisingus sprendimus informacijos apsaugai nuo AI keliamų grėsmių padėtų ISO standartai?
Trumpai
- Dirbtinio intelekto įrankiai gali pagreitinti verslo procesus, tačiau kartu kelia ir naujų duomenų apsaugos rizikų.
- Dažniausiai pasitaikančios grėsmės: duomenų nutekinimas, algoritmų šališkumas ir neaiškūs trečiųjų šalių (AI tiekėjų) duomenų tvarkymo procesai.
- ISO 27001 padeda valdyti visas organizacijos informacijos saugos rizikas, ne tik tas, kurias sukelia AI.
- ISO 42001 – naujas standartas, skirtas atsakingam dirbtinio intelekto valdymui ir rizikų suvaldytam taikymui organizacijose.
- Abu standartai vienas kitą papildo: ISO 27001 užtikrina bendrą duomenų apsaugą, ISO 42001 – AI rizikų priežiūrą.
Duomenų apsauga ir dirbtinio intelekto programos: kam naudojama ir kuo rizikuojama?
Dirbtinio intelekto programų pasaulis nepaprastai platus – tokių įrankių skaičiuojami kone tūkstančiai. Nors kai kurie yra itin specializuoti ir skirti atlikti konkrečias užduotis, kiti AI įrankiai sėkmingai pritaikomi įvairiose verslo srityse, kasdienėje veikloje, kūrybiniuose procesuose ir net asmeniniame gyvenime.
Plačiai žinomos dirbtinio intelekto programos (pavyzdžiui, „ChatGPT“) informuoja vartotojus apie jų duomenų saugojimo, laikymo ir naudojimo tvarką. Tiesa, siekdami išskirtinumo ar pagalbos atliekant specifines užduotis, verslai renkasi ir itin naujus, nebūtinai autoritetingus AI įrankius. Jų taikoma duomenų apsauga ne visuomet pakankamai skaidri, o kartais interneto svetainėje nepateikiama net privatumo politika.
Kas gali nutikti su duomenimis, kuriuos lengva ranka atiduodame dirbtiniam intelektui?
Galimi keli scenarijai:
- Dirbtinio intelekto įrankiui suteikiame jautrią informaciją, konfidencialius įmonės duomenis. Manome, kad jie nebus naudojami pokalbyje su kitu vartotoju. Dirbtinis intelektas, mokydamasis iš jam pateiktų užklausų, informaciją priima kaip gerąją praktiką ir ja toliau dalinasi su kitais, nieko bendro su mūsų verslu neturinčiais įrankio naudotojais.
- Ieškome įkvėpimo internete. Kaip pavyzdį ar idėją pateikiame konkurento informaciją. Rezultatas – stinga originalumo, o AI į užduotį nepažvelgus pakankamai kūrybiškai, auga ir plagijavimo rizika.
- Nepateikiame nei mūsų verslui jautrios, nei konkurentų sukurtos informacijos, tačiau nepatikriname galutinio rezultato originalumo – mums nežinant, kokiu šaltiniu pateikdamas atsakymą naudojosi AI, vis dar išlieka plagijavimo rizika. Tai iliustruoja ir realūs atvejai: pavyzdžiui, „Disney“ ir „Universal“ ieškiniai prieš AI įrankį „Midjourney“ dėl autorių teisių pažeidimo ir neleistino panaudojimo apmokant AI modelius.
Norisi nuodugniau įsivertinti, kokius klausimus verta užduoti sau prieš pasirenkant ar naudojant DI įrankius? VDAI parengė DUK vadovą organizacijoms – jame aptariamos ir galimos rizikos, ir teisėtas duomenų naudojimas bei atsakomybės ribos.
TOP 3 AI grėsmių grupės: kas aktualiausia organizacijoms?
Nors dirbtinio intelekto sistemos versle atveria daug galimybių, kartu – augina ir galimų rizikų spektrą. Kokios AI keliamos grėsmės dažniausiai pasireiškia verslo pasaulyje? Dažniausiai – šios:
- Duomenų nutekinimas. Kai dirbtinis intelektas naudojamas neatsakingai, nesivadovaujant organizacijos taisyklėmis (ar apskritai jų neturint), dalis jautrios informacijos gali būti perduota trečiosioms šalims, panaudota tolimesniam įrankių apmokymui. Jei asmens duomenų tvarkymas ar įmonės duomenų apsauga jums svarbūs, užskirsti kelią šios rizikos atsiradimui – būtina.
- Algoritmų šališkumas (bias). Dirbtinio intelekto priimami sprendimai ne visada yra objektyvūs – jie gali remtis ribotais, netiksliais ar šališkais duomenimis. Jei esate temos, apie kurią bendraujate su DI, ekspertas, tokias klaidas pastebėsite akimirksniu, tačiau šiandien daugelis DI naudoja jau kaip informacijos paieškos įrankį. Tai reiškia, kad dažnai negalime patikrinti atsakymų, kurių patys nežinome – juk būtent dėl to ir pasitelkiame DI pagalbą.
- Tiekėjų, trečiųjų šalių keliamos rizikos. Išorinės dirbtinio intelekto sistemos (t. y., visi DI įrankiai, kuriuos naudojame, tačiau jų nesukūrėme patys) ne visada suteikia pakankamai aiškumo, kaip tvarkomi suteikti duomenys, kokie saugumo standartai taikomi. Rizika ypač išauga, jei testuojame ar jau aktyviai naudojame naujesnius, nišinius AI produktus.
ISO standartai ir jų vaidmuo AI grėsmių prevencijoje
Duomenų apsauga su ISO 27001 – AI (ir ne tik) keliamoms rizikoms valdyti
ISO 27001 – tarptautinis standartas, skirtas įmonės informacijos saugumo valdymo sistemoms įgyvendinti ir nuolat tobulinti. ISO 27001 standartas apima platų veiksmų spektrą maksimaliai duomenų apsaugai – nuo potencialių grėsmių identifikavimo iki efektyvių apsaugos priemonių diegimo ir nuolatinio jų vertinimo. Be to, ISO 27001 dažnai pasitelkiamas ir kaip praktinis įrankis BDAR reikalavimams įgyvendinti, ypač tais atvejais, kai organizacijos tvarko ne tik savo, bet ir klientų asmens duomenis ar kitą jautrią informaciją.
Informacijos saugos ISO standartų diegimas padeda užtikrinti, kad visa jautri organizacijos, jos partnerių ar klientų informacija būtų apsaugota nuo įvairių grėsmių – taip pat ir tų, kurios gali kilti dėl dirbtinio intelekto naudojimo. Vienas tokių pavyzdžių – konfidencialios informacijos nutekinimas, kai darbuotojai, besinaudojantys DI įrankiais, nebuvo pakankamai edukuojami apie įmonėje priimtas duomenų saugojimo ir apdorojimo taisykles – kyla rizika, kad jautri informacija gali būti atskleista netyčia.
Tokiose situacijose vienu efektyviausių sprendimo būdų tampa kruopštus ISO 27001 standartu paremtos informacijos saugumo valdymo sistemos laikymasis. Ji suteikia tvirtą pagrindą užkirsti kelią galimoms grėsmėms ir apsaugoti duomenis, kurie negali būti matomi viešai ar atskleidžiami trečiosioms šalims.
ISO 42001 – NAUJAS standartas dirbtinio intelekto vadybos sistemai
Reaguojant į sparčią DI technologijų plėtrą ir siekį suvaldyti su jomis susijusias rizikas, ISO/IEC 42001:2023 standartas buvo priimtas 2023 m. Tai – tarptautinis susitarimas, skirtas užtikrinti atsakingą dirbtinio intelekto įrankių kūrimą bei naudojimą organizacijose, įskaitant valdymą, rizikos vertinimą, etikos principų laikymąsi ir skaidrumą (kaip ir ISO 27001 atveju).
Vieni ryškiausių standarto privalumų:
- sistemingas su DI susijusių grėsmių valdymas;
- didesnis klientų bei partnerių pasitikėjimas;
- konkurencinis pranašumas, demonstruojant atsakingą naudojimąsi naujausiomis technologijomis.
ISO 42001 standartas naudingas tiek organizacijoms, kurios DI produktus vysto pačios, tiek ir įmonėms, pasitelkiančioms jau sukurtus DI įrankius savo veikloje. Atsakingas dirbtinio intelekto vadybos sistemos diegimas ir jos laikymasis užkerta kelią šioms grėsmėms:
- algoritmo šališkumas;
- privatumo pažeidimai, duomenų apsauga nuo kibernetinių atakų;
- skaidrumas – informuotumas apie DI modelių veikimą;
- atskaitomybė nesuvaldžius rizikų;
- etiškas sprendimų priėmimas.
Dirbtinis intelektas. Ką rinktis duomenų apsaugai: ISO 27001 ar ISO 42001 sertifikatą?
Svarbu pažymėti, kad šie standartai ne konkuruoja, o papildo vienas kitą, tad galimas ir abiejų ISO standartų derinys.
- ISO 27001 užtikrina sklandų informacijos saugumo sistemos įdiegimą ir laikymąsi – ši sistema apsaugo ne tik nuo AI keliamų rizikų, bet ir kitų galimų grėsmių – pvz., žmogiškųjų klaidų, kai duomenys tretiesiems asmenims perduodami netyčia.
- Tuo tarpu ISO 42001 standartas paremtas gairėmis, susijusiomis tik su AI keliamų grėsmių kontroliavimu. Jei ISO 27001 – standartas, šiandien rekomenduojamas daugumai savo ar klientų jautrius duomenis apsaugoti norinčių įmonių, ISO 42001 aktualus tik toms organizacijoms, kurių veikloje bent iš dalies, o gal ir visiškai pasikliaujama dirbtinio intelekto pagalba.
| Kriterijus | ISO 27001 | ISO 42001 |
| Paskirtis | Informacijos saugos valdymo sistema (visų tipų duomenims) | Dirbtinio intelekto valdymo sistema (tik AI keliamoms rizikoms) |
| Kokioms rizikoms skirtas? | Žmogiškos klaidos, kibernetinės atakos, duomenų nutekinimas | Algoritmų šališkumas, skaidrumas, AI duomenų panaudojimas |
| Kam tinkamas? | Daugumai organizacijų, dirbančių su jautriais klientų ar savo duomenimis | Organizacijoms, kurios aktyviai kuria ar naudoja AI įrankius |
| Kada užtenka tik jo? | Kai AI organizacijoje nenaudojamas arba naudojamas tik pavienėms užduotims | Jei organizacijai aktualus ISO 42001, dažniausiai prireikia ir ISO 27001, nes AI naudojančios įmonės paprastai tvarko ir kitus duomenis, kuriems būtina platesnė saugos sistema. |
Dažniausiai užduodami klausimai
BDAR – kas tai?
BDAR – tai Bendrasis duomenų apsaugos reglamentas, Europos Sąjungos teisės aktas, nustatantis taisykles, kaip organizacijos turi rinkti, saugoti ir tvarkyti asmens duomenis. Jo tikslas – užtikrinti žmonių privatumą ir atsakomybę tvarkant bet kokią su asmeniu susijusią informaciją.
Ar AI naudojimas gali pažeisti reikalavimus, kuriuos apibrėžia BDAR, Asmens duomenų teisinės apsaugos įstatymas?
Taip. Jei dirbtinio intelekto įrankiui pateikiami asmens duomenys, o įmonė neturi aiškaus teisinio pagrindo, tinkamo informavimo ar duomenų valdymo taisyklių, gali būti laikoma, kad pažeisti BDAR arba Asmens duomenų teisinės apsaugos įstatymo reikalavimai. Rizika išauga, jei DI įrankis duomenis saugo, naudoja mokymui arba perduoda trečiosioms šalims.
Ar DI įrankiai laikomi asmens duomenų tvarkymu?
Jei į DI įrankį įkeliate ar įvedate bet kokią informaciją, kuri leidžia tiesiogiai ar netiesiogiai identifikuoti žmogų, tai jau laikoma asmens duomenų tvarkymu. Net jei pats įrankis duomenų neišsaugo, pateikimo veiksmas vertinamas kaip duomenų tvarkymas, todėl jam taikomi BDAR reikalavimai.
Kokie duomenys laikomi jautriais ir kodėl jų apsauga verslui tokia svarbi?
Jautriais duomenimis laikomi tie, kurie gali pakenkti asmeniui ar organizacijai, jei būtų atskleisti. Tai gali būti asmens duomenys, informacija apie darbuotojus, klientus ar įmonę, finansinė informacija, verslo paslaptys ar know-how.
Ar reikia turėti specialias taisykles darbuotojams, kurie naudoja dirbtinį intelektą?
Rekomenduojama turėti. Kadangi darbuotojai kasdien dirba su įvairia (galimai – ir jautria) informacija, naudinga turėti aiškias taisykles, t. y., apsibrėžti, kaip naudojant AI ar kitus įrankius vis dar užtikrinama duomenų apsauga, kaip vykdomas įmonės ar asmens duomenų tvarkymas, vartotojų duomenų apsauga, išsaugomas įmonės konfidencialumas.
Ką daryti, jei darbuotojas netyčia AI įrankiui pateikė jautrius duomenis?
Pirmiausia – nedelsiant įvertinti, kokio tipo informacija buvo pateikta, apie tai pranešti atsakingiems asmenims, kurie inicijuos vidinį incidento valdymo procesą. Taip pat svarbu numatyti, ar apie duomenų pateikimą reikėtų informuoti ir duomenų subjektus. Galiausiai – naudinga atnaujinti ar darkart peržiūrėti darbuotojų mokymus bei vidines taisykles, kad tokie atvejai nesikartotų.
Ką daryti, jei netyčia buvo atskleisti konfidencialūs įmonės duomenys?
Pirmiausia – nedelsiant įvertinti, kokio tipo informacija buvo pateikta, apie tai pranešti atsakingiems asmenims, kurie inicijuos vidinį incidento valdymo procesą. Taip pat svarbu numatyti, ar apie duomenų pateikimą reikėtų informuoti ir duomenų subjektus. Galiausiai – naudinga atnaujinti ar darkart peržiūrėti darbuotojų mokymus bei vidines taisykles, kad tokie atvejai nesikartotų.
Liko neatsakytų klausimų? Jums padės:
