Kaip ISO 42001 standartas užtikrina sklandų, saugų ir atsakingą dirbtinio intelekto naudojimą organizacijoje?

ISO 42001 – dar tik įsitvirtinantis, tačiau jau gausybės organizacijų aktyviai pasitelkiamas ISO standartas, apibrėžiantis dirbtinio intelekto vadybos sistemą. Sparčiai besivystančioje dirbtinio intelekto srityje vis aktualesnis tampa poreikis turėti aiškius ir standartizuotus principus, kuriais valdomos dirbtinio intelekto programos, o būtent ISO 42001 siūlo kaip tik tokią sistemą. Kokius pagrindinius principus apibrėžia šis ISO standartas? Kokioms rizikoms (pavyzdžiui, susijusioms su duomenų privatumu ar algoritmų šališkumu) padeda pasiruošti ir kokiems verslams ISO 42001 yra ypač rekomenduojamas?

Ką turėtumėte žinoti apie ISO/IEC 42001:2023?

Kas yra ISO 42001? ISO 42001 (pilnas pavadinimas – ISO/IEC 42001:2023) – tai tarptautinis standartas, sukurtas siekiant užtikrinti sklandų bei saugų dirbtinio intelekto (AI) programų valdymą. Šis ISO standartas pristatytas 2023 m. gruodį, o pagrindinis jo tikslas – įpareigoti organizacijas kurti, įgyvendinti, palaikyti bei nuolat tobulinti dirbtinio intelekto valdymo sistemas (DIVS arba angliškai AIMS – artificial intelligence management systems). Su standarto pagalba verslai gali užtikrinti etišką, saugų ir skaidrų AI technologijų diegimą kasdienėje veikloje.

ISO 42001 struktūra

ISO 42001 standartas sudarytas iš 10-ies skyrių, kurių pirmuosiuose trijuose pateikiama bendroji informacija. Tolimesni skyriai apima svarbiausius etapus organizacijai, kurios veikloje dirbtinio intelekto programos yra kasdienybė, o tinkamas jų naudojimas – prioritetas:

• 4 skyrius – Kontekstas: su dirbtiniu intelektu susijusios sistemos kontekstas, dokumentais pagrindžiami visų suinteresuotųjų šalių lūkesčiai.
• 5 skyrius – Lyderystė: vadovybės įsipareigojimas nustatyti aiškią politiką, kaip organizacijoje valdoma kiekviena dirbtinio intelekto programa. Atsakomybių priskyrimas.
• 6 skyrius – Planavimas: planas, kaip bus įveikiamos su dirbtinio intelekto valdymo sistemomis susijusios rizikos bei išnaudojamos potencialios galimybės.
• 7 skyrius – Palaikymas: išteklių, informacijos bei kompetencijų užtikrinimas tinkamam dirbtinio intelekto valdymo sistemos palaikymui.
• 8 skyrius – Veikimas: dirbtinio intelekto sistemos kūrimo, įsigijimo bei naudojimo operacijų projektavimas atsižvelgiant į saugumo, privatumo bei sąžiningumo aspektus.
• 9 skyrius – Veiklos vertinimas: dirbtinio intelekto valdymo sistemos efektyvumo stebėjimas ir vertinimas.
• 10 skyrius – Tobulėjimas: konkretūs veiksmai dirbtinio intelekto valdymo sistemų tobulinimui.

3 dalykai, kuriuos saugiam AI integravimui versle galite atlikti jau šiandien

1. Apibrėžkite AI naudojimo gaires ir atsakomybės ribas. Tai padaryti padės atsakymai į šiuos klausimus:

• Kaip komanda turėtų naudoti AI įrankius?
• Kaip į organizacijos kasdienybę įtraukiami ir testuojami nauji įrankiai?
• Kas atsakingas už sprendimų, priimtų su AI pagalba, tikslumą bei saugumą?
• Susipažinkite, kaip jūsų naudojami AI įrankiai apdoroja duomenis, kuriuos pateikiate. Paprastai šią informaciją rasite įrankio interneto svetainėje pateikiamoje privatumo politikoje.
• Įvertinkite galimas rizikas. Kokias grėsmes jūsų organizacijai gali kelti neteisingai pasitelkti AI įrankiai? Kaip tokias grėsmes galite sumažinti ar visiškai suvaldyti?

2. Susipažinkite, kaip jūsų naudojami AI įrankiai apdoroja duomenis, kuriuos pateikiate. Paprastai šią informaciją rasite įrankio interneto svetainėje pateikiamoje privatumo politikoje.

3. Įvertinkite galimas rizikas. Kokias grėsmes jūsų organizacijai gali kelti neteisingai pasitelkti AI įrankiai? Kaip tokias grėsmes galite sumažinti ar visiškai suvaldyti?

Kodėl ISO 42001 rekomendacijos naudingos daugumai organizacijų? Svarbiausi privalumai.

Šiandien įmonė, kurios veikloje nėra naudojama nė viena dirbtinio intelekto programa – ko gero retenybė. AI įrankiai daugeliui organizacijų padeda spręsti net sudėtingus veiklos iššūkius, o tam tikras užduotis atlikti efektyviau, greičiau ar kūrybiškiau. Tiesa, sparčiai besivystančios technologijos džiugina ne tik privalumais, bet ir potencialiomis rizikomis. ISO 42001 standartas padeda išvengti šių rizikų ir užtikrina, kad organizacija galėtų sklandžiai naudotis visomis AI teikiamomis galimybėmis.

• Kibernetinis saugumas. Vienas ryškiausių šio standarto privalumų – organizacijos bei klientų duomenų saugumas. Neturint tinkamai apibrėžtų AI valdymo taisyklių (šios dirbtinio intelekto valdymo sistemoje – būtinybė), rizikuojama perduoti perteklinius ar itin jautrius duomenis, kuriuos dirbtinio intelekto sistemos gali pasitelkti kaip medžiagą tolimesniam mokymuisi. ISO 42001 vaidmuo – nustatyti aiškias ribas, kaip ir kiek informacijos saugu perduoti AI sistemoms be kompromisų kokybiškam rezultatui.
• Dar viena nauda – kokybiškesnis ir produktyvesnis AI programų naudojimas. Standarte apibrėžtos aiškios taisyklės ir procedūros leidžia visai komandai lengviau suprasti bei efektyviai taikyti AI technologijas kasdienėje veikloje. Tai padeda didinti produktyvumą ir greičiau integruoti dirbtinio intelekto sprendimus į verslo procesus

Kas yra kibernetinis saugumas?

Kibernetinis saugumas – tai priemonės ir procesai, skirti apsaugoti sistemas, duomenis ir tinklus nuo neteisėtos prieigos, atakų, nutekėjimų ar kitų skaitmeninių grėsmių.

Kokios dirbtinio intelekto programos dažniausiai naudojamos versle?

Dažniausiai naudojamų įrankių sąraše – teksto generavimo, vaizdų kūrimo, duomenų analizės ir automatizavo įrankiai, kurie gali būti lengvai pritaikomi nepaisant verslo srities. Populiariausi – ChatGPT, Google Gemini, Claude, Midjourney, Zapier, Copilot.

Ar kibernetinių grėsmių kelia ir tokie įrankiai kaip ChatGPT ar Gemini, o gal jos aktualios tik naudojantiems sudėtingesnes AI sistemas?

Gali atrodyti, kad saugumo klausimai aktualūs tik toms įmonėms, kurios pasitelkia sudėtingas AI sistemas ar net jas kuria savarankiškai. Visgi tiesa ta, kad net ir paprasčiausi įrankiai, kaip kad ChatGPT ar Google Gemini, sukelia tam tikras rizikas, jei jiems yra perduodama jautri informacija. Nors populiariausi DI modeliai turi gana aukštą saugumo lygį, jie neapsaugo nuo netinkamo duomenų disponavimo organizacijos viduje, todėl atsakingas dirbtinio intelekto naudojimas svarbus visiems nepaisant įrankio sudėtingumo.

Ką apie DI valdymo priemonių būtinybę sako faktai?

• 97% AI duomenų pažeidimų įvyksta dėl netinkamos prieigų kontrolės.
  • Sprendimas: griežtinti prieigos teises.
• 55% organizacijų, pasitelkiančių AI kasdienybėje, kaip vieną didžiausių grėsmių nurodo netyčinį jautrių duomenų atskleidimą.
  • Sprendimas: aiškiai apibrėžti DI suteikiamų duomenų ribas.
• Pradėjus naudoti dirbtinio intelekto įrankius, 83% organizacijų jau atnaujino savo vidaus taisykles.
  • Sprendimas: sukurti DI naudojimo gaires ir jūsų organizacijoje.
• Tik 29% vadovų mano, kad su DI susijusios rizikos organizacijoje yra valdomos tinkamai.
  • Sprendimas: diegti DI rizikų valdymo sistemą.

ISO 42001 standartas ypač rekomenduojamas verslams, kurie:

• Kuria, diegia arba valdo dirbtinio intelekto sistemas.
• Plačiai integruoja dirbtinio intelekto įrankius kasdienėje veikloje.
• Nori stiprinti pasitikėjimą ir įmonės reputaciją. Laikydamiesi ISO 42001 standarto rekomendacijų, demonstruojate įsipareigojimą etiškai ir saugiai pasitelkti dirbtinį intelektą ir skaidrumą, o tai augina klientų ir partnerių ar kitų suinteresuotų šalių pasitikėjimą verslu.
• Siekia mažinti rizikas, kylančias tuomet, kai naudojamos dirbtinio intelekto sistemos. Standartas padeda pagrindą rizikų (tokių kaip šališkumas, informacijos saugumas ar kt.) identifikavimui, sprendimui bei prevencijai.

ISO 42001 ir ISO 27001: panašūs, skirtingi, o gal vienodai reikalingi?

Nors abu standartai – tiek ISO 42001, apibrėžiantis DI valdymo sistemą, tiek ir ISO 27001, skirtas informacijos saugumui užtikrinti – glaudžiai susiję, visgi jų paskirtis skiriasi.

ISO 42001 apima tik dirbtinio intelekto valdymą – t. y., nurodo, kaip organizacija turėtų kurti, diegti ir kontroliuoti AI sprendimus, kad jie išliktų etiški, skaidrūs ir saugūs.

ISO 27001 reguliuoja visos organizacijos naudojamos informacijos (neapsiribojančios tik dirbtiniu intelektu) saugą – t. y., vertinamos kur kas įvairesnės rizikos, nurodoma, kaip turėtų būti valdomi įvykę incidentai ar diegiamos kibernetinio saugumo priemonės. Net jei įmonė visiškai nenaudoja DI įrankių, šis standartas vis tiek gali būti naudingas.

Ar ISO 42001 ir ISO 27001 standartai panašūs?

Taip, nes abu susiję su rizikų valdymu ir atsakomybe valdant duomenis, tačiau ISO 42001 standartas labiau specializuotas – t. y., tik apie AI.

Ar verta naudoti abu standartus – ir ISO 42001, ir ISO 27001?

Jei organizacija aktyviai kuria ar naudoja AI sprendimus – taip. Šie standartai nesidubliuoja, o papildo vienas kitą. Vadovaudamasi ISO 27001 rekomendacijomis, organizacija susikuria bendrą informacijos saugos valdymo sistemą, tačiau vien jo gali nepakakti visoms dirbtinio intelekto valdymo sritims. 

ISO 42001 užpildo būtent tas spragas, kurių ISO 27001 neapima – AI sistemų kūrimą, diegimą, priežiūrą, rizikas ir etikos principus.

AI pagalba organizacijoje – naudinga ir pasitelkiama, tačiau ne kasdien. Ar būtinas ISO 42001 sertifikatas?

Kartas nuo karto soc. tinklų įrašo sukūrimui, duomenų apdorojimui ar kitoms smulkioms užduotims pasitelkiate ChatGPT, Midjourney, Gemini? Jei jūsų įmonėje AI – pagalbos rankos pavienėms, nedidelės apimties ir svarbos užduotims, ISO standartų diegimas – labiau rekomendacija nei būtinybė. 

Tiesa, net ir nesiekiant pelnyti sertifikato, standarte pateikiamos rekomendacijos vertingos ir AI mažiau pasitelkiančioms įmonėms. Tikėtina, kad konkurencinėje aplinkoje dirbtinio intelekto pagalbą naudoja jei ne visi, tai bent daugelis. Tačiau tik įmonės, kurios imasi iniciatyvos ir diegia gerąsias AI valdymo praktikas, įgyja konkurencinį pranašumą bei stiprina savo reputaciją.

ISO 42001 sertifikatas jums pravers, jei:

• AI kuriate, diegiate arba valdote patys (pvz., kuriate modelius, integruojate juos į sistemas, automatizuojate procesus).
• AI – kasdienė jūsų veiklos dalis, daro įtaką svarbiems sprendimams.
• AI naudojamas sistemose, kuriose apdorojami klientų, darbuotojų ar verslo duomenys.
• Jums svarbu turėti tikslią, audituojamą valdymo sistemą, kuri klientams ir partneriams rodo, kad atsakingai valdote su DI susijusias rizikas.

ISO 42001 sertifikatas nėra būtinas, jei:

• AI – pagalbininkas smulkioms, mažos rizikos užduotims.
• Naudodami AI įrankiui nepateikiate jautrių duomenų, AI neturi įtakos verslo sprendimams.
• Organizacijoje nenaudojamos sudėtingos AI sistemos, kurias tenka reguliariai prižiūrėti ar testuoti.

Liko neatsakytų klausimų? Jums padės: