1. Pagrindinis
  2. Įžvalgos
2024-07-06 08:00
Miglė Petkevičienė
Miglė Petkevičienė

M. Petkevičienė. Verslai ir DI: – kaip išvengti kibernetinės katastrofos?

Kontoros nuotr.
Kontoros nuotr.
Slėptis ir riboti arba suprati grėsmes ir jas valdyti. Tarp šių dviejų pasirinkimų šiandien laviruoja verslai, naudojami dirbtinio intelekto (DI) sprendimus. Netrukus įsigalios ilgai lauktas Europos Sąjungos Dirbtinio intelekto aktas (DI aktas). Tačiau kaip saugiai tvarkytis su DI ir kokius principus taikyti – kol kas yra ir dar kurį laiką bus kiekvieno verslo reikalas. Ir dažnai tai paliekama spręsti kiekvienam darbuotojui asmeniškai. Tad kaip galima sumažinti kylančias rizikas, keliant duomenis į DĮ įrankius?

Algoritmai analizuodami informaciją prognozuoja rinkos tendencijas ir net rekomenduoja strateginius sprendimus, tačiau norint rezultatų, reikia jiems patikėti duomenis. Čia kyla konfidencialumo, intelektinės nuosavybės, o kartu – ir asmens duomenų kontrolės praradimo rizikos.

Tarp rizikų – ir  diskriminacija, ir įsilaužimas, ir duomenų nutekėjimas

Pirmiausia,  DI gali turėti prieigą prie didžiulių duomenų rinkinių, kuriuose gali būti asmens duomenys.  Netinkamas tokių duomenų tvarkymas gali lemti privatumo pažeidimus ir netgi galimą duomenų vagystę. Antra, DI sistemose gali būti užprogramuotas tam tikras nusistatymas, jei testinės aplinkos duomenys yra netikslūs arba neteisingi. 

Tai gali lemti diskriminaciją pagal lytį, rasę, amžių ar kitus veiksnius, o tai gali būti neigiamas visuomenės atžvilgiu. Trečia, nesaugus DI gali būti pažeidžiamas įsilaužėlių atakoms. Jei nebus tinkamai apsaugotos DI sistemos, tai gali lemti didelius duomenų nutekėjimus ar net kibernetinę katastrofą. Galiausiai, DI sistemų sprendimai gali būti sudėtingi ir nepastovūs, todėl gali būti sunku suprasti, kaip šie sprendimai buvo priimti ir kodėl ir, atitinkamai, juos paaiškinti duomenų subjektams.

Reguliavimas Europoje prasidės tik po 2 metų

2024 m. gegužės 21 d. Europos Taryba priėmė ilgai lauktą DI aktą. Artimiausiu metu jis bus paskelbtas ES oficialiajame leidinyje ir įsigalios praėjus 20 d. po šio paskelbimo. Naujasis reglamentas bus pradėtas taikyti tik praėjus 2 m. nuo jo įsigaliojimo, su tam tikromis išimtimis konkrečioms nuostatoms.

Nacionaliniame lygmenyje Lietuva yra viena pirmųjų valstybių narių ES, patvirtinusių nacionalinę DI strategiją. Taip pat Seimas visiškai neseniai rezoliucija patvirtino DI naudojimo viešajame sektoriuje principus. Tad, regis, einama reguliavimo kryptimi.

Rizikas vis tiek reikia įvertinti patiems

Vis dėlto, šiandien egzistuojantys duomenų apsaugos teisės aktai aiškiai nenusako DI naudojimo ir, be abejo, to nedraudžia. Duomenų apsaugos reglamentavime laikomasi rizika pagrįsto požiūrio. Tai reiškia, kad verslai patys turi atidžiai įvertinti riziką, kurią DI sprendimų naudojimas kelia žmonių teisėms ir laisvėms. Tada turi įgyvendinti tinkamas priemones, kad pakankamai sumažintų arba valdytų tą riziką.

Yra įmonių, kurios yra nusprendusios drausti savo darbuotojams naudoti DI sprendimus darbiniais tikslais. Kitos priešingai – aktyviai ieško įrankių, kurie labiausiai atitiktų jų rinkos poreikius ir juos testuoja. Renkasi tarp brangesnių uždarų ir valdomų (neprarandant duomenų/asmens duomenų kontrolės) DI modelių verslui ir pigesnių ar nemokamų, bet nevaldomų. 

Pasak „Such Much AI“ vieno iš įkūrėjų ir vadovo Edmundo Balčikonio, pastaruoju metu išryškėjo kita tendencija – išaugo verslo susidomėjimas atviro kodo DI sprendimais. Pavyzdžiui, tarp tokių sprendimų yra „Meta“ (anksčiau „Facebook") kuriami DI atviro kodo "Llama 3" modeliai. Pagal atviro kodo licenciją „Meta“ paskelbė savo modelių technines detales ir šaltinio kodą, kuriuo galima nemokamai naudotis, integruoti ir keisti pagal savo poreikius. 

Pritaikius atviro kodo DI modelį procese, kuris bus daug naudojamas, galutinė kaina ir kaštai gali būti dešimtimis kartų mažesnė nei uždaro kodo sprendimų. Be to, atviro kodo sprendimus siūlantys pagrindiniai debesijos („cloud") paslaugų tiekėjai, tokie kaip „Amazon Web Services", „Google Cloud Platform", „Microsoft Azure", „Oracle Cloud" ar kiti, siūlo greitą integraciją, aukščiausius duomenų apsaugos standartus, neprarandant duomenų kontrolės.

Instrukcijos, saugumo auditai, patvirtinta politika

O kokiomis priemonėmis valdyti dėl žmonių veiksmų kylančias rizikas? Pirmiausia, reikia suprasti, kad asmeniškai darbuotojų naudojamų sistemų nesukontroliuosime, todėl vertėtų pasiruošti atmintinę ir, priklausomai nuo rinkos, kurioje veikiate, nusistatyti tam tikras taisykles ir raudonas linijas, pvz., instruktuoti, kas įmonėje yra laikoma konfidencialia informacija ir komercine paslaptimi, priminti, kas yra asmens duomenys ir kt.

Kai kalbame apie įmonės centralizuotai priimamas ir naudojamas sistemas, yra rekomenduojama pasidaryti ne tik rizikos vertinimą, mini auditus, bet ir poveikio duomenų apsaugai vertinimą, kuomet yra nustatomos rizikos ir priemonės joms minimizuoti. Pavyzdžiui, galbūt duomenis prieš teikiant į DI sistemas, galima pseudonimizuoti, prašyti tam tikrų techninių ir organizacinių priemonių iš DI sistemų tiekėjo – tarkime, skirti jums specialų serverį ir duomenų lokalizavimo mechanizmus ir kt.

Prieš pradėdami klientų duomenis tvarkyti DI priemonėmis bei ruošdami savo išorines privatumo politikas ir sutartis su klientais, būtinai pagalvokite, ar jie žino, kad jų duomenys yra apdorojami DI įrankių? Ar turite tam tinkamą pagrindą ir esate jį tinkamai įvertinę? Jei bent vienas iš klientų paprašys nenaudoti jo duomenų ir neapdoroti AI sistemomis – ar turėsite galimybę tą užtikrinti? Ar turėsite galimybę atsakyti į duomenų prieinamumo užklausą (angl. access requests), jei tokia pasitaikys?

Trumpuoju laikotarpiu būtų pravartu pasitvirtinti politiką, kaip įmonė laikosi DI valdymo principų, o ilgalaikėje perspektyvoje – turėti strategiją, kaip DI bus įdarbinama ateityje ir kokie įrankiai naudojami.

Taip pat įmonėms reikėtų atlikti reguliarius saugumo auditus ir atnaujinti saugumo priemones, kad būtų užtikrinta, jog DI sistemos yra apsaugotos nuo įsilaužėlių. Kadangi padedami DI įrankių dažnai veikia ir įsilaužėliai, tai sukuria nuolatinį atsakomųjų priemonių ciklą, todėl besiginantiems nuo tokių atakų būtina išlikti priekyje.

Neužteks valandos trunkančių mokymų

Nors DI yra galingas duomenų privatumo ir saugumo įrankis, žmogiškasis elementas išlieka labai svarbus. DI sistemos yra tiek veiksmingos, kiek jas kuria, diegia ir valdo žmonės. Žmogaus sprendimas ir kompetencija yra gyvybiškai svarbūs prižiūrint DI pagrįstas saugumo priemones ir reaguojant į kylančias grėsmes.

Na, ir galiausiai – paskutinis aspektas: nuolat papildyti ir atnaujinti žinių bagažą. Valandos trunkančių mokymų čia neužteks. Organizacijos turėtų investuoti į nuolatinius savo darbuotojų mokymus kibernetinio saugumo bei DI klausimais, kad jie suprastų riziką, atpažintų galimas grėsmes ir veiksmingai naudotų DI pagrįstas saugos priemones.

Šiandien, kai žmonių dėmesio langas yra toks trumpas, nepamirškite ir kitų, kartais netgi veiksmingesnių priemonių: nuolat priminti svarbiausius akcentus pasitelkiant pranešimus (angl. push notifications) ar bendrus laiškus/žinutes intranete, plakatus bendro naudojimo patalpose ir panašius būdus. Tik tinkamai įvaldę ir įsivardinę rizikas galime tikėtis, kad DI dirbs ne prieš mus, o su mumis.

Komentaro autorė – Miglė Petkevičienė, Advokatų kontoros „Ellex Valiunas“ partnerė 

REKOMENDUOJAME

52795
130817
52791