Ogromne ilości danych budujące modele sztucznej inteligencji oraz wykorzystanie ich do celów przestępczych rodzi zasadnicze pytania o prywatność i cyberbezpieczeństwo. Jakie regulacje przynosi AI Act oraz jak już dziś można chronić się przed sztuczną inteligencją użytą przez przestępców?
Masz 2 lata na przygotowanie organizacji na nowe przepisy.
AI Act: regulacje mające na celu ochronę i kontrolę
26 kwietnia 2023 Parlament Europejski głosował nad rozporządzeniem dotyczącym ram prawnych dla sztucznej inteligencji – „Akt w sprawie sztucznej inteligencji”. Od 12 do 15 czerwca trwała debata i kolejne głosowanie. Nowe przepisy mają ograniczyć zagrożenia związane ze sztuczną inteligencją i promować jej etyczne wykorzystanie. Al Act został przegłosowany z poprawkami, ale regulacje zaczną obowiązywać dopiero za dwa lata. Jest to najlepszy czas na przygotowanie organizacji na nowe przepisy.
Przeczytaj również:
Wymagania cyberbezpieczeństwa dla systemów sztucznej inteligencji o wysokim ryzyku
W rozporządzeniu poruszony został problem kontroli i zrównoważonego rozwoju AI. Jednym z częściej powtarzających się zagadnień w dyrektywie jest cyberbezpieczeństwo. Czego dokładnie wymaga regulacja?
Zarządzanie ryzykiem sztucznej inteligencji w kontekście cyberbezpieczeństwa
Motyw 43 rozporządzenia „Akt w sprawie sztucznej inteligencji” podkreśla istotę implementacji rygorystycznych wymogów dla systemów sztucznej inteligencji o wysokim ryzyku. Systemy takie powinny spełniać surowe kryteria, które obejmują:
- jakość używanych zbiorów danych,
- kompleksowość dokumentacji technicznej, rejestrowanie zdarzeń,
- a także przejrzystość i dostarczanie użytkownikom pełnej informacji.
Odporność na manipulacje i zagrożenia dla cyberbezpieczeństwa
Dokument stwierdza, że adekwatność cyberzabezpieczeń powinna wynikać z analizy ryzyka. Jest to właściwy i zgodny z dobrymi praktykami kierunek zastosowania podejścia procesowego do wdrażania zabezpieczeń systemów sztucznej inteligencji Uwzględnia typowe etapy zarządzania ryzykiem, takie jak:
- identyfikacja ryzyka,
- ocena ryzyka
- i określenie środków zaradczych.
Interesujące jest zawarcie w systemie zarządzania ryzykiem „oceny innego mogącego wystąpić ryzyka na podstawie analizy danych zebranych z systemu monitorowania po wprowadzeniu do obrotu (…)”.
Dostawcy systemów sztucznej inteligencji muszą zatem obserwować, co się dzieje z ich produktami, gdy te już trafią do użytkowników i jakie nowe ryzyka mogą wystąpić. Jawi się tutaj podejście do dynamicznej analizy ryzyka, znane, chociażby z Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Indywidualne podejście do zabezpieczania systemów sztucznej inteligencji
Temat sposobu reakcji na ryzyko kontynuuje artykuł 15 „Dokładność, solidność i cyberbezpieczeństwo”. Fragment ten zwraca uwagę na konieczność zapewnienia odporności systemów sztucznej inteligencji na próby nieupoważnionej manipulacji czy eksploatacji ich słabych punktów przez osoby trzecie.
Dodatkowo tekst zwraca uwagę na zagrożenia specyficzne dla sztucznej inteligencji, takie jak „data poisoning” czy „niepożądane przykłady”. Te techniki ataku koncentrują się na manipulacji danymi treningowymi lub wejściowymi w celu wprowadzenia błędów do modeli AI.
Oznacza to wprost, że podejście do zabezpieczania systemów AI musi być zindywidualizowane i elastyczne, z uwzględnieniem unikalnych cech danego systemu, jego zastosowań i potencjalnych zagrożeń.
Dla przykładu, jeśli dany system AI zostanie uznany za system wysokiego ryzyka, a będzie np. dostępny przez stronę internetową, zasadne wydaje się rozważenie dedykowanych zabezpieczeń na warstwie aplikacyjnej. Przykładowo, od strony technologicznej może to być system WAF (Web Application Firewall) lub rozwiązanie klasy anty-DDoS. Od strony organizacyjnej, aktywny monitoring ataków webowych czy też regularne testy penetracyjne.
Implementacja AI Act z pomocą ekspertów cyberbezpieczeństwa
Wdrażanie wymogów dyrektywy unijnej jest zawsze bardzo złożonym przedsięwzięciem. Podobnie będzie z nowym dokumentem dotyczącym sztucznej inteligencji, który wymaga przeglądu dotychczasowych reguł zarządzania ryzykiem i cyberbezpieczeństwem. W ostatnim czasie pojawiły się również inne regulacje, takie jak rozporządzenie DORA czy Norma ISO 27:002:2022, które nakładają na organizacje konieczność kompleksowego przygotowania nowych wersji polityki cyberbezpieczeństwa. Doradztwo i audyt bezpieczeństwa to jedna z usług ComCERT-u dla dużych i średnich podmiotów szczególnie narażonych na zagrożenia.
Sztuczna inteligencja a rozwój społeczeństwa: Potencjał i wyzwania
Sztuczna inteligencja będzie wspierać nas w podejmowaniu skomplikowanych decyzji, ułatwi codzienne zadania oraz podniesie komfort życia. Warto jednak pamiętać, że mimo swojej zaawansowanej natury, nie jest pozbawiona wad. Rozwój sztucznej inteligencji musi być uważnie monitorowany, a jego celem – jak najwięcej korzyści dla społeczeństwa.
Sztuczna inteligencja a rozwój społeczeństwa: Potencjał i wyzwania
Patrząc na tempo rozwoju ChatGPT, MidJourney czy Notion, łatwo dostrzec, że nasze zdolności poznawcze, technologiczne i prawne… pozostają w tyle. Wydaje się, że ta przepaść będzie utrzymywać się w przyszłości.
Równowaga między innowacją a bezpieczeństwem w kontekście sztucznej inteligencji
Pokazuje to, jak ważne jest dla nas, jako społeczeństwa, zrozumienie i świadome kształtowanie naszej relacji z technologią. Przede wszystkim jednak musimy zdać sobie sprawę, że kluczem do sukcesu jest równowaga – między innowacją a bezpieczeństwem, między ryzykiem a kontrolą, między potencjałem a odpowiedzialnością.
Autor: Kamil Gapiński, ekspert ComCERT
Jeżeli jesteś zainteresowany szczegółami współpracy z ComCERT przy wdrażaniu dyrektywy „Akt w sprawie sztucznej inteligencji”, skontaktuj się z nami!
Opowiedz nam o swoich potrzebach, a zaproponujemy najlepsze rozwiązanie.