U posljednjih nekoliko godina, mnoge organizacije su se tješile jednim slajdom ili paragrafom koji glasi: „Koristimo umjetnu inteligenciju [AI] odgovorno.” Ta linija je možda bila dovoljna da prođe kroz neformalnu analizu dobavljača 2023., ali neće preživjeti sljedeći ozbiljan krug tendera.
Kupci preduzeća, posebno u vladi, odbrani i kritičnoj nacionalnoj infrastrukturi (CNI), sada i sami uveliko koriste AI. Oni razumiju jezik rizika. Oni uspostavljaju veze između veštačke inteligencije, zaštite podataka, operativne otpornosti i izloženosti lancu snabdevanja. Njihovi timovi za nabavku više neće pitati da li koristite AI. Pitat će vas kako vi to upravljate.
Pitanje AI se mijenja
U praktičnom smislu, pitanja u zahtjevima za prijedloge (RFP) i pozivima za podnošenje ponuda (ITT) se već mijenjaju.
Umjesto mekog “Koristite li AI u svojim uslugama?”, možete očekivati više poput:
“Molimo opišite svoje kontrole za generativnu umjetnu inteligenciju, uključujući suverenitet podataka, ljudski nadzor, odgovornost modela i usklađenost s relevantnim obavezama zaštite podataka, sigurnosti i intelektualnog vlasništva.”
Ispod te linije kriju se brojne vrlo specifične brige.
Gdje idu podaci o klijentima ili građanima kada koristite alate kao što su ChatGPT, Claude ili drugi hostovani modeli?
U kojim jurisdikcijama ti podaci tranzitiraju ili borave?
Kako ljudi provjeravaju izlaz uz pomoć umjetne inteligencije prije nego što utječe na kritičnu odluku, savjet ili aktivnost u vezi sa sigurnošću?
Ko posjeduje i može ponovo koristiti upute i izlaze i kako je povjerljivi ili povjerljivi materijal zaštićen u tom procesu?
Generički šablon više ne odgovara nijednoj od ovih tačaka. U stvari, on reklamira da uopće ne postoji strukturirana uprava.
Neugodna stvarnost kod mnogih pružatelja usluga je da ako uklonite marketinški jezik, većina organizacija profesionalnih usluga koristi umjetnu inteligenciju na vrlo poznat obrazac.
Pojedinačno osoblje je usvojilo alate za ubrzavanje izrade, analize ili kodiranja. Timovi neformalno dijele savjete. Neke grupe su napisale lokalne smjernice o tome šta je prihvatljivo. Nekoliko pravila je ažurirano da se pominje AI.
Ono što često nedostaje su dokazi
Vrlo malo organizacija može sa sigurnošću reći koji angažmani klijenata su uključivali pomoć AI, koje kategorije podataka su korištene u upitima, koji modeli ili dobavljači su bili uključeni, gdje su ti provajderi obrađivali i pohranjivali informacije i kako je zabilježen pregled i odobravanje AI izlaza.
Iz perspektive upravljanja, rizika i usklađenosti (GRC), to je problem. Dotiče se zaštite podataka, sigurnosti informacija, upravljanja dokumentima, profesionalne odgovornosti, au nekim sektorima sigurnost i osiguranje misije. Takođe vas prati u svakom budućem tenderu, jer se kupci sve više raspituju o prošlim incidentima vezanim za AI, skoro promašajima i naučenim lekcijama.
Zašto je ovo toliko važno u vladi, odbrani i CNI-ju
U centralnoj i lokalnoj vladi, policiji i pravosuđu, AI sve više utiče na odluke koje direktno utiču na građane. To može biti u trijaži slučajeva, davanju prioriteta inspekcijama, podržavanju istraga ili oblikovanju analize politike.
Kada je AI uključena u te procese, javna tijela moraju biti u stanju da pokažu zakonit osnov, transparentnost, pravičnost i odgovornost. To znači razumijevanje gdje se AI koristi, kako se nadzire i kako se rezultati osporavaju ili poništavaju. Od dobavljača u tom prostoru se očekuje da pokažu istu disciplinu.
U odbrani i širem lancu opskrbe nacionalne sigurnosti, ulozi su još veći. AI se već pojavljuje u optimizaciji logistike, prediktivnom održavanju, fuziji inteligencije, okruženjima za obuku i podršci pri odlučivanju. Ovdje se pitanja ne odnose samo na privatnost ili intelektualnu svojinu. Oni se odnose na pouzdanost pod stresom, otpornost na manipulaciju i sigurnost da osjetljivi operativni podaci ne propuštaju u sisteme izvan suverene ili odobrene kontrole.
CNI operateri imaju sličan izazov. Mnogi istražuju AI za otkrivanje anomalija u OT okruženjima, predviđanje potražnje i automatizirani odgovor. Kvar ili prestanak paljenja ovdje se mogu brzo pretvoriti u prekid usluge, sigurnosni incident ili utjecaj na okoliš. Regulatori će očekivati da operateri i njihovi dobavljači tretiraju AI kao element operativnog rizika, a ne kao novitet.
U svim ovim sektorima, organizacije koje ne mogu da objasne svoje AI upravljanje tiho će pasti u matricu bodovanja.
Pretvaranje AI upravljanja u komercijalnu prednost
Dobra vijest je da se ova slika može preokrenuti. Upravljanje umjetnom inteligencijom, urađeno na odgovarajući način, ne znači usporavanje ili zabranu inovacija. Radi se o postavljanju dovoljno strukture oko upotrebe AI da biste to mogli objasniti, braniti i skalirati.
Praktična polazna tačka je procjena spremnosti nabavke AI. Na Advent IM-u ovo opisujemo vrlo jednostavnim riječima: možete li odgovoriti na pitanja koja će postaviti vaš sljedeći veliki klijent?
To uključuje mapiranje gdje se AI koristi u vašim uslugama, identifikaciju koji tokovi posla dodiruju podatke klijenata ili građana, razumijevanje o tome koji su modeli ili platforme trećih strana uključeni i dokumentovanje kako ljudi nadziru, odobravaju ili nadjačavaju AI izlaze. To također znači da gledate kako se AI uklapa u vaš postojeći odgovor na incidente, rukovanje kršenjem podataka i registre rizika.
Odatle možete razviti kratku priču zasnovanu na dokazima koja se uredno uklapa u RFP i ITT odgovore, podržana politikama, opisima procesa i primjerima dnevnika. Umjesto mahanja rukom o odgovornoj AI, možete predstaviti jasnu priču o tome kako se AI upravlja kao dio vašeg šireg sigurnosnog i GRC okvira.
ISO 42001 kao okosnica za upravljanje umjetnom inteligencijom
ISO IEC 42001, novi standard za sisteme upravljanja AI, daje ovu strukturu rada. Pruža okvir za upravljanje umjetnom inteligencijom kroz njen životni ciklus, od dizajna i nabavke do rada, praćenja i penzionisanja.
Za organizacije koje već koriste sistem upravljanja bezbednošću informacija (ISMS), sistem upravljanja kvalitetom ili sistem upravljanja informacijama o privatnosti, 42001 ne bi trebalo da se oseća strano. Može se integrirati sa postojećim ISO 27001, 9001 i 27701 aranžmanima. Uloge kao što su viši vlasnik informacionog rizika (SIRO), vlasnik informacijske imovine (IAO), službenik za zaštitu podataka, šefovi službi i vlasnici sistema jednostavno dobijaju jasnije odgovornosti za aktivnosti vezane za AI.
Usklađivanje sa 42001 takođe signalizira klijentima, regulatorima i osiguravačima da se AI ne tretira neformalno. To pokazuje da postoje definisane uloge, dokumentovani procesi, procene rizika, praćenje i kontinuirano poboljšanje oko veštačke inteligencije. Vremenom se to usklađivanje može dalje uzeti u formalnu sertifikaciju za one organizacije gde ima komercijalnog smisla.
Povezivanje ljudi, procesa i osiguranja
Politike i okviri su samo dio slike. Pravi test je da li ljudi širom organizacije razumiju šta je dozvoljeno, a šta zabranjeno i kada treba da zatraže pomoć.
Stoga je obuka o sigurnosti i upravljanju umjetnom inteligencijom ključna. Osoblje mora razumjeti kako postupati s upitima koji sadrže lične ili osjetljive podatke, kako prepoznati kada bi rezultati umjetne inteligencije mogli biti pristrasni ili nepotpuni i kako zabilježiti vlastiti nadzor. Menadžeri moraju znati kako da odobre slučajeve upotrebe, potpišu procjene rizika i reaguju na incidente koji uključuju AI.
Spajanjem svega ovoga dobijate nešto vrlo jednostavno, ali vrlo moćno. Kada sljedeći RFP ili ITT stigne sa stranicom pitanja o AI, nećete tražiti ad hoc odgovore. Bićete u mogućnosti da opišete sistem upravljanja veštačkom inteligencijom koji je usklađen sa priznatim standardima, integrisan sa vašim postojećim bezbednosnim i GRC praksama, i podržan obukom i dokazima.
Na prenatrpanom tržištu usluga, to može biti razlika između viđenja zanimljivog dobavljača i povjerenja u visoko vrijedan, osjetljiv posao.