בינה מלאכותית (AI) משנה את מגזר טכנולוגיית המידע בקצב מסחרר. AI שינתה יישומים, כולל ניתוח נתונים, שירות לקוחות ואפילו פיתוח תוכנה. עסקים שאיטיים לאמץ AI מסתכנים בחסרונות תחרותיים עצומים. אבל פריסות של טכנולוגיית AI לא מגיעות ללא סיכון.
לדוגמה, פגמים במערכת בינה מלאכותית שנועד להתמודד עם הונאה בקצבאות הילדים, הכניס משפחות בהולנד למצוקה כלכלית. אמזון נאלצה לבטל כלי גיוס בינה מלאכותית שהראה הטיה כלפי מועמדות.
השימוש בבינה מלאכותית לאיסוף וניתוח נתונים גם מעלה בעיות פרטיות ופוטנציאל לפרצות נתונים, במיוחד במגזרים רגישים בכלכלה. לְדוּגמָה, בנקים רבים אסרו על הצוות להשתמש בכלים כגון ChatGPT ועוזרים וירטואליים אחרים של AI בגלל חשש שאופי השאילתות עלול לדלוף מידע על סודות עסקיים כגון רכישות מתוכננות או מיזוגים.
דו"ח שפורסם לאחרונה על ידי המרכז לחוסן ארוך טווח (CLTR) קרא לבריטניה להקים מערכת לתיעוד שימוש לרעה או תקלה ב-AI אירועים. צוות החשיבה טוען שיש לטפל בבעיות בטכנולוגיית בינה מלאכותית באותו אופן שבו הענף לחקירת תאונות אוויר חוקר תאונות מטוסים.
מערכת דיווח על אירועים לבעיות בינה מלאכותית מציעה הזדמנות לפתח שיטות עבודה מומלצות בתחומים כמו ניהול סיכונים, הפקת לקחים ועיצוב תקנות, על פי ה-CLTR.
התקדמות הרגולטורית
בעוד שהרגולציה עדיין מדביקה את השימוש ב-AI בתוך עסקים, גישת המתנה לעמידה בדרישות היא רחוקה מלהיות חכמה.
דייוויד קורלט, סמנכ"ל ניהול מוצר ב- VIPRE Security Group, אמר ל-ISMS.online כי רגולציית AI מתפתחת (קרוב) במקביל לטכנולוגיה עצמה.
"למרות שעדיין לא ראינו מסגרת מקיפה עבור AI - התקדמות ניכרת נעשית", לדברי קורלט. "יש את מסגרת ניהול הסיכונים של NIST AI (AI RMF), וכמובן, ISO 42001, שמציע גישה מבטיחה לניהול AI. תקן ISO 42001 יביא רמה של עקביות ואמינות מעבר לגבולות."
הנחת בסיס
מסגרות כגון ISO 42001 יכול לסייע בהקמת יסודות איתנים ולהקל על העומס של השגת תאימות כאשר וכאשר יוכנסו תקנות חדשות.
ISO 42001 מתאר כיצד עסקים יכולים להקים מסגרת להקמת ותחזוקה של מערכת ניהול בינה מלאכותית בתוך הארגון שלהם. ניהול סיכונים הוא אחד ממרכיבי הליבה של המסגרת.
לדברי גלן צ'ישולם, מייסד שותף ומנכ"ל Obsidian Security, "תקן ISO 42001 מדגיש ניהול סיכונים וניתן ליישם אותו כדי לכלול סיכונים הקשורים לבינה מלאכותית, כולל שיקולים אתיים, הערכות סיכונים והשפעות, פרטיות נתונים, הטיה ושיפור מתמיד ."
Chisholm הוסיף, "אמנם זה אינו מבטיח עמידה בתקנים אחרים, אך ISO 42001 חולק תכונות רבות עם תקנים כמו חוק ה-EU AI, NIST AI RMF ואחרים."
פיטר ווד, מנהל טכני ראשי ב-Spectrum Search, הוסיף: "על ידי אימוץ ISO 42001, ארגונים יכולים לפשט את הציות לתקנות הקרובות באמצעות גישה פרואקטיבית ולא תגובתית. זה מאפשר לארגונים להסתגל ללא מאמץ לנופים רגולטוריים משתנים, ולמזער את הסיכון והעונשים הפוטנציאליים של אי ציות".
יוזמות עולמיות
סטנדרטים בינלאומיים מתפתחים במהירות, ומדינות רבות, כמו ארצות הברית, סין, הודו ואוסטרליה, נמצאות כולן בתהליך של ביסוס התקנות שלהן.
לדברי צ'ישולם, "סביר להניח שרבים מהסטנדרטים הללו ישאלו זה מזה, כך שהיתרון של יישור קו עם אחד יזרום כנראה לשני."
מומחי משפט וציות אומרים שהקפדה על חוק הבינה המלאכותית של האיחוד האירופי שהוצג לאחרונה צריכה להיות בראש סדר העדיפויות של עסקים בבריטניה, בהתחשב בעובדה שלעתים קרובות הם יעשו עסקים עם האיחוד האירופי.
"עסקים רבים בבריטניה פועלים באיחוד האירופי או עם האיחוד האירופי; לכן, התאמה לחוק ה-AI של האיחוד האירופי מבטיח גישה מתמשכת לשוק המשמעותי הזה", אמרה בקי ווייט, עורכת דין בכירה להגנת מידע ופרטיות ב-Harper James, ל-ISMS.online. "אי ציות עלול לגרום לחסמי כניסה או קנסות, להשפיע על הפעילות העסקית ועל התחרותיות."
השמיים חוק AI של האיחוד האירופי מתמקד ביישומים ובמערכי נתונים בסיכון גבוה. עקרונות הליבה שלה מדגישים שקיפות ואחריות.
"חוק הבינה המלאכותית של האיחוד האירופי הוא מקום טוב להתחיל בו מכיוון שעקרונות הליבה שלו של שקיפות, בטיחות וממשל נתונים עשויים להיות בסיסיים לכל רגולציה של בינה מלאכותית בכל אזור", על פי קורלט של VIPRE. "חקיקה זו היא הראשונה מסוגה והיא קובעת למעשה את המסגרת לתעשייה מתפתחת שאין לה תקנים קודמים הניתנים לאכיפה".
קורלט סיכמה: "ההיסטוריה תצביע על כך שהתקנות שפותחו באזורים אחרים יהיו דומות מאוד גם לחקיקה המתהווה של האיחוד האירופי. דוגמה לכך היא ה-GDPR של האיחוד האירופי".
בעוד שההתאמה לחוק הבינה המלאכותית של האיחוד האירופי מבטיחה פעולות עסקיות חלקות מעבר לגבולות ויכולה למנוע התנגשויות רגולטוריות פוטנציאליות, עסקים בבריטניה צריכים לעקוב מקרוב אחר התפתחויות רגולטוריות קרוב יותר לבית.
ווד של Spectrum Search ייעץ "לגידור הימורים על ידי שמירה מקרוב על תקנות ספציפיות לבריטניה ושמירה על הגמישות להסתגל לדרישות בריטניה והאיחוד האירופי".
מומחים יעצו שארגונים בבריטניה צריכים למקם את עצמם כדי להסתגל במהירות אם וכאשר יתעוררו הבדלים בין משטרים רגולטוריים באזורים שונים.
הארפר ג'יימס ווייט הגיב: "עמידה מלאה במשטרים רגולטוריים מרובים בו-זמנית יכולה להיות עתירת משאבים; לפיכך, אסטרטגיית 'גידור' מסוג זה מאפשרת לעסקים להקצות משאבים בצורה יעילה, תוך איזון עמידה בחדשנות ויעילות תפעולית ועל ידי שמירה על גמישות מסוימת, עסקים יכולים להסתגל לשינויים בסביבות הרגולציה של בריטניה והאיחוד האירופי, לפי הצורך."
פרטיות וממשל
דאגות ממשל ופרטיות הנובעות משימוש ארגוני בבינה מלאכותית חורגות מעבר לענייני ציות ורגולציה.
"ההכשרה של מודלים ומסדי נתונים של Gen AI כרוכה לרוב בעיבוד מערכי נתונים עצומים המכילים כמויות משמעותיות של נתונים אישיים, מה שיכול להוביל לסיכוני פרטיות וממשל משמעותיים עבור עסקים בבריטניה", הסביר הרפר ג'יימס ווייט. "מידע זה יכול לפעמים לכלול נתונים מקטגוריות רגישות או מיוחדות על אנשים, שעיבודם יכול להנציח או אפילו להחמיר הטיות, ולהוביל לתוצאות לא הוגנות או מפלות. השימוש לרעה בתוכן שנוצר עלול להפר את זכויות הפרטיות".
הטיה אלגוריתמית, שבה מערכות בינה מלאכותית עשויות להדהד בטעות הטיות קיימות בנתוני האימון, ניתנת למתן על ידי ביקורת מוסדרת ומערכי נתונים מגוונים.
לדברי White, עסקים יכולים לסייע בהפחתת הסיכונים הללו על ידי יישום שיטות ניהול נתונים חזקות והתמקדות באופן שבו העובדים שלהם משתמשים בבינה מלאכותית.
"זה כולל שימוש בטכניקות אנונימיזציה, הקמת בקרות גישה מחמירות, ביצוע ניטור הטיה קבוע והבטחה שהנתונים המשמשים לאימון מודלים של AI מדויקים, מלאים ומייצגים", ייעץ ווייט.
