לבריטניה יש בעיית ניהול בינה מלאכותית. ייתכן שזו לא הייתה בעיה לפני מספר שנים, כאשר פרויקטים היו חלקיים ברוב הארגונים. אבל ארגונים של היום מאמצים את הטכנולוגיה בהתלהבות גוברת. לפי ה-BSIכמעט שני שלישים (62%) ממנהיגי העסקים בבריטניה ובמקומות אחרים צפויים להגדיל את השקעותיהם בבינה מלאכותית בשנה הקרובה, על מנת לשפר את הפרודוקטיביות, היעילות והפחתת עלויות. יותר ממחצית (59%) רואים בכך גורם חיוני לתוכניות הצמיחה.
ועדת התקינה מזהירה כי אותם ארגונים "הולכים מתוך שינה" אל תוך משבר ניהול בינה מלאכותית. לטענתה, רק רבע (24%) מהם קיימת תוכנית ניהול בינה מלאכותית, כולל רק שליש (34%) מהארגונים הגדולים. כאן תקן ISO 42001 צריך להיות מובן מאליו.
מה אומר ה-BSI
המחקר של BSI מבוסס על ראיונות עם 850 מנהיגים עסקיים בכירים בשמונה מדינות, וניתוח עבודה מרכזי בסיוע בינה מלאכותית של למעלה מ-100 דוחות עסקיים מחברות רב-לאומיות. המחקר מצא שרק רבע (24%) מהעסקים עוקבים אחר השימוש של עובדים בכלי בינה מלאכותית ורק ל-30% יש תהליכים להערכת סיכוני בינה מלאכותית ואמצעים להפחתת הסיכון. רק חמישית (22%) מונעים מעובדים להשתמש בכלי בינה מלאכותית לא מורשים.
פערי הממשל חורגים מעבר לסיכון ה-"צל" של IT. רק 28% מהנשאלים אומרים שהם יודעים באילו מקורות נתונים הם משתמשים כדי לאמן ולפרוס בינה מלאכותית. נתון זה ירד למעשה מ-35% בתחילת השנה. רק ל-40% יש תהליכים לוויסות השימוש בנתונים רגישים/סודיים לצורך אימון בינה מלאכותית.
ארגונים מוכנים בצורה גרועה באותה מידה למקרים בהם דברים משתבשים. רק שליש מהם מדווחים על חששות או אי דיוקים, ול-29% יש תהליכים לניהול ותגובה לאירועי בינה מלאכותית. רק ל-30% יש תהליך הערכת סיכונים רשמי כדי לשקול האם בינה מלאכותית עלולה להציג פגיעויות חדשות. זה מעלה את הסיכון להפסקה או תקרית חמורה. עם זאת, חמישית מהנשאלים מודים שבינה מלאכותית גנרטיבית (GenAI) הפכה כה קריטית לעסקים, עד שהם לא חושבים שהארגון יוכל לפעול זמן רב בלעדיה.
ייתכן ששאננות היא חלק מהבעיה. למעלה ממחצית ממנהיגי העסקים הגלובליים (56%) אומרים שהם בטוחים שלצוות המתחילים שלהם יש את הכישורים הנדרשים לשימוש בבינה מלאכותית, ושיעור דומה אומר את אותו הדבר על הארגון כולו. למעלה ממחצית (55%) בטוחים שהם יכולים להכשיר צוות להשתמש ב-GenAI "באופן ביקורתי, אסטרטגי ואנליטי". עם זאת, רק שליש מהם יש תוכנית למידה ופיתוח ייעודית. והכשרה יכולה להביא אתכם רק עד גבול מסוים.
האם זה משנה?
נראה כי תאימות לתקן דווקא הולכת ופוחתת בכל הנוגע לבינה מלאכותית. כיום, מחצית (49%) מהארגונים הגלובליים כוללים סיכונים הקשורים לבינה מלאכותית במסגרת תוכניות תאימות רחבות יותר, ירידה מ-60% לפני שישה חודשים. אך ירידה זו אינה מוסברת על ידי מספר הארגונים שמפעילים תוכניות ייעודיות לניהול הטכנולוגיה.
למה זה משנה? כי סיכוני הבינה המלאכותית כבר מחלחלים לנוף העסקי. דוגמאות לכך כוללות:
- דליפות מקריות של מידע רגיש באמצעות צ'אטבוטים מסחריים
- נתוני/מודלים של הדרכה מוטים המובילים לתפוקה אשר עלולים להשפיע על מוניטין המותג
- בינה מלאכותית צללית המובילה לחשיפת נתונים או יצירת קוד באגי
- נתונים באיכות ירודה או נתונים מורעלים, המובילים לדלתות אחוריות ופלט לא מדויק
- אי עמידה רגולטורית בחוקי הגנת מידע, אבטחת סייבר והפרת זכויות קניין רוחני
- פגיעויות בשרשרת האספקה של בינה מלאכותית שאינן מטופלות, וחושפות את הארגון לפריצות.
סיכונים אלה רק יגדלו ככל שבינה מלאכותית סוכנתית תתפוס תאוצה - ותיצור השפעה משמעותית פוטנציאלית על השורה התחתונה ועל המוניטין של החברה. מחקר עדכני של EYכמעט כל המשיבים בבריטניה (98%) דיווחו על הפסדים במהלך השנה האחרונה עקב סיכונים הקשורים לבינה מלאכותית. למעלה ממחציתם (55%) טענו כי הדבר עלה להם ביותר ממיליון דולר (750,000 ליש"ט), בעוד שההפסד הממוצע הוערך ב-3.9 מיליון דולר (2.9 מיליון ליש"ט) לכל ארגון. הסיכונים הנפוצים ביותר היו אי עמידה בתקנות, נתוני הדרכה לא מדויקים או באיכות ירודה, וצריכת אנרגיה גבוהה המשפיעה על יעדי הקיימות.
אכפת לפער
היו כמה נקודות אור בדוח של BSI. ניתוח מילות מפתח הראה כי "ממשל" ו"רגולציה" היו מרכזיים יותר בדוחות שהופקו על ידי חברות שבסיסן בבריטניה. הם הופיעו 80% יותר מאשר בדוחות של חברות שבסיסן בהודו ו-73% יותר מאלה שבסיסן בסין. עם זאת, פונקציות סיכון ותאימות "עדיין פועלות עם ספר משחקים מוגבל ומתפתח" בבריטניה, טוען מנכ"ל IO (לשעבר ISMS.online), כריס ניוטון-סמית'.
"הבעיה הגדולה ביותר שאנו רואים אינה חוסר כוונה, אלא חוסר מבנה. לעסקים פשוט עדיין אין את המסגרות, המדיניות או הבעלות חוצת התחומים הנדרשים כדי לשלוט בבינה מלאכותית באותו אופן בו הם שולטים באבטחת מידע או בפרטיות", הוא אומר ל-IO.
"אני חושב שהמחסום הגדול ביותר כרגע הוא שצוותי הנהלה רבים עדיין ממעיטים בערכם של הסיכונים, משום שבינה מלאכותית נתפסת בעיקר ככלי חדשנות ולא ככלי שיכול, ועושה זאת, לעצב מחדש באופן מהותי את משטח האיומים של הארגון."
בהיעדר מודל ממשל רשמי, חששות שמעלים צוותי אבטחה יתקעו במחסומים או יידחו כמחסום לצמיחה. ניוטון-סמית' מוסיף כי רק כאשר סיכון הבינה המלאכותית יטופל כסוגיה ברמת הדירקטוריון, הפער בין אימוץ לפיקוח יתחיל להיסגר.
החדשות הטובות הן ש-ISO 42001 נבנה בדיוק למטרה זו, טוען מארק ת'ירלוול, מנהל דיגיטלי גלובלי ב-BSI.
"הסטנדרט מספק מסגרת מעשית להקמת מערכת ניהול רשמית של בינה מלאכותית, המקדמת ארגונים מעבר לעקרונות מעורפלים לפעולה קונקרטית. התקן דורש ממנהיגים להעריך ולטפל באופן רשמי בסיכונים ספציפיים לבינה מלאכותית, לקבוע אחריות ברורה ולהבטיח תהליכים מאובטחים לכל מחזור החיים של הבינה המלאכותית", הוא אומר ל-IO.
"אימוץ גישה מובנית זו אינו נועד להאט את החדשנות, אלא לאפשר אותה באחריות ובבטחה. היא מעניקה למנהיגות את הכלים לעבור מעמדה תגובתית לעמדה של שליטה אסטרטגית, ובכך להבטיח שבינה מלאכותית תהפוך למניע בטוח ואמין של צמיחה לטווח ארוך."
ניוטון-סמית' מ-IO מסכימה, ומסבירה שהתקן יוצר בהירות לגבי תפקידים, הערכת סיכונים, בקרות מחזור חיי מודל, פיקוח על ספקים וניטור.
"זה גם מתיישר באופן טבעי עם מסגרות קיימות כמו ISO 27001 ו-ISO 27701, מה שאומר שעסקים יכולים להרחיב את מבני הממשל והסיכונים שהם כנראה כבר מסתמכים עליהם לצורך אבטחה ופרטיות", הוא מוסיף.
תחילת העבודה
אז כיצד ארגונים צריכים להתחיל את מסע התאימות שלהם לתקן ISO 42001? ניוטון-סמית' מייעצת: הטמעו ניהול בינה מלאכותית במערכת ניהול מידע (ISMS) קיימת במקום להתייחס אליה כאל פרויקט עצמאי.
"בעיקרון, זה אומר: מיפוי מקרי שימוש של בינה מלאכותית לסיכונים; יצירת אחריות ברורה בהנהגה, הנדסה, משפט ותאימות; קביעת תהליכים חוזרים לניטור מודלים וניהול אירועים; והבטחת ששרשרת האספקה עומדת באותו סטנדרט", הוא אומר.
"התחלה עם מערכת בקרה מרכזית בדרך זו הופכת את התוכנית לקלה יותר למדידה, להרחבה ולביקורת מהיום הראשון. ISO 42001 אינו תאימות לשם תאימות, אלא הבסיס לאימוץ בינה מלאכותית אמין ובעל פוטנציאל מסחרי."
