През следващите 12-18 месеца организациите ще се сблъскат с все по-сложен пейзаж от рамки и разпоредби за съответствие с ИИ. Докато внедряването на ИИ се ускорява в различните индустрии, правителствата по целия свят разработват законодателство за справяне с рисковете и използването му. За ръководителите по сигурността тези рамки въвеждат значителни предизвикателства в управлението, управлението на риска и планирането на съответствието.
В Европейския съюз Законът на ЕС за изкуствения интелект бележи критично развитие, като поетапното му въвеждане започва през февруари 2025 г. Междувременно в САЩ регулаторните инициативи включват предложени правила на Комисията по ценните книжа и фондовите борси (SEC) и нарастваща мозайка от законодателство на щатско ниво, като например Закона за изкуствения интелект на Колорадо. По данни на глобалната правна фирма BCLP поне 15 американски щата са приели законодателство, свързано с изкуствения интелект, а други са в процес на разработване. Извън тези региони, регулаторният подход на Китай се итерира от 2022 г. насам, като въвежда още едно ниво на сложност за глобалните предприятия.
И това е само началото. В допълнение към специфичните за ИИ регулации, по-широки рамки като Закона за цифровата оперативна устойчивост (DORA) въвеждат специфични за индустрията изисквания, които се пресичат с използването на ИИ, особено във финансовите услуги и други регулирани сектори.
За многонационалните организации съгласуването на усилията за спазване на тези припокриващи се и променящи се разпоредби ще бъде сериозно предизвикателство през следващите години.
Подобно на GDPR, Законът на ЕС за изкуствения интелект ще се прилага поетапно. Първият етап настъпва на 2 февруари 2025 г., когато организациите, работещи в ЕС, трябва да гарантират, че служителите, участващи в използването, внедряването или надзора на ИИ, притежават адекватна грамотност в областта на ИИ. След това, от 1 август, всички нови модели на ИИ, основани на стандартите на GPAI, трябва да са напълно съвместими с акта. Подобна на GDPR е и заплахата от огромни глоби за неспазване на изискванията – 35 млн. евро или 7 % от световния годишен оборот, което от двете е по-високо.
Въпреки че това изискване може да изглежда управляемо на пръв поглед, много организации все още са в начален етап на дефиниране и формализиране на своите политики за използване на ИИ. В разговорите с лидери в областта на сигурността и съответствието малцина съобщават, че са въвели приложими политики за вътрешно управление на използването на ИИ – още по-малко да демонстрират съответствието си пред външни регулатори.
Тази фаза подчертава по-широката възможност програмите за обучение за повишаване на осведомеността за сигурността да се разширят отвъд традиционните упражнения, като например симулации на фишинг. Например, динамичните и автоматизирани задачи за обучение – модел, който вече се използва от платформи като KnowBe4 – биха могли да помогнат на организациите да гарантират, че служителите са подготвени да разбират и намаляват рисковете, свързани с ИИ.
По-късните етапи на Акта на ЕС за ИИ, които се очакват в края на 2025 г. и през 2026 г., ще въведат по-строги изисквания относно забранените и високорисковите приложения на ИИ. За организациите това ще изведе на повърхността значително управленско предизвикателство: поддържане на видимост и контрол върху активите на ИИ.
Концепцията за сенчести ИТ – служители, които използват несанкционирани инструменти без одобрение – не е нова, но генеративните инструменти на ИИ засилиха проблема. В сравнение с наследения софтуер инструментите за ИИ често са по-примамливи за крайните потребители, които могат да заобиколят контрола, за да се възползват от възприетите ползи за производителността им. Резултатът е възходът на „ИИ в сянка“, при който несанкционирани или вградени възможности на ИИ се използват без надзор на сигурността.
Проследяването на използването на самостоятелни инструменти за генеративен изкуствен интелект, като ChatGPT или Claude, е сравнително лесно. Предизвикателството обаче се засилва, когато става въпрос за SaaS платформи, които интегрират AI функционалности на гърба. Анализаторите, включително Gartner, наричат това „вграден ИИ“, а разпространението му прави поддържането на точни инвентаризации на активите на ИИ все по-сложно.
Ако предложените разпоредби на Комисията по ценните книжа и фондовите борси (SEC) бъдат приети в САЩ, управлението на активите на ИИ ще стане още по-критично. Организациите ще трябва да въведат надеждни процеси за инвентаризация, наблюдение и управление на системите с ИИ в техните среди.
Мястото, където рамки като Закона за ИИ на ЕС стават по-сложни, е техният фокус върху „високорисковите“ случаи на използване. Спазването на изискванията ще изисква от организациите да излязат извън рамките на простото идентифициране на използваните инструменти за ИИ; те трябва също така да оценят как се използват тези инструменти, какви данни се споделят и какви задачи изпълнява ИИ.
Например, служител, който използва генеративен инструмент за ИИ, за да обобщава чувствителни вътрешни документи, внася съвсем различни рискове, отколкото някой, който използва същия инструмент за изготвяне на маркетингово съдържание. Тъй като използването на ИИ се разширява, организациите трябва да получат подробна видимост за тези случаи на използване, за да оценят рисковите си профили и да осигурят съответствие с нормативните изисквания.
Това не е малка задача. Разработването на способност за наблюдение и управление на случаите на използване на ИИ в глобално предприятие ще изисква значителни ресурси, особено с усъвършенстването на регулациите през следващите 12-24 месеца.
За лидерите в областта на сигурността и съответствието Законът на ЕС за изкуствения интелект представлява само една част от по-широк пъзел на управлението на изкуствения интелект, който ще доминира през 2025 г. Независимо от географията, организациите ще бъдат изправени пред нарастващ натиск да разбират, управляват и документират своите внедрявания на ИИ.
Следващите 12-18 месеца ще изискват трайно съсредоточаване и сътрудничество между екипите по сигурността, съответствието и технологиите, за да изпреварват тези развития. Макар че предизвикателствата са значителни, проактивните организации имат възможност да изградят мащабируеми рамки за управление на ИИ, които гарантират спазването на изискванията, като същевременно дават възможност за отговорни иновации в областта на ИИ.
С ускоряването на регулаторната динамика в световен мащаб подготовката днес ще бъде от съществено значение за избягване на смущенията утре. Ето какво могат да направят организациите днес:
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
