Zarządzanie ryzykiem w kontekście nowych regulacji prawnych
Sporo się mówi o AI Act, ustawie przyjętej przez Parlament Europejski, która ma chronić podstawowe prawa związane z wykorzystywaniem systemów sztucznej inteligencji, a jednocześnie wspierać innowacje w zakresie AI. Jak to ma się do zarządzania ryzykiem w organizacji? Jak nowe regulacje prawne wpływają na ten obszar? Wyjaśnia Lider ERM, Paweł Zanin.
W Polsce regulacje dotyczące analizy ryzyka w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa są stosunkowo nowe, ale są ważnym elementem systemu prawodawczego, mającego na celu zwiększenie bezpieczeństwa cyfrowego.
Wśród kluczowych aktów prawnych i inicjatyw istotnych dla cyberbezpieczeństwa możemy wymienić:
- Ustawę o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku, która jest podstawą dla zarządzania i koordynacji działań w obszarze cyberbezpieczeństwa na poziomie krajowym. Określa ona obowiązki podmiotów z sektora publicznego oraz kluczowych usługodawców i dostawców usług cyfrowych w zakresie zarządzania ryzykiem i zgłaszania incydentów cyberbezpieczeństwa. Ustawa wymaga od tych podmiotów prowadzenia regularnych analiz ryzyka oraz wdrażania odpowiednich środków bezpieczeństwa.
- RODO (rozporządzenie o ochronie danych osobowych), które wprawdzie jest regulacją unijną, ale ma bezpośrednie zastosowanie w Polsce i ma kluczowe znaczenie dla zarządzania ryzykiem w zakresie ochrony danych osobowych. RODO wymaga od organizacji przeprowadzania oceny skutków ochrony danych przy rodzajach przetwarzania, które mogą wiązać się z wysokim ryzykiem dla praw i wolności osób fizycznych.
- Ustawę o ochronie informacji niejawnych, która reguluje zasady ochrony informacji niejawnych, kluczowych dla bezpieczeństwa państwa. Wymaga od podmiotów zobowiązanych do stosowania szczególnych środków ochrony fizycznej, informatycznej oraz administracyjnej.
- Inicjatywy i wytyczne od GIODO oraz NASK, które odgrywają kluczowe role w edukacji i wyznaczaniu standardów dotyczących bezpieczeństwa danych i cyberbezpieczeństwa. Generalny Inspektor Ochrony Danych Osobowych oraz Naukowa i Akademicka Sieć Komputerowa regularnie publikują wytyczne i rekomendacje dotyczące najlepszych praktyk w zakresie analizy ryzyka i zarządzania ryzykiem.
Wprowadzenie i egzekwowanie tych przepisów jest odpowiedzią na rosnące zagrożenia w cyberprzestrzeni oraz potrzebę ochrony kluczowej infrastruktury i danych osobowych. Firmy muszą więc nie tylko znać te przepisy, ale również wdrożyć odpowiednie procedury, aby zapewnić ich przestrzeganie, co jest częścią szerszej strategii zarządzania ryzykiem cyberbezpieczeństwa.
Rozwój sztucznej inteligencji a cyberbezpieczeństwo
Rozwój sztucznej inteligencji (AI) i jej zastosowania w różnych dziedzinach, w tym w bezpieczeństwie informacji i cyberbezpieczeństwie, rodzi nowe wyzwania dla regulacji prawnych. W Unii Europejskiej odpowiedzią na te wyzwania jest przyjęty przez Parlament Europejski 13 marca 2024 r. akt w sprawie sztucznej inteligencji – AI Act. Celem tego dokumentu jest uregulowanie wykorzystania technologii AI, zapewniając bezpieczeństwo i ochronę podstawowych praw obywateli.
Przyjęte regulacje kategoryzują aplikacje AI według poziomu ryzyka, od minimalnego po nieakceptowalne, i nakładają odpowiednie wymagania i ograniczenia.
W przypadku cyberbezpieczeństwa i ochrony informacji AI Act obejmuje:
- Zarządzanie ryzykiem – podobnie jak regulacje dotyczące cyberbezpieczeństwa, AI Act wymaga od dostawców i podmiotów korzystających z systemów AI przeprowadzania regularnych ocen ryzyka. W kontekście cyberbezpieczeństwa te oceny mogą obejmować analizę potencjalnych słabości w zabezpieczeniach stosowanych algorytmów AI, które mogą być wykorzystane do nieautoryzowanego dostępu lub manipulacji danych.
- Ochrona danych i prywatność – RODO już nakłada na organizacje obowiązek przeprowadzania oceny skutków dla ochrony danych, które mogą wiązać się z wysokim ryzykiem dla prywatności. AI Act rozszerza te wymagania, podkreślając konieczność implementacji odpowiednich środków technicznych i organizacyjnych do ochrony danych przetwarzanych przez systemy AI, co jest szczególnie istotne w kontekście rosnącej liczby cyberataków wykorzystujących technologie AI.
- Transparentność i odpowiedzialność – AI Act podkreśla potrzebę zapewnienia przejrzystości i możliwości wyjaśnienia działania systemów AI, co ma kluczowe znaczenie dla zaufania i bezpieczeństwa użytkowników. W przypadku cyberbezpieczeństwa może to oznaczać zapewnienie, że działania podejmowane przez systemy AI można, a nawet trzeba monitorować, audytować i w razie potrzeby korygować.
Zarządzanie ryzykiem w organizacjach a wyzwania i możliwości związane z AI Act
AI Act, jako jeden z pierwszych kompleksowych przepisów regulujących sztuczną inteligencję, wprowadza zarówno wyzwania, jak i możliwości dla organizacji, zwłaszcza w kontekście zarządzania ryzykiem.
Wyzwania związane z AI Act
AI Act stawia wymogi dotyczące przejrzystości i bezpieczeństwa, w szczególności koncentrując się na tych systemach AI, które wchodzą w interakcje z ludźmi oraz mogą przyczynić się do wpływania na ich odbiór rzeczywistości (mowa tu m.in. o technologii deep fake). Istnieją też określone obszary, w których wykorzystanie sztucznej inteligencji jest ograniczone lub zakazane. To z kolei nakłada na operatorów i dystrybutorów konkretne obowiązki i wymaga od nich nie tyle znajomości przepisów, ile ich egzekwowania.
Możemy wymienić następujące wyzwania związane z AI Act:
- Zrozumienie przepisów i spełnienie wymagań AI Act – będzie to wymagało ciągłej edukacji i świadomości regulacji, regularnych audytów wewnętrznych oraz współpracy z ekspertami zewnętrznymi do oceny zgodności systemów AI. Istotne jest również wdrożenie niezbędnych zmian, ciągłe monitorowanie i dokumentowanie wszelkich działań, dzięki czemu uniknie się sankcji, ale też zyska się możliwość budowania zaufania i wzmocnienia pozycji rynkowej organizacji.
- Prawidłowa klasyfikacja systemów oraz wdrożenie odpowiednich środków bezpieczeństwa – są niezbędne dla zgodności z AI Act i ochrony organizacji. Proces ten obejmuje dokładną ocenę ryzyka, implementację adekwatnych środków technicznych i organizacyjnych oraz ciągłe monitorowanie i aktualizację tych środków, aby zapewnić ochronę danych i minimalizację zagrożeń.
- Wyzwania dla dostawców systemów AI – dostawcy będą musieli wdrożyć m.in.:
- system zarządzania jakością, zgodny z AI Act
- system zarządzania danymi
- system zarządzania ryzykiem
4. Dodatkowe obowiązki dla systemów wysokiego ryzyka – w tej kategorii określono następujące obowiązki:
-
- dokonywanie oceny wpływu systemu AI na podstawowe prawa człowieka
- systemy te będą musiały działać pod nadzorem człowieka
- będą musiały być prowadzane automatycznie generowane rejestry zdarzeń
- będzie musiał być wdrożony i stale prowadzony proces analizy ryzyka, który będzie musiał być systematycznie przeglądany i aktualizowany.
5. Koszty związane z dostosowaniem się do AI Act – dla dostawców systemów AI mogą być znaczące i obejmują różne aspekty działalności firmy. Dla wielu dostawców, szczególnie dla mniejszych firm i startupów, mogą stanowić znaczną barierę wejścia na rynek lub rozwój na rynku technologii AI.
Możliwości związane z AI Act
Głównym celem wdrożenia AI Act jest ochrona użytkowników przed negatywnymi skutkami rozwoju technologii AI. Dokument mówi wprost, że jego celem jest „etyczny i bezpieczny rozwój oraz zastosowanie technologii AI” oraz upowszechnianie „ukierunkowanej na człowieka i godnej zaufania sztucznej inteligencji AI”.
W odniesieniu do organizacji stosujących tę technologię możemy wymienić następujące możliwości związane z regulacjami dot. AI:
- Podniesienie poziomu zaufania wśród klientów – organizacje, które skutecznie dostosują się do regulacji AI Act, mogą zbudować silniejsze zaufanie wśród klientów, partnerów i inwestorów.
- Poprawa jakości systemów AI – dzięki regulacjom dostawcy systemów AI będą bardziej świadomi potencjalnych ryzyk i będą musieli lepiej zarządzać swoimi systemami, co poskutkuje wyższą jakością i efektywnością systemów AI.
- Przewaga konkurencyjna – przestrzeganie AI Act może stanowić przewagę konkurencyjną dla firm, ponieważ buduje zaufanie i wiarygodność wśród klientów oraz umożliwia łatwiejszy dostęp do rynku europejskiego.
AI Act stwarza organizacjom zarówno wyzwania, jak i możliwości. Kluczem do skutecznego zarządzania ryzykiem będzie nie tylko zrozumienie i wdrożenie wymagań prawnych, ale także proaktywne podejście do wykorzystania potencjału AI w sposób bezpieczny i etyczny, co może przynieść znaczące korzyści operacyjne i strategiczne.
Główne ryzyka związane z implementacją AI Act oraz możliwości ich minimalizowania
Implementacja AI Act wiąże się z różnymi ryzykami dla organizacji, które korzystają z technologii sztucznej inteligencji. Oto kilka z nich:
- Identyfikacja systemu pod kątem AI oraz określenie jego statusu – mimo że AI Act dość precyzyjnie formułuje definicję sztucznej inteligencji, wiele organizacji może mieć problem w określeniu, czy dany system się do niej zalicza. Może nawet dojść do procesu odwrotnego do dzisiejszego, kiedy to prawie każdy bardziej zautomatyzowany system z pobudek marketingowych próbuje określać się mianem „inteligentnego”. Po pełnym wejściu w życie AI Act może wystąpić zjawisko unikania zakwalifikowania niektórych systemów do kategorii AI w celu uniknięcia rygorów prawnych.
- Koszty implementacji – głównie chodzi o koszty związane z wdrożeniem systemów zarządzania, analiz ryzyka, ocen i audytów, ale także koszty technologiczne, informacyjne, a nawet koszty związane z utraconymi korzyściami związanymi z nieetycznego wykorzystania technologii AI.
- Potencjalne ograniczenie innowacji – rygorystyczne wymagania regulacyjne mogą spowalniać rozwój i testowanie nowych technologii AI. Wysokie koszty zgodności stanowią barierę finansową, co może ograniczać eksperymentowanie i wprowadzanie produktów na rynek. Dodatkowo obawa przed sankcjami za naruszenia przepisów może zniechęcać firmy do eksploracji nowych obszarów AI, co potencjalnie hamuje postęp technologiczny i kreatywność w projektowaniu, a w konsekwencji – rozwój technologii AI na terenie UE.
- Niepewność prawna – ponieważ AI Act jest pierwszym tego typu uregulowaniem, mogą istnieć obawy przed jego zmianami. Z tym wiążą się niepewności co do kierunków tych zmian i późniejszej konieczności dostosowywania się do nich.
Chociaż AI Act ma na celu zapewnienie bezpieczeństwa i przejrzystości w stosowaniu AI, równowaga między regulacją a promowaniem innowacji jest kluczowa. Nadmierna regulacja może niepotrzebnie ograniczać rozwój technologiczny, a zbyt luźne podejście może prowadzić do nadużyć i problemów z bezpieczeństwem. Znalezienie tego balansu to wyzwanie, przed którym stoi dziś regulator w Europie i na świecie oraz środowisko związane z rozwojem i wykorzystaniem technologii AI.
Oto kilka możliwości, dzięki którym można przeciwdziałać ryzykom implementacji AI Act:
- Wczesne planowanie i analiza – przez wczesne planowanie i analizę, firmy mogą nie tylko minimalizować negatywne skutki wdrożenia AI Act, ale również wykorzystać nowe regulacje jako szansę na poprawę swojej konkurencyjności i innowacyjności.
- Inwestycja w doradztwo specjalistyczne – może to uchronić organizacje przed kosztownymi i czasochłonnymi błędami.
- Szkolenie pracowników – inwestowanie w kompetencje to zawsze nieoceniona wartość w każdą organizację.
- Stałe monitorowanie i audyt – są to elementy, które nie tylko stanowią wymóg zapewnienia zgodności z AI Act, ale także mogą stać się ważnym elementem strategii zarządzania ryzykiem, który pomaga organizacjom unikać negatywnych skutków i wykorzystywać nowe możliwości wynikające z odpowiedniego zarządzania technologią AI.
- Elastyczność i zwinność – to są fundamentalne cechy organizacji, które chcą minimalizować negatywne skutki wdrożenia AI Act; pozwalają na szybkie adaptacje, skuteczne zarządzanie ryzykiem oraz ciągłe doskonalenie w odpowiedzi na zmieniające się warunki prawne i rynkowe.
Wykorzystanie AI w zarządzaniu ryzykiem
Technologia AI może zrewolucjonizować procesy identyfikacji ryzyka, jego oceny oraz reagowania na ryzyko umożliwiając bardziej zaawansowane i efektywne podejście do tych procesów.
Identyfikacja to przede wszystkim wykorzystanie i analiza dużych zbiorów danych. Dzięki temu możliwe jest wykrywanie wzorców i anomalii – czyli potencjalnych ryzyk. Analiza predykcyjna, czyli przewidywanie ryzyk korzystając z historii oraz trendów rynkowych zmieni się ze statystycznej na proaktywną.
Dzięki uczeniu maszynowemu ocena prawdopodobieństwa wystąpienia ryzyk i ich skutków staje się bardziej precyzyjna i dynamiczna. Ocena może być dokonywana w czasie rzeczywistym, co pozwala organizacjom na natychmiastowe reagowanie i szybsze minimalizowanie skutków niepożądanych zdarzeń, a wręcz – niedopuszczenie do ich wystąpienia, a więc reagowanie na ryzyko.
Takie przymioty AI jak: wnioskowanie, decyzyjność i zdolność adaptacji pozwalają tak zautomatyzować procedury np. zarządzania kryzysowego, które efektywnie zminimalizuje jego skutki. Natomiast zwiększenie elastyczności i skuteczności procesów oznacza szybsze i bardziej precyzyjne reakcje na potencjalne zagrożenia.
AI Act a zarządzanie ryzykiem – podsumowanie
W Polsce nowe regulacje prawne w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa, takie jak ustawa o krajowym systemie cyberbezpieczeństwa i RODO, stanowią ważne elementy w zwiększaniu bezpieczeństwa cyfrowego. Regulacje te zobowiązują kluczowe podmioty, takie jak usługodawcy i dostawcy usług cyfrowych, do regularnych analiz ryzyka i wdrażania odpowiednich środków bezpieczeństwa. Dodatkowo wprowadzenie AI Act przez Parlament Europejski ma na celu uregulowanie wykorzystania technologii AI, zapewniając bezpieczeństwo i ochronę danych. Regulacje te kategoryzują aplikacje AI według poziomu ryzyka i nakładają odpowiednie wymagania.
Implementacja przepisów wymaga od firm nie tylko znajomości nowych regulacji, ale również wdrożenia odpowiednich procedur, aby zapewnić ich przestrzeganie, co jest integralną częścią szerszej strategii zarządzania ryzykiem cyberbezpieczeństwa.
O autorze
Paweł Zanin – audytor wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, audytor wewnętrzny Systemu Zarządzania Jakością ISO 9001, lider ERM w PBSG.
Inicjator i lider wdrożenia SZBI w Fundacji Rozwoju Systemu Edukacji wraz z certyfikacją według normy ISO 27001. Przez kilka lat pełnił funkcję pełnomocnika systemu zarządzania jakością oraz pełnomocnika systemu zarządzania bezpieczeństwem informacji w FRSE.
Manager w kilku dużych firmach, zajmujący się procesami operacyjnymi, budowaniem i utrzymywaniem środowiska pracy oraz IT. Certyfikowany kierownik projektów.
Absolwent MBA na Politechnice Śląskiej na kierunku Przemysł 4.0 oraz studiów podyplomowych: SGH na kierunku efektywne zarządzanie IT w przedsiębiorstwie, Akademii im. Leona Koźmińskiego na kierunku rachunkowość i zarządzanie finansami w JSP oraz Wyższej Szkoły Zarządzania/Polish Open University na kierunku zarządzanie personelem. Studia magisterskie ukończył na Uniwersytecie Wrocławskim.