İşletmeler yıllardır yapay zeka kullanıyor ve makine öğrenimi (ML) modelleri genellikle açık kaynak havuzlarından alınıp işletmeye özel sistemlere yerleştirilmiş olsa da, model kaynağı ve güvencesi her zaman zorunlu olarak belgelenmedi veya şirket politikasına dahil edilmedi. Geliştirilmekte olan standartlar ve rehberlik, haklı olarak risk odaklı ve esnek olmayı hedeflemektedir. Yine de, yapay zeka özellikli ürün ve hizmetler oluşturan ve tüketen işletmelerde bunları uygulamak fark yaratacaktır.
Bununla birlikte, güvencenin uygulanabilirliği (iyi neye benziyor? Değerlendirmeleri yapmaya kim yetkilidir?), sorumluluk (yazılım tedarik zinciri karmaşıktır) ve hatta bu yeni teknolojinin sürekli geliştirilmesinin sorumlu olup olmadığına ilişkin pek çok açık soru vardır.
Bu sistemlerin yönetişimiyle ilgili model başarısızlığından kim sorumludur?
Üçüncü taraf riskini göz önünde bulundururken, makine öğrenimi modellerinin hangi şablonlar üzerine inşa edildiğini göz önünde bulundurmaya ve ardından bu modelleri kullanan bir ürünün yolculuğunu anlamaya değer. Örneğin, önceki sürümlerden kaç makine öğrenimi modeli oluşturuldu? En başından beri savunmasız bir makine öğrenimi modeli kullanılmışsa, sonraki her sürümde mevcut olacağını söylemek doğru olur.
Başarılı olmak için, yapay zeka özellikli hizmetlerin tasarlanan hedeflerine ulaşmalarına izin verecek bir düzeyde güven olmalıdır. Daha fazla bağlanabilirlik, bu sistemlerin müşterilere ürün ve hizmetler sunmak için başkalarıyla etkileşime girmesini sağlayacaktır. Bununla birlikte, bu birbirine bağlı güven ağı, uygun şekilde yönetilmedikçe, bir parça tehlikeye atıldığında, yapay zeka özellikli hizmetler için ortak güvenlik standartları olmadan yönetimin zor olacağı anlamına gelir.
Oluşturulan yönetmelik, standartlar ve kılavuzlar arasında tutarlılığın sağlanması
Yapay zeka için yeni standartlar, rehberlik ve düzenlemeler dünya çapında oluşturuluyor ve bunu uyumlu hale getirmek ve üreticiler ve tüketiciler için ortak bir anlayış oluşturmak önemli olacaktır. ETSI, ENISA, ISO ve NIST gibi kuruluşlar, takip etmemiz için yararlı çapraz referanslı çerçeveler oluşturuyor ve AB gibi bölgesel düzenleyiciler, kötü uygulamaları nasıl cezalandıracaklarını düşünüyor.
Bununla birlikte, tutarlı olmanın yanı sıra, düzenleme ilkeleri hem teknolojik gelişmenin hızını karşılamak hem de işletmelerin kendi yeteneklerine ve risk profillerine uygun gereklilikleri uygulamalarını sağlamak için esnek olmalıdır.
Singapur Kara Taşımacılığı Otoritesinin otonom araçları test etmesiyle kanıtlandığı gibi deneysel bir zihniyet, akademi, endüstri ve düzenleyicilerin uygun önlemler geliştirmesine izin verebilir. Yapay zeka sistemlerinin güvenli kullanımını ve geliştirilmesini keşfetmek için bu alanların şimdi bir araya gelmesi gerekiyor. Rekabet yerine işbirliği, bu teknolojinin daha hızlı ve daha güvenli kullanılmasını sağlayacaktır.
Hangi kontrollerin gerekli olabileceğine ve neden yeni ve karmaşık teknolojilere güven oluşturabileceğine ve işletmeleri harekete geçmeye teşvik edebileceğine dair net bir açıklama. Yapay zeka teknolojisi söz konusu olduğunda, risk değerlendirmelerinin yalnızca yazılım yerine kullanım durumlarına ve sonuçlarına dayanması önemlidir. Bu sistemler gelişecektir, dolayısıyla bağlam içinde anlaşılmaları gerekir.
Bir şirket için uygun olabilecek rehberlik, bir diğeri için mutlaka uygun olmayabilir. Yalnızca uyumdan ziyade bir risk ve iş esnekliği zihniyetinin olması gerekir.
İyi uygulamaların uygulanması
Siber güvenlik konusunda gördüğümüz gibi, en iyi uygulama yönergelerini belirlemek ve siber tehditlere karşı uyarıda bulunmak kolaydır; güvenli süreçleri etkinleştirmek ve savunmaları iyileştirmek için tehdit istihbaratını kullanmak daha zordur. Ek olarak, yapay zekanın henüz sorumluluk üstlenecek özel ekipleri yok ve böyle bir şey için yapılan yatırım müşteri değeriyle dengelenmelidir. İşletmelerde doğru AI yeteneği ve anlayışı karışımını oluşturmaya da ihtiyaç var ve hatta AI profesyonelleşmesi için çağrılar var.
Peki nereden başlamalı? Neye sahip olduğunuzu hesaplayın ve kullanım durumlarını anlayın.
Hangi düzenlemenin geleceğine bakılmaksızın, her işletmenin riskin nasıl değerlendirildiğini, mevcut maruz kalma düzeyini ve standartlar ile düzenlemenin şirketi nasıl etkileyeceğini anlaması faydalı olacaktır.
Yalnızca doğruluk riski değil, aynı zamanda sorumlu AI riski
Siber güvenlik riski ve daha geniş kurumsal risk yönetimi (ERM) çerçevesi bağlamında yapay zeka riskinin nerede olduğunu düşünmeliyiz. Bir kuruluşta yapay zeka riski sorumluluğunun nerede olması gerektiği sorusu şu şekilde olmalıdır: güvenlik ekibi mi yoksa yönetim kurulu mu?
Bu sistemlerin yaşam döngüsü gereksinimlerinin de izlenmesi gerekeceğinden, yapay zeka riskinin yenilik ve planlamaya dahil edilmesi mantıklı görünebilir – tehdit modellemesini şimdi ele alabilir ve hatta “ML-Sec-Ops” içeren bir gelecek için çabalayabiliriz. ve yönetilen.
Teknoloji inovasyonunun hızının, güvenlik ekiplerinin ayak uydurmakta zorlanmasına neden olduğunu gördük ve bunlar genellikle sonradan akla gelen veya ölçeklenemeyen geliştirme döngüsünün sonunun bir parçası olan kişiler.
Geliştiriciler için çok daha iyi bir yol, yeni uygulamaları veya ürünleri için bir kullanıcı yolculuğunu düşünürken, kötü amaçlı kullanıcı yolculuğunu ve oluşturdukları şeyin kötüye kullanılabileceğini göz önünde bulundurmalarıdır. Aynı şey yapay zeka destekli hizmetlere de uygulanabilir.