Cyberbezpieczeństwo | Technologie i innowacje

AI: jak normy ISO przekuć w przewagę konkurencyjną i zapewnić sobie trochę bezpieczeństwa?

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
AI: jak normy ISO przekuć w przewagę konkurencyjną i zapewnić sobie trochę bezpieczeństwa?
Michał Nowakowski. Źródło: BANK.pl
Sztuczna inteligencja (AI) też ma swoje standardy. ISO 42001, czyli system zarządzania AI w opiece, to wręcz mityczna norma, która ma zapewnić nam, że wszystko co z AI będzie super działało, a biznes będzie kręcił się jak szalony. Na rynku widzę, że co druga osoba (być może z mojej bańki) ma certyfikat i/lub uprawnienia audytora normy, która de facto jest standardem pod AI Governance (i w jakimś zakresie Data). I nie uważam, że to źle, bo im większa świadomość i nagromadzenie kompetencji, tym lepiej dla całego rynku. Z zastrzeżeniem jednego „ale...” – pisze Michał Nowakowski.

Aby coś audytować trzeba to coś mieć. Tutaj dochodzimy do sedna sprawy, czyli stosunkowo niewielkiej (choć zwiększającej się za sprawą także AI Act) adopcji AI Governance w organizacjach.

Sztuczna inteligencja coraz częściej staje się wdrożeniem, ale nie idą za tym odpowiednie „guardrails”, które dają nam przewagę. Powodów jest wiele i nie ma sensu się nad nimi tutaj rozwodzić, więc chciałbym dać kilka tipsów (podpowiedzi) jak w praktyce podejść do normy ISO 42001 i 42005, czyli tej odpowiadającej za de facto zarządzanie ryzykiem.

Banki w tym przypadku akurat zdają się wyprzedzać inne sektory ze względu na większą świadomość, ale i wrażliwość na kwestie związane ze zgodnością oraz odpowiedzialnością i etyką. W niektórych instytucjach widać także wyraźny zwrot w kierunku bardziej biznesowo zorientowanego AI Governance i większego uwzględniania kwestii danych.

Czytaj także: Shadow AI. Jak w kilku krokach sprawić, aby pracownicy świadomie korzystali z narzędzi AI

Jak wpasować ISO w całokształt naszych działań i architekturę korporacyjną?

Sztuczna inteligencja, jak każda technologia, ma swoje standardy i dobre praktyki. Normy standaryzacyjne nie są prawem powszechnie obowiązującym, ale de facto dobrymi praktykami o dość abstrakcyjnym charakterze. Stąd też nie oczekujmy, że znajdziemy tam odpowiedzi na wszystkie frapujące nas kwestie. Są jednak dobrym początkiem, bo porządkują nam to co powinno składać się na nasze uspójnione i zaopiekowane podejście do inicjatyw AI & Data.

Warto, abyśmy połączyli je także ze standardami i dobrymi praktykami obowiązującymi m.in. w obszarze danych, jak np. CRISP-DM czy DAMA-BOK. Jest to o tyle istotne, że ISO mocno podkreśla znaczenie procesów wokół danych, co jest oczywiste w kontekście AI.

Oczywiście nie możemy przy tym abstrahować od tego co dla nas ważne, a więc także przepisów prawa, regulacji i norm o charakterze etycznym. To ostatnie dość mocno wybrzmiewa w samej normie ISO, przykładowo w kontekście zintegrowanego podejścia:

Rzecz jasna ISO 42001 nie zakłada rewolucji i całkowitego przemodelowania naszej architektury korporacyjnej czy wszystkich procesów.

Wręcz przeciwnie silnie akcentuje się konieczność wpasowania tego w istniejące ramy, uwzględnianie kontekstu biznesowego i profilu ryzyka, ale także potrzeb zainteresowanych stron, w tym jednostek, które będą z jednej strony czerpały korzyści (biznes) a z drugiej mogą być zobowiązane do aktualizacji swojego podejścia, np. w ramach procesów wytwórczych. Sztuczna inteligencja wymaga opieki.

To zaś wymagać będzie od nas jasnego określenia celu naszego systemu zarządzania AI. Może się to wydawać nieistotny wątek, ale w praktyce ma przełożenie na to, jak ludzie w naszej organizacji podchodzą do samego procesu AI Governance i w jaki sposób oceniamy np. inicjatywy AI & Data. Cele muszą być przy tym jasne i proste do zrozumienia, aby trafiły do wszystkich interesariuszy.

Jest to o tyle ważne, że przecież sama polityka nie będzie przyjęta uchwałą zarządu i wrzucona do szuflady, ale przybierze bardziej operacyjną formę poprzez procesy, procedury i przede wszystkim zasady odpowiedzialności.

Błędem jest odbierania polityki zarządzania AI jako dokumentu (jakkolwiek ma ona rzeczywiście spisany charakter, co jest ważnym elementem podkreślanym w ISO).

Z mojej perspektywy modelowa polityka zarządzania AI jest ciągłym procesem, podejściem organizacji do projektowania, rozwijania, wdrażania i stosowania AI. Gdy myślimy o polityce, to przed oczami powinniśmy mieć konkretne działania / kroki (checkpoints), które mają nas przybliżyć do realizacji konkretnego projektu, który mamy na tapecie.

Taką politykę musimy nieustannie udoskonalać, np. na skutek zmian, które pojawiają się w obszarze technologii czy biznesowych zastosowań. Przykładowo, jeżeli widzimy trend rozwijania systemów agentowych AI, to ten element powinien zostać gdzieś odnotowany w naszym podejściu.

Sama polityka będzie też (współ)zależna od innych dokumentów i obszarów w naszej organizacji. W ujęciu modelowym powinniśmy iść od STRATEGII (IT, transformacji, danych) przez POLITYKĘ aż do procedur i instrukcji. Wszystko to powinno wynikać z CZEGOŚ i odnosić się do TEGO. Oczywiście w sposób adekwatny, a nie na siłę.

Mogę podać przykład. Jeżeli częścią naszej polityki zarządzania AI jest zapewnienie zgodności (compliance) z – dajmy na to – AI Act, to może okazać się, że musi ona łapać się m.in. z polityką zgodności.

Nasza polityka jest odpowiedzialnością. Tylko kogo?

Nie oszukujmy się – na koniec dnia za realizację polityki odpowiada zarząd. Skoro to on ją przyjmuje, to nie ma innej opcji, ale w sensie operacyjnym to nasz zespół AI Governance będzie stał za jej egzekwowaniem. Dlatego ISO tak mocno akcentuje konieczność zapewnienia #leadership dla jej realizacji.

W praktyce będziemy wyznaczali osobę lub osoby, które będą się regularnie upewniać, że nasze procesy działają w sposób opisany w dokumentach i w sposób niezabijający biznesu. Temat ten jeszcze poruszymy w przyszłości.

Polityka oparta na ISO nie może być teoretyczna

Na koniec dość oczywiste stwierdzenie – polityka, która stanowi copy-paste ISO to nie polityka, a marnej jakości dokument, który ma na celu wyłącznie pokazanie jak bardzo jesteśmy do przodu. Nie ma nic wspólnego z zarządzaniem jakością i ryzykiem w kontekście projektów AI & Data oraz budowania naszej transformacyjnej przewagi.

Dla preferujacych materiały wideo zachęcam do wejścia na mój kanał YT – można.prościej.

Stąd też spojrzenie na ISO powinno być jedynie naszą inspiracją i wsparciem w budowaniu pewnego uporządkowanego podejścia a nie rozwiązaniem samym w sobie. Stąd też w trakcie mojego kwietniowego webinaru opowiem jak przenieść to wszystko na konkrety.

Na koniec krótkie nawiązanie do tego o czym będziemy rozmawiać później. Będzie więc o:

🔥 zarządzaniu ryzykiem AI, w tym cyberbezpieczeństwa;

⛓️ monitorowaniu łańcucha dostaw, co ma szczególne znaczenie w kontekście systemów agentowych;

📑 tworzeniu dokumentacji technicznej, która spełnia nie tylko wymagania SDLC (o tym też będzie!), ale także compliance;

🤴🏻ustalaniu zasad odpowiedzialności zgodnie z podejściem zawartym w procesie realizacji inicjatyw AI & Data;

🏭 zarządzaniu zasobami, co jest bardzo istotne, aby lepiej zrozumieć wyzwania związane z ryzykami AI.

Michał Nowakowski
Michał Nowakowski – doktor nauk prawnych i radca prawny z wieloletnim doświadczeniem w obszarze innowacji finansowych oraz nowych technologii. Specjalizuje się w zagadnieniach związanych z wdrażaniem przepisów i regulacji dotyczących danych, AI oraz budowaniu w organizacjach rozwiązań data governance i data management. Od 2022 roku jest prezesem zarządu PONIP. Pracował zarówno w sektorze publicznym, jak i prywatnym, gdzie zdobywał doświadczenie przy realizacji projektów uwzględniających szeroko rozumiane ryzyka ICT oraz outsourcing i ochronę prywatności. Był związany także z instytucjami finansowymi, w tym z bankami, gdzie doradzał m.in. zespołom R&D, bezpieczeństwa oraz IT. Autor książek, artykułów naukowych i prelegent na konferencjach i wydarzeniach branżowych. Prywatnie miłośnik kodowania i ML. Współzałożyciel i prezes zarządu spółki GovernedAI, zajmującej się tworzeniem i wdrażaniem bezpiecznego oprogramowania wykorzystującego systemy uczenia maszynowego i głębokiego, w tym tzw. generatywną sztuczną inteligencję. Profil na linkedin: https://www.linkedin.com/in/mjnowakowski/?originalSubdomain=pl
Źródło: Portal Finansowy BANK.pl