Bedrifter oppfordret til å spore "rask-evolving" AI-forskrifter

Name: ISMS.online
Address: Nile House, Nile Street, Brighton, East Sussex, BN1 1HW, United Kingdom
Price range: ££

By John Leyden • 22. august 2024 • 6 minutters lesetid

Kunstig intelligens (AI) transformerer informasjonsteknologisektoren i en svimlende hastighet. AI har transformert applikasjoner, inkludert dataanalyse, kundeservice og til og med programvareutvikling. Bedrifter som er trege til å ta i bruk AI, risikerer store konkurranseulemper. Men distribusjon av AI-teknologi kommer ikke uten risiko.

For eksempel, feil i et AI-system designet for å takle svindel med barnepass, satte familier i Nederland i økonomisk nød. Amazon måtte skrote et AI-rekrutteringsverktøy som viste partiskhet mot kvinnelige kandidater.

Bruken av AI for datainnsamling og analyse reiser også personvernspørsmål og potensialet for datainnbrudd, spesielt i sensitive sektorer av økonomien. For eksempel mange banker har forbudt ansatte å bruke verktøy som ChatGPT og andre virtuelle AI-assistenter på grunn av bekymring for at forespørslenes natur kan lekke informasjon om forretningshemmeligheter som planlagte oppkjøp eller fusjoner.

En fersk rapport fra Center for Long-Term Resilience (CLTR) ba Storbritannia om å sette opp et system for å logge AI misbruk eller funksjonsfeil hendelser. Tenketanken argumenterer for at problemer med AI-teknologi må behandles på samme måte som Air Accidents Investigation Branch etterforsker flyulykker.

Et hendelsesrapporteringssystem for AI-problemer gir muligheten til å utvikle beste praksis på områder som risikostyring, lære leksjoner og forme regelverk, ifølge CLTR.

Reguleringsfremgang

Mens reguleringen fortsatt tar igjen bruken av kunstig intelligens i virksomheter, er en avventende tilnærming til samsvar langt fra klok.

David Corlette, VP for produktadministrasjon i VIPRE Security Group, fortalte ISMS.online at AI-regulering utvikler seg (nesten) samtidig med selve teknologien.

"Selv om vi ennå ikke har sett et omfattende rammeverk for AI - gjøres det betydelig fremgang," ifølge Corlette. "Det er NIST AI Risk Management Framework (AI RMF), og selvfølgelig ISO 42001, som tilbyr en lovende tilnærming til AI-styring. ISO 42001 vil bringe et nivå av konsistens og pålitelighet på tvers av landegrensene.»

Legge ned et grunnlag

Rammer som f.eks ISO 42001 kan bidra til å etablere robuste fundamenter og lette belastningen med å oppnå samsvar når og når nye forskrifter innføres.

ISO 42001 skisserer hvordan virksomheter kan etablere et rammeverk for å etablere og vedlikeholde et styringssystem for kunstig intelligens i sin organisasjon. Risikostyring er en av kjernekomponentene i rammeverket.

I følge Glenn Chisholm, medgründer og administrerende direktør i Obsidian Security, "ISO 42001-standarden legger vekt på risikostyring og kan brukes til å inkludere risikoer knyttet til AI, inkludert etiske vurderinger, risiko- og konsekvensvurderinger, datavern, skjevhet og kontinuerlig forbedring ."

Chisholm la til: "Selv om den ikke automatisk sikrer samsvar med andre standarder, deler ISO 42001 mange attributter med standarder som EU AI Act, NIST AI RMF og andre."

Peter Wood, teknisk sjef ved Spectrum Search, la til: "Ved å ta i bruk ISO 42001 kan organisasjoner forenkle overholdelse av kommende forskrifter gjennom en proaktiv snarere enn reaktiv tilnærming. Dette lar organisasjoner enkelt tilpasse seg skiftende regulatoriske landskap, og minimere risikoen og potensielle straffer for manglende overholdelse.»

Verdensomspennende initiativ

Internasjonale standarder utvikler seg raskt, og flere land, som USA, Kina, India og Australia, er alle i ferd med å etablere sine forskrifter.

I følge Chisholm, "Mange av disse standardene vil sannsynligvis låne fra hverandre, så fordelen med å tilpasse seg den ene vil sannsynligvis flyte inn i den andre."

Juridiske eksperter og overholdelseseksperter sier at overholdelse av den nylig innførte EU AI-loven burde være en prioritet for britiske virksomheter, gitt at de ofte vil gjøre forretninger med EU.

«Mange britiske virksomheter opererer i eller med EU; Derfor sikrer tilpasning til EUs AI-lov fortsatt tilgang til dette betydelige markedet, sier Becky White, senior databeskyttelses- og personvernadvokat i Harper James, til ISMS.online. "Manglende overholdelse kan føre til adgangsbarrierer eller straffer, som påvirker forretningsdrift og konkurranseevne."

Ocuco EUs AI-lov fokuserer på høyrisikoapplikasjoner og datasett. Dens kjerneprinsipper legger vekt på åpenhet og ansvarlighet.

"EU AI-loven er et godt sted å starte, siden kjerneprinsippene for åpenhet, sikkerhet og datastyring sannsynligvis vil være grunnleggende for enhver AI-regulering i enhver region," ifølge VIPREs Corlette. "Denne lovgivningen er den første i sitt slag og legger praktisk talt rammene for en fremvoksende industri som ikke har noen tidligere håndhevbare standarder."

Corlette konkluderte: «Historien tyder på at forskrifter utviklet i andre regioner også vil ligne denne spirende EU-lovgivningen. Et eksempel er EUs GDPR.»

Selv om tilpasning til EUs AI-lov sikrer jevn forretningsdrift på tvers av landegrensene og kan unngå potensielle regulatoriske konflikter, bør britiske virksomheter holde et nøye øye med reguleringsutviklingen nærmere hjemmet.

Spectrum Search's Wood ga råd om "sikring av spill ved å følge nøye med UK-spesifikke forskrifter og opprettholde fleksibiliteten til å tilpasse seg både britiske og EU-krav."

Eksperter rådet til at britiske organisasjoner bør posisjonere seg for å tilpasse seg raskt hvis og når det oppstår forskjeller mellom reguleringsregimer i forskjellige regioner.

Harper James' White kommenterte: «Full overholdelse av flere regulatoriske regimer på samme tid kan være ressurskrevende; Derfor lar denne typen "sikringsstrategi" bedrifter allokere ressurser effektivt, balansere samsvar med innovasjon og operasjonell effektivitet, og ved å opprettholde en viss fleksibilitet, kan bedrifter svinge og tilpasse seg endringer i både britiske og EUs regulatoriske miljøer når og når det er nødvendig.»

Personvern og styring

Bekymringer om styring og personvern som oppstår fra bedriftsbruk av AI går utover overholdelse og regulatoriske forhold.

"Opplæringen av Gen AI-modeller og databaser vil ofte involvere behandling av enorme datasett som inneholder betydelige mengder personopplysninger, noe som kan føre til betydelig personvern- og styringsrisiko for britiske virksomheter," forklarte Harper James' White. "Denne informasjonen kan noen ganger inkludere sensitive eller spesielle data om enkeltpersoner, hvis behandling utilsiktet kan opprettholde eller til og med forverre skjevheter, og føre til urettferdige eller diskriminerende utfall. Misbruk av det genererte innholdet kan krenke personvernrettigheter."

Algoritmisk skjevhet, der AI-systemer utilsiktet kan gjengi eksisterende skjevheter som finnes i treningsdataene, kan dempes av regulerte revisjoner og forskjellige datasett.

Ifølge White kan bedrifter bidra til å redusere disse risikoene ved å implementere robuste datastyringspraksis og fokusere på hvordan deres ansatte bruker AI.

"Dette inkluderer bruk av anonymiseringsteknikker, etablering av strenge tilgangskontroller, gjennomføring av regelmessig skjevhetsovervåking og å sikre at dataene som brukes til å trene AI-modellene er nøyaktige, fullstendige og representative," sa White.