V tomto článku sú zhrnuté informácie z webového seminára o integrácii manažmentu umelej inteligencie, informačnej bezpečnosti a ochrany osobných údajov, ktorý sa konal 25. februára 2025. Webový seminár bol zameraný na systémy umelej inteligencie a systémy manažmentu umelej inteligencie (AIMS) podľa normy ISO/IEC 42001, ciele a opatrenia vo vzťahu k systémom umelej inteligencie, vzťahy medzi normami ISO/IEC 42001, ISO/IEC 27001 a ISO/IEC 27701 a konkrétne bezpečnostné hrozby a zlyhania v systémoch umelej inteligencie.
Systémy umelej inteligencie a systémy manažmentu umelej inteligencie (AIMS) podľa normy ISO/IEC 42001
Systém umelej inteligencie (AI) je technický systém, ktorý generuje výstupy, ako je obsah, predpovede, odporúčania alebo rozhodnutia pre daný súbor cieľov definovaných človekom. Môže využívať rôzne techniky a prístupy súvisiace s AI na vytvorenie modelu na reprezentáciu údajov, znalostí a procesov.
Systém manažmentu umelej inteligencie (AIMS) je súbor vzájomne prepojených alebo vzájomne pôsobiacich prvkov organizácie určených na stanovenie politík a cieľov a procesov na dosiahnutie týchto cieľov v súvislosti so zodpovedným vývojom, poskytovaním alebo používaním systémov umelej inteligencie.
Norma ISO/IEC 42001 špecifikuje požiadavky na vytvorenie, implementáciu, prevádzku a neustále zlepšovanie AIMS. Je určená pre organizácie, ktoré vyvíjajú, poskytujú alebo používajú produkty alebo služby založené na systémoch umelej inteligencie.
Ciele a opatrenia vo vzťahu k systémom umelej inteligencie
Organizácie majú rôzne ciele súvisiace s UI, ako sú zodpovednosť, odbornosť UI, dostupnosť a kvalita údajov, vplyv na životné prostredie, spravodlivosť, udržateľnosť, ochrana súkromia, robustnosť, bezpečnosť, transparentnosť a vysvetľovanosť.
Medzi zdroje rizík v oblasti umelej inteligencie patrí zložitosť prostredia, zdroje rizík súvisiace so strojovým učením, problémy životného cyklu systému, úroveň automatizácie, problémy s hardvérom systému, nedostatočná transparentnosť a vysvetliteľnosť.
Norma ISO/IEC 42001 obsahuje 38 referenčných opatrení, ktoré majú organizáciám pomôcť dosiahnuť ich ciele a zmierniť riziká v oblasti umelej inteligencie.
Vzťahy medzi normami ISO/IEC 42001, ISO/IEC 27001 a ISO/IEC 27701
Norma ISO/IEC 42001 sa zameriava na riadenie umelej inteligencie, ale zdôrazňuje aj dôležitosť integrácie so všeobecnými alebo odvetvovými normami systému manažmentu, ako sú ISO/IEC 27001 pre informačnú bezpečnosť a ISO/IEC 27701 pre ochranu súkromia.
Integrácia AIMS s ISMS podľa normy ISO/IEC 27001 umožňuje organizáciám systematicky riešiť rámec klasických otázok bezpečnosti informácií a systémov, ale aj nové, špecifické otázky bezpečnosti umelej inteligencie. Integrácia AIMS s PIMS podľa ISO/IEC 27701 umožňuje organizáciám efektívne riešiť povinnosti týkajúce sa ochrany osobných údajov.
Špecifické bezpečnostné hrozby a zlyhania v systémoch umelej inteligencie
ISO/IEC DIS 27090 poskytuje usmernenia na riešenie bezpečnostných hrozieb a zlyhaní špecifických pre systémy umelej inteligencie. Jej cieľom je poskytnúť organizáciám informácie o hrozbách, opisy spôsobov ich zisťovania a zmierňovania.
Hrozby pre systémy umelej inteligencie zahŕňajú útok na otrávenie údajov, útok vyhnutím sa, odhalenie člena, exfiltráciu modelu, inverziu modelu, priame otrávenie modelu, priamu krádež modelu, priamy únik údajov, únik vstupných údajov modelu, citlivý výstup modelu, injekcie na vstupe a útoky obsahujúce injekcie na výstupe.
Záver
Systémy umelej inteligencie sa čoraz viac používajú v rôznych odvetviach a organizácie musia riešiť súvisiace riziká a výzvy. Norma ISO/IEC 42001 a ďalšie príslušné normy poskytujú organizáciám rámec na efektívne riadenie AI, dodržiavanie zákona EÚ o AI a dosahovanie cieľov v oblasti AI.