Artificial_Intelligence_depositphotos_dqs_edited

AI Sigurnost: Rizici, Propisi i ISO 42001

Sandeep Pauddar

Sandeep Pauddar, menadžer IT sektora, ima preko 25 godina radnog iskustva. Njegovo nedavno iskustvo uključuje upravljanje GRC-om, iskustvo internog i eksternog audita, upravljanje projektima (uključujući licitiranje, pisanje SOW-a, budžetiranje, zakazivanje, upravljanje rizicima i upravljanje ljudima u velikim timovima, te isporuku projekata visokog kvaliteta na vrijeme) u IT i oblastima bežičnih telekomunikacija.
apr 23 , 2025

Umjetna inteligencija (AI) brzo napreduje, s modelima mašinskog učenja (ML) koji predviđaju ishode, automatiziraju zadatke i generišu sadržaj. Ali kako AI sistemi postaju sve sposobniji, pojavljuju se novi rizici koji zahtijevaju jače sigurnosne mjere i regulatorni nadzor.

Portrait of Smiling IT Specialist Using Tablet Computer in Data Center. Big Server Farm Cloud Comput

Evolucija AI 1950 - 2025

Umjetna inteligencija se razvija od 1950-ih, kada je Alan Turing predložio da mašine mogu simulirati inteligenciju. Termin "umjetna inteligencija" skovao se 1956. godine, što je dovelo do decenija istraživanja i otkrića. Historijske prekretnice uključuju: 

  • IBM-ov Deep Blue pobjeđuje šahovskog prvaka 1997. godine.
  • Pokretanje Siri 2011. godine.
  • DeepMind-ov AlphaGo je nadmašio ljudske igrače 2016. godine.

U novije vrijeme, generativni AI modeli poput ChatGPT-a i DALL-E-a pokazali su sposobnost kreiranja teksta i slika sličnih ljudskim. Kao rezultat toga i u kombinaciji s ovim razvojem mašinskog učenja i umjetne inteligencije, pojavili su se novi rizici za kompanije i pojedince.

AI sigurnosni rizici vs. tradicionalne prijetnje kibernetičke sigurnosti

Tradicionalne prijetnje kibernetičkoj sigurnosti uključuju phishing, zlonamjerni softver, upade u mrežu i presretanje podataka. Ovi napadi se često oslanjaju na ljudske greške i slabosti u tehničkoj odbrani, te bi iz tog razloga strategije ublažavanja trebale kombinovati mrežnu sigurnost, enkripciju i obuku korisnika o svijesti.

Sigurnosni rizici umjetne inteligencije dijele neke sličnosti s tradicionalnim rizicima, ali uvode nove izazove: 

  • Neprijateljski napadi – Napadači manipuliraju AI modele kreiranjem ulaznih podataka koji ih navode da donose pogrešne odluke. 
  • Pristrasnost – Modeli umjetne inteligencije mogu odražavati pristrasnosti u svojim podacima za obuku, što dovodi do nepravednih ili diskriminirajućih ishoda. 
  • Transparentnost – Mnogi modeli umjetne inteligencije funkcionišu kao "crne kutije", što otežava procjenu načina na koji dolaze do odluka.
  • Trovanje podacima – Napadači kompromituju AI trening podatke, uzrokujući nepredvidivo ponašanje modela. 

Da navedemo neke primjere: filteri za neželjenu poštu pokretani umjetnom inteligencijom koji pogrešno klasificiraju e-mailove; pristrasna odobrenja kredita uzrokovana umjetnom inteligencijom; autonomna vozila koja donose nesigurne odluke. Rješavanje ovih rizika zahtijeva sigurnosne protokole specifične za umjetnu inteligenciju, validaciju modela, smanjenje pristranosti i tehnike objašnjenja. Prvi globalni entitet koji je počeo donositi zakone o ublažavanju rizika stupio je na snagu 2. februara 2025. godine, putem Evropske unije (EU).

 

AI regulativa: Zakon EU AI i globalni napori 

Zakon EU AI kategorizira AI sisteme prema nivou rizika, namećući stroga pravila za visokorizične aplikacije kao što su zdravstvo i finansije. Također provodi zahtjeve za transparentnost i kazne za neusklađenost.

Druge vlade poduzimaju mjere: Reuters je izvijestio da je Kina uvela pravila o generativnoj umjetnoj inteligenciji, a Velika Britanija je bila domaćin rasprava o sigurnosti umjetne inteligencije prema Financial Times, SAD su izdale eizvršnu naredbu o sigurnosti umjetne inteligencije. Kao odgovor na to, ISO je uveo međunarodni standard 42001, koji nudi smjernice organizacijama za razvoj pouzdanih sistema upravljanja umjetnom inteligencijom.

Lets browse for a few ideas. Shot of a group of professionals using wireless technology during a mee

ISO 42001 za AI sigurnost i upravljanje

ISO 42001 je novi standard za upravljanje umjetnom inteligencijom. Slično kao što ISO 27001 postavlja zahtjeve za sigurnost informacija, ISO 42001 pruža smjernice za: 

  • Odgovornost – Definisanje odgovornosti za nadzor nad sistemima umjetne inteligencije. 
  • Kvalitet podataka – Osiguravanje tačnosti i reprezentativnosti podataka o obuci. 
  • Sigurnost – Zaštita modela umjetne inteligencije od napada i zloupotrebe. 
  • Pravednost i transparentnost – Omogućavanje objašnjenja odluka umjetne inteligencije i smanjenje pristranosti.

Važno je napomenuti da se procjene ISO 42001 i ISO 27001 mogu integrisati. To može povećati efikasnost vaše organizacije, uključujući značajno smanjenje trajanja audita.

Implementacija ISO 42001 u oblasti AI sigurnosti u vašoj kompaniji 

Organizacije koje se pripremaju za audit sistema upravljanja umjetnom inteligencijom (AIMS) trebale bi: 

  1. Biti upoznati sa ISO 42001
  2. Provesti procjenu spremnosti. 
  3. Razviti mapu puta, uključujući procjenu rizika umjetne inteligencije. 
  4. Implementirati AIMS sa kontinuiranim poboljšanjem i etičkim praksama umjetne inteligencije. 
  5. Uključiti zainteresirane strane i integrisati sigurnost umjetne inteligencije u poslovne operacije. 

Aneks B standarda ISO 42001 pruža detaljne smjernice za implementaciju, dok Aneksi C i D pokrivaju ciljeve, analizu rizika i primjene specifične za industriju. Ako ste znatiželjni šta bi ovo moglo značiti za vašu kompaniju, javite se našim ekspertima danas. 

 

Kako ISO 42001 podržava usklađenost sa Zakonom EU o AI 

ISO 42001 je usklađen sa Zakonom EU o AI nudeći strukturirane kontrole za sigurnost i upravljanje umjetnom inteligencijom. Dostupan je dokument o mapiranju koji povezuje klauzule ISO 42001 sa zahtjevima Zakona EU o AI, osiguravajući da organizacije mogu dokazati usklađenost.

 

Poslovne prednosti usvajanja ISO 42001 standarda 

Industrije koje imaju koristi od sigurnosnih okvira umjetne inteligencije uključuju: 

  • Tehnološke kompanije – Osiguravanje etičkog razvoja umjetne inteligencije. 
  • Zdravstvo – Osiguranje dijagnostike zasnovane na umjetnoj inteligenciji. 
  • Finansije – Jačanje procjene rizika zasnovane na umjetnoj inteligenciji. 
  • Maloprodaja – Poboljšanje sistema preporuka zasnovanih na umjetnoj inteligenciji. 
  • Vlada – Unaprijeđenje donošenja odluka zasnovanih na umjetnoj inteligenciji. 

 

Usvajanje ISO 42001 standarda dovodi do: 

  • Poboljšana sigurnost umjetne inteligencije – Zaštita od neprijateljskih prijetnji. 
  • Ušteda troškova – Pojednostavljenje upravljanja rizicima umjetne inteligencije. 
  • Spremnost za regulatorne mjere – Ispunjavanje zahtjeva za usklađenost. 
  • Konkurentska prednost – Demonstriranje etičkih praksi umjetne inteligencije.

Izazovi s kojima se kompanije suočavaju prilikom implementacije ISO 42001 standarda

Identifikacija i upravljanje rizicima umjetne inteligencije.

Kreiranje dokumentacije za ISO 42001.

Praćenje promjena u propisima o umjetnoj inteligenciji.

Definisanje ključnih pokazatelja uspješnosti (KPI) za unaprijeđenje AIMS-a.

Integracija AIMS-a u postojeće okvire.

Praćenje performansi AI sistema.

Zašto bi kompanije trebale djelovati sada

Propisi i standardi za umjetnu inteligenciju se šire. Organizacije koje se usklađuju sa standardom ISO 42001 bit će bolje pripremljene za regulatornu kontrolu i sigurnosne rizike. Snažno upravljanje umjetnom inteligencijom također gradi povjerenje i smanjuje pravnu izloženost, što je čini strateškim prioritetom za svaku kompaniju koja koristi umjetnu inteligenciju.

Odabir DQS-a za vašu ISO 42001 certifikaciju znači partnerstvo s pouzdanim certifikacijskim tijelom s opsežnim stručnim znanjem, koje nudi sveobuhvatnu podršku tokom cijelog procesa certifikacije, vodeći vas od početne prijave do konačne certifikacije.

Da li je vaša kompanija ranjiva na rizik umjetne inteligencije? Razgovarajte s našim stručnjacima, bez obaveza, da biste saznali.

tcp-III-med-dqs-two businessmen looking together at workbooks near high-rise buildings

Provjerite svoju AI ranjivost

Zatražite prilagođenu ponudu i saznajte gdje se nalazite na AIMS-u u 2025. godini.

Za­počn­ite razgovor
Autor

Sandeep Pauddar

  • Registracija vodećeg auditora ISO 27001 kod PECB-a za standard ISO 27001
  • Registracija službenika za zaštitu podataka kod PECB-a
  • PMP i ITIL certifikati
  • Upravljanje, rizik i usklađenost (GRC) 
  • Obavljene GDPR/CCPA procjene