Artificial_Intelligence_depositphotos_dqs_edited

Безпека ШІ: Ризики, Регулювання та ISO 42001

Сандіп Пауддар

Сандіп Пауддар, керівник сектору ІТ, має понад 25 років досвіду роботи. Його нещодавній досвід включає управління GRC, досвід внутрішнього та зовнішнього аудиту, управління проектами (включаючи тендери, написання SOW, бюджетування, планування, управління ризиками та управління персоналом великих команд, а також своєчасну реалізацію високоякісних проектів) у сферах ІТ та бездротового зв’язку.
квіт. 23 , 2025

Штучний інтелект (ШІ) стрімко розвивається, а моделі машинного навчання (МН) прогнозують результати, автоматизують завдання і генерують контент. Але в міру того, як системи ШІ стають більш потужними, з'являються нові ризики, що вимагають посилення заходів безпеки і регуляторного нагляду.

Portrait of Smiling IT Specialist Using Tablet Computer in Data Center. Big Server Farm Cloud Comput

Еволюція ШІ: 1950 - 2025

ШІ розвивається з 1950-х років, коли Алан Тьюрінг припустив, що машини можуть імітувати інтелект. Термін "штучний інтелект" з'явився в 1956 році, що призвело до десятиліть досліджень і проривів. Історичні віхи включають:

  • перемога Deep Blue від IBM над чемпіоном з шахів у 1997 році
  • Запуск Siri у 2011 році
  • AlphaGo від DeepMind перевершила гравців-людей у 2016 році.

Зовсім недавно генеративні моделі ШІ, такі як ChatGPT і DALL-E, продемонстрували здатність створювати текст і зображення, схожі на людські. Внаслідок та в поєднанні з цим розвитком машинного навчання (МН) та штучного інтелекту (ШІ) виникли нові ризики для компаній та окремих осіб.

Ризики безпеки ШІ в порівнянні з традиційними загрозами кібербезпеки

Традиційні загрози кібербезпеки включають фішинг, шкідливе програмне забезпечення, мережеві вторгнення та перехоплення даних. Ці атаки часто ґрунтуються на людських помилках і слабких місцях у технічному захисті, тому стратегії пом'якшення наслідків повинні поєднувати мережеву безпеку, шифрування та навчання користувачів.

Ризики, пов'язані з безпекою ШІ, мають певну схожість з традиційними ризиками, але створюють нові виклики:

  • Зловмисні атаки - зловмисники маніпулюють моделями ШІ, створюючи вхідні дані, які змушують їх приймати неправильні рішення.
  • Упередженість - ШІ-моделі можуть відображати упередженість у своїх навчальних даних, що призводить до несправедливих або дискримінаційних результатів.
  • Прозорість - багато моделей ШІ працюють як "чорні скриньки", що ускладнює оцінку того, як вони приймають рішення.
  • Отруєння даних - зловмисники компрометують навчальні дані ШІ, що призводить до непередбачуваної поведінки моделей.

Наведемо кілька прикладів: Спам-фільтри на основі ШІ, які неправильно класифікують електронні листи; упереджене схвалення кредитів на основі ШІ; автономні транспортні засоби, які роблять небезпечний вибір. Для подолання цих ризиків потрібні специфічні для АІ протоколи безпеки, валідація моделей, зменшення упередженості та методи пояснення. Першою глобальною структурою, яка почала законодавчо регулювати питання зниження ризиків, став Європейський Союз (ЄС), що набув чинності 2 лютого 2025 року.

 

Регулювання ШІ: Закон ЄС про ШІ та глобальні зусилля

Закон ЄС про ШІ класифікує системи ШІ за рівнем ризику, встановлюючи суворі правила для додатків з високим рівнем ризику, таких як охорона здоров'я та фінанси. Він також запроваджує вимоги до прозорості та штрафи за їх недотримання.

Інші уряди вживають заходів: Агентство Reuters повідомило, що Китай запровадив правила щодо генеративного ШІ, Великобританія провела обговорення безпеки ШІ за даними Financial Times, а США видали указ про безпеку ШІ. У відповідь на це ISO запровадила міжнародний стандарт 42001, який пропонує керівні принципи для організацій щодо розробки надійних систем управління ШІ, що заслуговують на довіру.

Lets browse for a few ideas. Shot of a group of professionals using wireless technology during a mee

ISO 42001 для безпеки та управління ШІ

ISO 42001 є новим стандартом для управління ШІ. Подібно до того, як ISO 27001 встановлює вимоги до інформаційної безпеки, ISO 42001 надає керівництво для:

  • Підзвітності – Визначення відповідальності за нагляд за системами ШІ.
  • Якості даних – Забезпечення точності та репрезентативності навчальних даних.
  • Безпеки – Захист моделей ШІ від атак та зловживань.
  • Справедливості та прозорості – Робить рішення ШІ зрозумілими та зменшує упередженість.

Важливо, що оцінки ISO 42001 та ISO 27001 можуть бути інтегровані. Це може забезпечити ефективність для вашої організації, включаючи значне скорочення тривалості аудитів.

Впровадження ISO 42001 у сфері безпеки ШІ у вашій компанії

Організації, які готуються до аудиту системи управління ШІ (AIMS), повинні

  1. Ознайомитися зі стандартом ISO 42001.
  2. Провести оцінку готовності.
  3. Розробити дорожню карту, включно з оцінкою ризиків, пов'язаних зі штучним інтелектом.
  4. Впровадити cистемe управління штучним інтелектом (СУШІ|AIMS) з постійним вдосконаленням і етичними практиками ШІ.
  5. Залучити зацікавлені сторони та інтегрувати безпеку ШІ в бізнес-операції.

Додаток B до стандарту ISO 42001 містить докладні рекомендації щодо впровадження, а Додатки C і D охоплюють цілі, аналіз ризиків і галузеві застосування. Якщо вам цікаво, що це може означати для вашої компанії, зв'яжіться з нашими експертами вже сьогодні.

 

Як ISO 42001 підтримує дотримання вимог Закону ЄС про штучний інтелект

ISO 42001 узгоджується з Законом ЄС про ШІ, пропонуючи структуровані засоби контролю безпеки та управління ШІ. Доступний документ, який пов'язує положення ISO 42001 з вимогами Акту ЄС про ШІ, що гарантує, що організації можуть продемонструвати відповідність.

 

Переваги впровадження ISO 42001 для бізнесу

Галузі, які отримують вигоду від систем безпеки ШІ, включають

  • Технологічні компанії - забезпечення етичної розробки ШІ.
  • Охорона здоров'я - забезпечення безпеки діагностики на основі ШІ.
  • Фінанси - посилення оцінки ризиків на основі ШІ.
  • Роздрібна торгівля - вдосконалення рекомендаційних систем на основі АІ.
  • Уряд - вдосконалення процесу прийняття рішень на основі ШІ.

 

Прийняття ISO 42001 призводить до:

  • Посилення безпеки ШІ - захист від ворожих загроз.
  • Економії коштів - оптимізації управління ризиками ШІ.
  • Регуляторна готовність - відповідність нормативним вимогам.
  • Конкурентна перевага - демонстрація етичних практик ШІ.

Виклики, з якими стикаються компанії при впровадженні ISO 42001

Виявлення та управління ризиками ШІ.

Створення документації для ISO 42001.

Дотримання мінливих нормативних актів щодо ШІ.

Визначення КПЕ для вдосконалення СУШІ.

Інтеграція СУШІ в існуючі фреймворки.

Моніторинг продуктивності систем ШІ.

Чому компаніям варто діяти вже зараз

Правила та стандарти у сфері ШІ розширюються. Організації, що відповідають стандарту ISO 42001, будуть краще підготовлені до регуляторних перевірок і ризиків безпеки. Ефективне управління ШІ також зміцнює довіру та зменшує юридичні ризики, що робить його стратегічним пріоритетом для будь-якої компанії, яка використовує ШІ.

Вибір DQS для сертифікації за стандартом ISO 42001 означає партнерство з надійним органом сертифікації з великим досвідом, який пропонує всебічну підтримку протягом усього процесу сертифікації, супроводжуючи вас від початкової заявки до остаточної сертифікації.

Ваша компанія вразлива до ризиків, пов'язаних зі штучним інтелектом? Поговоріть з нашими експертами без будь-яких зобов'язань, щоб дізнатися це.

tcp-III-med-dqs-two businessmen looking together at workbooks near high-rise buildings

Перевірка вразливості вашого ШІ

Отримайте індивідуальну пропозицію та дізнайтеся, на якому етапі розвитку перебуває ваша компанія щодо СУШІ/AIMS у 2025 році.

Почати розмову
Автор

Сандіп Пауддар

  • Реєстрація провідного аудитора ISO 27001 у PECB за стандартом ISO27001
  • Реєстрація спеціаліста із захисту даних у PECB
  • Сертифікати PMP та ITIL
  • Спеціаліст з корпоративного управління, управління ризиками та забезпечення відповідності (GRC - Governance, Risk & Compliance).
  • Проведено оцінку GDPR/CCPA