COVID-19 kriis näitas, et meie igapäev on digitaalsetest lahendustest läbi põimunud ning küber-riskid mõjutavad iga kaasaegset valdkonda. Euroopa Liidu NIS2 direktiivi eesmärk on parandada võrkude ja infosüsteemide kerksust seadmata seejuures konkreetseid tehnilisi nõuded. Tehnilised lahendused on kiires arengus ning eilne parim praktika ei ole piisav digitaalsete protsesside ohutuse tagamiseks.
Seepärast seab NIS2 ranged nõuded juhtkonna eesmärkide seadmisele, riskide hindamisele ning järelevalvele jättes tehniliste lahenduste osas võrdlemisi vabad käed.
- Küber-riskide juhtimise meetmed peavad hõlmama intsidentide haldamist, tarneahela turvalisuse tagamist, võrgu turvalisust, andmete krüpteerimist ja juurdepääsude kontrolli.
- Juhtkonna vastutus seisneb riskide hindamises ja turvalisuse meetmete väljatöötamises.
- Teavituskohustus seab oluliste ja elutähtsate teenuste osutajatele kiire teavitamise nõude intsidentidest, millel on mõju teenuse osutamisele või teenuse saajatele.
- Talitluspidevuse nõue seab ettevõtetele kohustuse luua plaanide süsteemide taastamisele, hädaolukorras tegutsemisele ja kriisidele reageerimise meeskonna loomisele.
NIS2 direktiivis kirjeldatud juhtkonna taseme nõuetest tuleneb terve hulk parimast praktikast lähtuvaid meetmeid, mille rakendamine on vajalik juhtkonna riskide juhtimiseks. Järgnevad meetmed on vaid läbilõige infosüsteemidele rakendatavatest soovituslikest meetmetest, mis on otseselt seotud tehisintellekti rakenduste käitamisega.
Eetilise tehisintellekti poliitika
Tehisintellekti arendamine on nagu laste kasvatamine, vaja on pidevat tähelepanu ja õigele teele juhtimist. Tee minu sõnade järgi, mitte minu tegude järgi ütleb iga õpetussõnu jagav vanem, kes on oma vigadest õppinud.
Kõiki vigu ei ole võimalik vältida, kuid seades eetilised eesmärgid, on võimalik hinnata tulemusi neist eesmärkidest lähtuvalt ning vajadusel teha korrektuure (vt Tehisintellekt, profiilianalüüs ja eetiline AI)
AI tulemi vaidlustamine
Tehisintellekti õpetatakse langetama otsuseid ajalooliste andmete ja varasemate otsuste põhjal. Kunagi ei ole võimalik mudelisse sisse sööta piisavalt konteksti, mis kõiki otsuseid põhjendab, ning samuti ei ole võimalik mudelis arvestada keskkonnas toimunud muutusi.
Seepärast peab kõigile AI tehtavatele otsustele olema võimalik lisada vaidlustusprotsess kui subjekt, kellele otsuseid rakendatakse, ei ole rahul otsuse kvaliteediga.
Lähteandmete kaitse
Kvaliteetseid tulemusi saab ainult kvaliteetsete andmete pealt. See tähendab, et andmed peavad nii olemas olema kui ka tõesed olema. Vastasel juhul ei ole andmete pealt võimalik teha ei analüüsi ega otsuseid.
Selleks, et andmed oleksid olemas, peab tagama andmete varundamise ning toimiva taastamise protseduuri. Selleks, et andmed oleksid tõesed, peab tagama nende muutumatuse ning töötlemise auditeeritavuse. Selleks, et andmetel oleks konkurentsieelist loov väärtus, peab tagama nende konfidentsiaalsuse.
Kui lisada veel meetmed andmete käideldavuse tagamiseks, on kõik peamised andmetega seotud turvalisuse nõuded hinnatud.
Treeningandmete kvaliteedi tagamine
Enamik masinõppe süsteeme võimaldab hinnata, millised andmestiku osad omavad olulist tähendust otsuse langetamisel. Ülejäänud andmed võib treenimisest välja jätta ning selle võrra kokku hoida treenimiseks kuluvat arvutusressurssi.
Siiski peab kogu algandmestik olema kvaliteetne, sest mõne teise otsuse tegemisel võib vaja minna just teisi andmed. Nii tähendavad kvaliteetsed algandmed kõiki anduritest tulevaid andmeid, puhastatud valikut ühe otsustusmootori treenimise ning teiste puhastatud andmestikku teise otsuse jaoks treenimisel. Kõigil andmekogudel peab olema tagatud andmete konfidentsiaalsus, terviklikkus ja kättesaadavus õigel ajal.
Tehisintellekti protseduuride dokumenteerimine
Igal töötajal peab olema ametijuhend ning tööprotsesside kirjeldused.
Tehisintellektil peavad olema eesmärgi kirjeldus ning töövoo kirjeldus, et oleks võimalik kvaliteedi-intsidentide korral kiiresti hinnata, kus võis viga sisse tulla ning koos kolleegidega arutada võimalusi tehisintellekti otsuste parandamiseks.
Kui tehisintellekti toimimist ei ole võimalik kolleegidega arutada, on oht tehisintellekti kasu piiratusele.
Järelevalve teostamine
Sama moodi nagu kaasaegsed süsteemid logivad, mida töötaja on kasutanud, ning muudatusi, mida on teinud, peavad süsteemid logima tehisintellekti tegevusi.
Intsidendi ilmnemisel on vaja tuvastada, miks, millal ja kus viga sisse tuli. See tähendab, et kogu tehisintellekti töövoog tuleb korrektselt logida ning logid säilitada.
Nagu ettevõtte töötaja tegevusel on ettevõtte klientide ja tarnijatega suhtlemises tagajärjed, on sarnased tagajärjed ka tehisintellekti langetatud otsustel. Avalikkus seab tehisintellektile ehk masinale kõrgemad kvaliteedinõuded kui inimesele. Seepärast peab olema võimalik tõendada, et tehisintellekt tegi otsuse eetiliselt ja ratsionaalselt.
Alternatiivne käsitsi protsess
Mis saab siis kui tehisintellekt puhkab?
Paljudes ettevõtetes, mis on täielikult digitaliseeritud, peatub kogu äri kui tehisintellektis tekib rike. Üha rohkem on ettevõtteid, kes seda riski aktsepteerivad, sest tehisintellekti langetatud otsused on nii kiired ja kvaliteetsed, et ilma tehisintellektita ei ole nende äril mõtet.
NIS2 direktiiv reguleerib elutähtsa ja olulise teenuse osutajad, kes ei saa sellist valikut teha. Nemad peavad tagama, et tehisintellekti rikke korral oleks võimalik teenuse osutamist võimalik jätkata. Seepärast peab talitluspidevuse plaan olema koostatud ja testitud.