Zrozumienie pojęcia “incydentu AI”
Wraz z rosnącym wykorzystaniem sztucznej inteligencji (AI) w różnych aspektach naszego życia, zarówno w sektorze prywatnym, jak i publicznym, coraz większe znaczenie zyskuje kwestia zarządzania incydentami związanymi z tą technologią. Pojęcie “incydentu AI” jest stosunkowo nowe i może budzić pewne wątpliwości, zwłaszcza w porównaniu do bardziej znanych incydentów z zakresu technologii informacyjno-komunikacyjnych (ICT).
Zgodnie z definicją zaproponowaną przez OECD, incydent związany ze sztuczną inteligencją to zdarzenie, okoliczność lub seria zdarzeń, w których rozwój, użytkowanie lub nieprawidłowe działanie jednego lub większej liczby systemów sztucznej inteligencji bezpośrednio lub pośrednio prowadzi do obrażeń ciała, zakłócenia funkcjonowania infrastruktury krytycznej, naruszeń praw człowieka lub szkód dla mienia, społeczności lub środowiska. Kluczową różnicą w porównaniu do incydentów ICT jest zatem fakt, że incydent AI musi prowadzić do konkretnych, negatywnych skutków, a nie jedynie dotyczyć samego naruszenia bezpieczeństwa.
Warto również zwrócić uwagę na pojęcie “AI hazard”, które OECD definiuje jako zdarzenie, okoliczność lub serię zdarzeń, w których rozwój, użytkowanie lub nieprawidłowe działanie jednego lub większej liczby systemów AI może doprowadzić do incydentu związanego z AI. Innymi słowy, incydent to coś, co już się wydarzyło, a zagrożenie to coś, co może się wydarzyć w przyszłości.
Zgodnie z analizą eksperta, problem polega na tym, że różnice w definiowaniu incydentów AI i ICT mogą prowadzić do sytuacji, w których to samo zdarzenie będzie klasyfikowane na różne sposoby, a co za tym idzie – różnić się będą także obowiązki i procedury reagowania.
Podejście regulacyjne do incydentów AI
Unia Europejska, przygotowując projekt rozporządzenia AI Act, skupiła się przede wszystkim na “poważnych incydentach” związanych z AI, definiując je jako zdarzenia, które prowadzą do “poważnych obrażeń ciała lub zagrożenia życia” lub “znacznej szkody materialnej lub niematerialnej”. Oczywiście taka definicja jest węższa niż propozycja OECD, ale jest to zrozumiałe, biorąc pod uwagę, że celem AI Act jest ustalenie podstawowych wymagań bezpieczeństwa i nadzoru nad systemami AI wysokiego ryzyka.
Z kolei w ustawie o krajowym systemie cyberbezpieczeństwa incydent zdefiniowany jest jako “zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych”. Definicja ta jest zatem szersza i obejmuje zarówno zdarzenia, które już miały miejsce, jak i te, które mogą się wydarzyć w przyszłości. Podobnie, dyrektywa DORA (Digital Operational Resilience Act) wprowadza pojęcie “incydentu związanego z ICT”, czyli “pojedynczego zdarzenia lub serii powiązanych ze sobą zdarzeń nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy”.
Widać zatem, że nawet na poziomie regulacji o podobnym celu, jakim jest zapewnienie cyberbezpieczeństwa, istnieją różnice w definiowaniu incydentów. To z kolei implikuje konieczność wypracowania spójnej taksonomii i podejścia do zarządzania incydentami, niezależnie od tego, czy dotyczą one technologii ICT, czy też systemów AI.
Wyzwania w zarządzaniu incydentami AI
Kluczowym wyzwaniem w zarządzaniu incydentami związanymi z AI jest zintegrowanie różnych podejść i obowiązków wynikających z definicji incydentów AI, ICT oraz innych regulacji. Organizacje powinny być przygotowane na to, że jedno zdarzenie może być klasyfikowane na różne sposoby, a co za tym idzie – wymagać zastosowania odmiennych procedur reagowania.
Dlatego ważne jest, aby:
- Stworzyć spójną siatkę pojęciową, która pozwoli pracownikom i partnerom lepiej zarządzać incydentami, niezależnie od ich typu.
- Wdrożyć procedurę zarządzania incydentami, definiując różne ich rodzaje i dostosowując do nich odpowiednie działania.
- Określić zasady odpowiedzialności i komunikacji wewnętrznej oraz zewnętrznej w przypadku wystąpienia incydentów.
- Skorelować procesy zarządzania incydentami z systemem zarządzania ryzykiem AI, tak aby ten ostatni mógł wspierać identyfikację, analizę i reagowanie na incydenty.
- Wprowadzić w organizacji proces ciągłego uczenia się na temat incydentów i ryzyk związanych z AI.
- Zapewnić, że dokumentacja techniczna i umowy dotyczące systemów AI zawierają informacje na temat incydentów, ich rodzajów oraz podatności.
Warto również zwrócić uwagę, że choć AI Act nie zawiera specjalnej procedury zarządzania typowymi incydentami AI, to nakłada on obowiązek posiadania systemu zarządzania ryzykiem AI dla systemów wysokiego ryzyka (art. 9) oraz wymaganie automatycznego zapisywania logów w ciągu całego cyklu życia systemu AI (art. 12). Te dwa elementy powinny stanowić podstawę budowy odpowiednich procesów reagowania na incydenty.
Wykorzystanie AI w obsłudze incydentów
Sztuczna inteligencja może odegrać kluczową rolę we wsparciu procesu zarządzania incydentami bezpieczeństwa, zarówno tymi związanymi z AI, jak i incydentami ICT. Rozwiązania oparte na AI mogą automatycznie podsumowywać skomplikowane alerty bezpieczeństwa, oceniać potencjalny wpływ incydentów oraz dostarczać szczegółowych instrukcji reagowania. W ten sposób czas reakcji i efektywność zespołów bezpieczeństwa mogą zostać znacząco zwiększone.
Przykładowo, Microsoft Copilot for Security jest narzędziem wykorzystującym AI do automatyzacji i wsparcia procesów analizy zagrożeń. Jego kluczowe funkcje to:
- Automatyczne podsumowywanie incydentów, które ułatwia komunikację i przyspiesza podejmowanie decyzji.
- Analiza wpływu incydentów, pozwalająca na ocenę potencjalnych szkód i ustalenie priorytetów działań.
- Odwracanie inżynierii złośliwego oprogramowania, tłumaczące złożone skrypty na język naturalny, co pomaga zrozumieć działania atakujących.
- Dostarczanie instrukcji krok po kroku w zakresie triażu, śledzenia, ograniczania i usuwania zagrożeń.
Dzięki takim rozwiązaniom opartym na AI, organizacje mogą znacząco zwiększyć efektywność i skuteczność swoich działań związanych z obsługą incydentów bezpieczeństwa, zarówno tych dotyczących tradycyjnych systemów ICT, jak i nowoczesnych technologii AI.
Podsumowanie
Zarządzanie incydentami związanymi z sztuczną inteligencją to złożone wyzwanie, wymagające zintegrowania różnych podejść regulacyjnych oraz wypracowania spójnych procesów w obrębie organizacji. Kluczowe jest zrozumienie różnic między incydentami AI a incydentami ICT, a także identyfikacja i przygotowanie się na potencjalne ryzyka i zagrożenia.
Jednocześnie sztuczna inteligencja może okazać się cennym narzędziem we wsparciu procesu obsługi incydentów, automatyzując kluczowe zadania i znacząco zwiększając efektywność działań zespołów bezpieczeństwa. Zatem efektywne zarządzanie incydentami AI, przy wykorzystaniu potencjału AI, stanowi istotny element kompleksowej strategii cyberbezpieczeństwa nowoczesnej organizacji.
Warto podkreślić, że tworzenie stron internetowych i ich pozycjonowanie również mogą skorzystać na zastosowaniu rozwiązań opartych na sztucznej inteligencji, np. w obszarze automatyzacji zadań, analizy danych czy personalizacji treści. Wciąż jest to pole do dalszego rozwoju i eksploracji dla firm z branży IT.