Két és fél év előkészítő munka után az Európai Tanács elnöksége és az Európai Parlament tárgyaló csoportja december elején ideiglenes megállapodásra jutott a mesterséges intelligenciára vonatkozó harmonizált szabályokról szóló javaslatról, az úgynevezett AI törvényről. A rendelettervezet célja, hogy biztosítsa az európai piacon forgalomba hozott és az EU-ban használt mesterséges intelligencia rendszerek biztonságosságát, valamint alapvető jogokat és uniós értékeket tiszteletben tartó alkalmazásukat.
A mind határozottabb formát öltő szabályozás várható hatásáról Molnár Ferenc Tamást, a kiberbiztonsági tesztelési, ellenőrzési és tanúsítási (TIC) szolgáltatásairól ismert CCLab alapító-vezérigazgatóját kérdeztük.
Computerworld: A kategóriájában világelső törvény a jogalkotó szerint a mesterséges intelligenciához fűződő beruházásokat és innovációt is ösztönözni fogja Európában. Hogyan látja ezt a folyamat mostani szakaszában a kiberbiztonsági megfelelőségértékelő szemével?
Molnár Ferenc Tamás: Üdvözöljük, hogy készülő AI törvényéhez az unió a kockázatalapú megközelítést választotta, és a legmagasabb kockázati szintre sorolt rendszerek piacra vitelét szigorú validációhoz köti. A kiforrott szabályozást idézi ez, amelynek alapján az orvostechnikai eszközök vagy például a digitális aláíráshoz kapcsolódó biometrikus azonosító rendszerek értékelésekor mi is dolgozunk.
A generatív mesterséges intelligencia akkorát robbantott az üzleti világban, hogy ereje a dinoszauruszokat kipusztító aszteroida becsapódásához hasonlítható - a piaci versenyképességre nézve sorsdöntő hatással bíró technológia olyan gyorsan fejlődik, hogy a szervezeteknek nem hagy időt a fokozatos, evolúciós alkalmazkodásra. Létfontosságú, hogy a vállalatok késlekedés nélkül hozzálássanak az elsöprő erejű változást most is kísérő, új lehetőségek felkutatásához és megragadásához - ám ezt többek között megnehezítik az újfajta kockázatok is, amelyeket a mesterséges intelligencia szintén magában hordoz.
Kezelésükhöz szükséges a friss szabályozás, de hatása globális lesz, és az előnyök mellett versenyhátrány is származhat belőle. A GDPR, amely hasonló dilemmákat vetett fel, mindenesetre kedvező tapasztalatokat hozott, mert hatályba lépését követően a világ más gazdasági térségei is hasonló szabályozást vezettek be, így bebizonyosodott, hogy globális konszenzussal világméretű problémák is kezelhetők. Az AI hatása azonban nagyobb, összetettebb és hirtelenebb is, mint az adatkezelésé. A közeljövő gyakorlata mutatja majd meg, hogy az unió mellett már az Egyesült Államokban és az Egyesült Királyságban is készülő AI szabályozás milyen hatást ér el.
Persze mindig lesznek olyan piaci szereplők, akik a technológia alkalmazását kevésbé szabályozó piacok felé fordulnak, illetve a törvényekkel nem törődő kiberbűnözők, akik a mesterséges intelligencia technológiáit, közöttük a generatív AI-t máris aktívan használják adathalász és más típusú kampányaikban.
CW: A kibervédelmi szállítók szintén beépítik ezeket a képességeket biztonsági megoldásaikba. De mi a helyzet a felhasználók AI készségeivel?
Molnár Ferenc Tamás: Minthogy a mesterséges intelligencia adatokon tanul, azokat manipulálva külső és belső támadók egyaránt kárt okozhatnak a célba vett vállalatnak. Az AI-t kísérő, új típusú kockázatokra jellemző, hogy szándékosság sem szükséges feltétlenül, kellő hozzáértés vagy odafigyelés hiányában maguk az alkalmazottak is hibázhatnak a modellek tanítása során, ami hasonlóan súlyos következményekkel járhat.
Hatással lesz mindez a felderítésre és a megelőzésre is, a vállalatoknak olyan adatmenedzsment környezetet és gyakorlatot kell kialakítaniuk, amely segít az ilyen kockázatok csökkentésében. A védekezés részeként gondoskodniuk kell az AI megoldásokkal dolgozó kollégák oktatásáról, általában a vállalati adatkultúra és biztonságtudatosság fejlesztéséről is.
CW: Hogyan hat majd az unió AI törvénye a TIC szolgáltatásokra?
Molnár Ferenc Tamás: Tervezzük, hogy a végrehajtási rendeletek és vonatkozó szabványok ismeretében oktatóanyagokkal is segíteni fogjuk ügyfeleinket az AI képességekkel felruházott termékek tesztelésre, ellenőrzésre és tanúsításra történő előkészítésében. Egyszerű tájékoztatónál többet adó, valódi oktatóanyag kibocsátást tervezzük, ami a jogalkotási és szabványosítási folyamat előrehaladtával, a jövő év vége felé vagy 2025 elején várható. Szolgáltatásaink automatizálására is újabb AI képességeket fogunk bevezetni, prototípusaink további jelentős hatékonyságnövekedést ígérnek ezen a téren.
Készülünk egy másik törvény, a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC), az uniós kiberbiztonsági jogszabály tanúsítási keretrendszerében kidolgozott, első rendszer véglegesítésére is, ami az előkészítés során beérkezett módosítási javaslatok miatt az idei évről 2024-re tolódik. Különböző szakmai szervezetek tagjaként a QIMA csoport és a CCLab is részt vesz ebben a munkában, hogy a keretrendszer a megfelelő minőségben készüljön el, és elősegítse mind a vállalatok, mind a lakosság életét meghatározó, kritikus jelentőségű és más kategóriájú digitális termékek és szolgáltatások biztonságos működését és használatát.
Ez a cikkünk a Computerworld magazin 2023. december 20-ai nyomtatott számában jelent meg. A teljes lapszámot itt tudja elolvasni >>>
