AI đang nhanh chóng trở nên phổ biến trên các hệ thống kinh doanh và hệ sinh thái CNTT, với việc áp dụng và phát triển đang chạy đua nhanh hơn bất kỳ ai có thể mong đợi. Ngày nay, có vẻ như ở mọi nơi chúng ta đến, các kỹ sư phần mềm đang xây dựng các mô hình tùy chỉnh và tích hợp AI vào sản phẩm của họ, khi các nhà lãnh đạo doanh nghiệp kết hợp các giải pháp hỗ trợ AI trong môi trường làm việc của họ.
Tuy nhiên, sự không chắc chắn về cách tốt nhất để triển khai AI đang ngăn cản một số công ty hành động. Chỉ số tăng tốc kỹ thuật số (DAI) mới nhất của Tập đoàn tư vấn Boston, một cuộc khảo sát toàn cầu với 2.700 giám đốc điều hành, đã tiết lộ rằng chỉ 28% nói tổ chức của họ đã chuẩn bị đầy đủ cho quy định mới về AI.
Sự không chắc chắn của họ càng trở nên trầm trọng hơn do các quy định về AI được ban hành dày đặc và nhanh chóng: đạo luật AI của EU đang được triển khai; Argentina đưa ra dự thảo kế hoạch AI; Canada có Đạo luật về AI và Dữ liệu; Trung Quốc đã ban hành hàng loạt quy định về AI; và các quốc gia G7 đã phát động “quy trình AI của Hiroshima”. Có rất nhiều hướng dẫn, với việc OECD phát triển các nguyên tắc AI, Liên hợp quốc đề xuất một cơ quan cố vấn AI mới của Liên hợp quốc và chính quyền Biden đưa ra kế hoạch chi tiết cho Tuyên ngôn về Quyền của AI (mặc dù điều đó có thể nhanh chóng thay đổi với chính quyền Trump thứ hai).
Pháp luật cũng đang được ban hành ở từng bang của Hoa Kỳ và đang xuất hiện trong nhiều khuôn khổ ngành. Cho đến nay, 21 tiểu bang đã ban hành luật để điều chỉnh việc sử dụng AI theo một cách nào đó, bao gồm Đạo luật AI của Colourado và các điều khoản trong CCPA của California, cùng với 14 tiểu bang khác có luật đang chờ phê duyệt.
Trong khi đó, cả hai phía đều có tiếng nói lớn trong cuộc tranh luận về quy định AI. Một cuộc khảo sát mới từ SolarWinds cho thấy 88% chuyên gia CNTT ủng hộ quy định mạnh mẽ hơn và nghiên cứu riêng biệt cho thấy 91% người dân Anh muốn chính phủ làm nhiều hơn để yêu cầu các doanh nghiệp chịu trách nhiệm về hệ thống AI của họ. Mặt khác, lãnh đạo của hơn 50 công ty công nghệ gần đây đã viết một bức thư ngỏ kêu gọi cải cách khẩn cấp các quy định nặng nề về AI của EU, cho rằng chúng cản trở sự đổi mới.
Đây chắc chắn là một giai đoạn khó khăn đối với các nhà lãnh đạo doanh nghiệp và nhà phát triển phần mềm, khi các nhà quản lý đang nỗ lực bắt kịp công nghệ. Tất nhiên, bạn muốn tận dụng những lợi ích mà AI có thể mang lại, bạn có thể làm như vậy theo cách giúp bạn tuân thủ mọi yêu cầu quy định sắp tới và không cản trở việc sử dụng AI của bạn một cách không cần thiết trong khi đối thủ của bạn đang tăng tốc.
Chúng ta không có quả cầu pha lê nên không thể đoán trước được tương lai. Nhưng chúng ta có thể chia sẻ một số phương pháp hay nhất để thiết lập hệ thống và quy trình nhằm chuẩn bị nền tảng cho việc tuân thủ quy định về AI.
Vạch ra cách sử dụng AI trong hệ sinh thái rộng lớn hơn của bạn
Bạn không thể quản lý việc sử dụng AI của nhóm mình trừ khi bạn biết về nó, nhưng chỉ điều đó thôi cũng có thể là một thách thức đáng kể. Shadow IT đã là tai họa của các nhóm an ninh mạng: Nhân viên đăng ký các công cụ SaaS mà bộ phận CNTT không hề biết, để lại một số giải pháp và nền tảng không xác định có quyền truy cập vào dữ liệu và/hoặc hệ thống kinh doanh.
Giờ đây, các đội bảo mật cũng phải vật lộn với AI bóng tối. Nhiều ứng dụng, chatbot và các công cụ khác kết hợp AI, học máy (ML) hoặc lập trình ngôn ngữ tự nhiên (NLP) mà không có giải pháp nào nhất thiết phải là giải pháp AI rõ ràng. Khi nhân viên đăng nhập vào các giải pháp này mà không có sự chấp thuận chính thức, họ sẽ đưa AI vào hệ thống của bạn mà bạn không hề hay biết.
Với tư cách là chuyên gia về quyền riêng tư dữ liệu của Opice Blum Henrique Fabretti Moraes giải thích“Việc lập bản đồ các công cụ đang sử dụng – hoặc những công cụ dự định sử dụng – là rất quan trọng để hiểu và điều chỉnh các chính sách sử dụng được chấp nhận cũng như các biện pháp giảm thiểu tiềm năng nhằm giảm thiểu rủi ro liên quan đến việc sử dụng chúng.”
Một số quy định yêu cầu bạn phải chịu trách nhiệm về việc sử dụng AI của nhà cung cấp. Để kiểm soát hoàn toàn tình hình, bạn cần lập bản đồ tất cả AI trong môi trường của bạn và các tổ chức đối tác của bạn. Về vấn đề này, sử dụng một công cụ như hài hòa có thể là công cụ phát hiện việc sử dụng AI trong chuỗi cung ứng.
Xác minh quản trị dữ liệu
Quyền riêng tư và bảo mật dữ liệu là mối quan tâm cốt lõi đối với tất cả các quy định về AI, cả những quy định đã có và những quy định sắp được phê duyệt.
Việc sử dụng AI của bạn cần phải tuân thủ các luật về quyền riêng tư hiện có như GDPR và CCPR, yêu cầu bạn phải biết AI của bạn có thể truy cập dữ liệu nào và nó làm gì với dữ liệu đó, đồng thời để bạn chứng minh các biện pháp bảo vệ để bảo vệ dữ liệu mà AI sử dụng.
Để đảm bảo tuân thủ, bạn cần áp dụng các quy tắc quản trị dữ liệu mạnh mẽ trong tổ chức của mình, được quản lý bởi một nhóm xác định và được hỗ trợ bởi các cuộc kiểm tra thường xuyên. Chính sách của bạn phải bao gồm thẩm định để đánh giá tính bảo mật dữ liệu và nguồn của tất cả các công cụ, bao gồm cả những công cụ sử dụng AI, để xác định các khu vực có thể có sai lệch và rủi ro về quyền riêng tư.
Rob Johnson, Phó Chủ tịch kiêm Giám đốc Kỹ thuật Giải pháp Toàn cầu tại SolarWinds, cho biết: “Các tổ chức có trách nhiệm phải thực hiện các biện pháp chủ động bằng cách tăng cường vệ sinh dữ liệu, thực thi đạo đức AI mạnh mẽ và tập hợp các đội phù hợp để dẫn dắt những nỗ lực này”. “Lập trường chủ động này không chỉ giúp tuân thủ các quy định đang phát triển mà còn tối đa hóa tiềm năng của AI.”
Thiết lập giám sát liên tục cho hệ thống AI của bạn
Giám sát hiệu quả là rất quan trọng để quản lý bất kỳ lĩnh vực nào trong doanh nghiệp của bạn. Khi nói đến AI, cũng như các lĩnh vực an ninh mạng khác, bạn cần theo dõi liên tục để đảm bảo rằng bạn biết các công cụ AI của mình đang làm gì, chúng hoạt động như thế nào và chúng đang truy cập dữ liệu gì. Bạn cũng cần kiểm tra chúng thường xuyên để theo kịp việc sử dụng AI trong tổ chức của mình.
“Ý tưởng sử dụng AI để giám sát và điều chỉnh các hệ thống AI khác là một bước phát triển quan trọng nhằm đảm bảo các hệ thống này vừa hiệu quả vừa có đạo đức,” Cache Merrill nóingười sáng lập công ty phát triển phần mềm Zibtek. “Hiện tại, các kỹ thuật như mô hình học máy dự đoán hành vi của các mô hình khác (siêu mô hình) được sử dụng để giám sát AI. Các hệ thống phân tích các mẫu và kết quả đầu ra của AI vận hành để phát hiện những điểm bất thường, sai lệch hoặc lỗi tiềm ẩn trước khi chúng trở nên nghiêm trọng.”
Nền tảng tự động hóa Cyber GRC đảo Síp cho phép bạn tiến hành giám sát liên tục và thu thập bằng chứng kiểm toán theo quy định ở chế độ nền. Tính năng tự động hóa không cần mã cho phép bạn thiết lập các chức năng quy trình làm việc tùy chỉnh mà không cần chuyên môn kỹ thuật, do đó, các cảnh báo và hành động giảm nhẹ sẽ được kích hoạt ngay lập tức theo các biện pháp kiểm soát và ngưỡng bạn thiết lập.
Cypago có thể kết nối với các nền tảng kỹ thuật số khác nhau của bạn, đồng bộ hóa với hầu hết mọi khung pháp lý và biến tất cả các biện pháp kiểm soát có liên quan thành quy trình làm việc tự động. Sau khi thiết lập các tiện ích tích hợp và khung quy định, việc tạo quy trình công việc tùy chỉnh trên nền tảng cũng đơn giản như việc tải bảng tính lên.
Sử dụng đánh giá rủi ro làm hướng dẫn của bạn
Điều quan trọng là phải biết công cụ AI nào của bạn có rủi ro cao, rủi ro trung bình và rủi ro thấp – để tuân thủ các quy định bên ngoài, quản lý rủi ro kinh doanh nội bộ và cải thiện quy trình phát triển phần mềm. Các use case có rủi ro cao sẽ cần nhiều biện pháp bảo vệ và đánh giá hơn trước khi triển khai.
“Mặc dù quản lý rủi ro AI có thể được bắt đầu tại bất kỳ thời điểm nào trong quá trình phát triển dự án,” Ayesha Gulley, chuyên gia chính sách AI của Holistic AI, cho biết. nói. “Việc triển khai khung quản lý rủi ro sớm hơn có thể giúp doanh nghiệp tăng cường niềm tin và tự tin mở rộng quy mô.”
Khi bạn biết những rủi ro do các giải pháp AI khác nhau gây ra, bạn có thể chọn cấp độ truy cập mà bạn sẽ cấp cho chúng đối với dữ liệu và các hệ thống kinh doanh quan trọng.
Về mặt quy định, Đạo luật AI của EU đã phân biệt giữa các hệ thống AI với các mức độ rủi ro khác nhau và NIST khuyến nghị đánh giá các công cụ AI dựa trên độ tin cậy, tác động xã hội và cách con người tương tác với hệ thống.
Chủ động thiết lập quản trị đạo đức AI
Bạn không cần phải đợi các quy định về AI để thiết lập các chính sách AI có đạo đức. Phân bổ trách nhiệm cân nhắc về đạo đức AI, tập hợp các nhóm và xây dựng các chính sách sử dụng AI có đạo đức, bao gồm an ninh mạng, xác thực mô hình, tính minh bạch, quyền riêng tư dữ liệu và báo cáo sự cố.
Rất nhiều khuôn khổ hiện có như AI RMF và ISO/IEC 42001 của NIST đề xuất các phương pháp hay nhất về AI mà bạn có thể kết hợp vào chính sách của mình.
“Việc quản lý AI vừa cần thiết vừa không thể tránh khỏi để đảm bảo việc sử dụng có đạo đức và có trách nhiệm. Mặc dù điều này có thể gây ra sự phức tạp nhưng nó không nhất thiết cản trở sự đổi mới,” Arik Solomon nóiGiám đốc điều hành và đồng sáng lập của Cypago. “Bằng cách tích hợp việc tuân thủ vào khuôn khổ nội bộ của mình cũng như phát triển các chính sách và quy trình phù hợp với các nguyên tắc quy định, các công ty trong các ngành được quản lý có thể tiếp tục phát triển và đổi mới một cách hiệu quả.”
Các công ty có thể chứng minh cách tiếp cận chủ động đối với AI có đạo đức sẽ có khả năng tuân thủ tốt hơn. Các quy định về AI nhằm mục đích đảm bảo tính minh bạch và quyền riêng tư của dữ liệu, vì vậy, nếu mục tiêu của bạn phù hợp với những nguyên tắc này, bạn sẽ có nhiều khả năng áp dụng các chính sách tuân thủ quy định trong tương lai. các công bằng nền tảng có thể trợ giúp quá trình này bằng các công cụ quản lý quản trị AI, kiểm tra sai lệch và đánh giá rủi ro ở một địa điểm duy nhất.
Đừng để nỗi sợ hãi về quy định AI cản trở bạn
Các quy định về AI vẫn đang phát triển và mới nổi, tạo ra sự không chắc chắn cho các doanh nghiệp và nhà phát triển. Nhưng đừng để tình trạng lỏng lẻo ngăn cản bạn hưởng lợi từ AI. Bằng cách chủ động triển khai các chính sách, quy trình làm việc và công cụ phù hợp với các nguyên tắc về quyền riêng tư, tính minh bạch và sử dụng có đạo đức của dữ liệu, bạn có thể chuẩn bị cho các quy định về AI và tận dụng các khả năng do AI cung cấp.
