...

Ryzyko AI stron trzecich

Picture of Dariusz Rycek

Dariusz Rycek

Tekst ten powstał na bazie artykułu „Third Party AI Risk Management” napisanego przez Richarda Summerfelda, ale pozwoliłem sobie rozwinąć go w oparciu o standardy ISO dotyczące AI, gdyż jakoś dziwnie stronniczo pomija się w tym zakresie prace komitetu – ISO/IEC JTC 1/SC 42, w szczególności: ISO/IEC 23894:2023 – Information technology — Artificial intelligence — Guidance on risk management. Podobnie zresztą jak opracowania innego komitetu ISO/IEC JTC 1/SC 27 – Information security, cybersecurity and privacy protection, ktore podejmują temat ryzyka stron trzecich, chociażby w ramach takich norm jak np. normy z serii ISO/IEC 27036-1÷4, które dotyczą relacji z dostawcami. Samo wdrożenie i certyfikacja standardu ISO/IEC 42001 (czasami w skrócie nazywane ISO 42001) może stanowić bardzo duże wsparcie organizacji w zakresie redukcji ryzyka stron trzecich. Ale cóż może kilka przemyśleń Richarda Summerfielda aby zrozumieć anglosaskie podejście.

Niezależnie od tego zachęcam Państwa do lektury magazynu Risk&Compliance, albowiem jest to jeden z ciekawszych darmowych tytułów o tematyce biznesowej, chociaż podejmujący w dużej części tematykę compiance i ryzyka, jak wskazuje także tytuł. Z ostatniego numeru naszym „mentalnym” łupem oprócz w/w padło kilka artykułów, jak np.:

  • Whistleblower Provisions, Expert Forum
  • How Relationships Shape Compliance Culture, Written By Hugo De Almeida Pinho > Arthrex Inc
  • European Standards And The Eu Ai Act: The Path To Compliance , Written Y Sam De Silva And Barbara Zapisetskaya > Cms Cameron Mckenna Nabarro Olswang Llp
  • Resilience Is Crucial To Overcoming Organisational Fractures, Written By Andrew Kakabadse And Nada Kakabadse > Henley Business School
  • Embracing Disruption: A Call For Rethinking Resilience In Today’s Uncertain World, Written By Deepak Walia > Hcltech
  • The Dark Pattern Of Corporate Scandals: Why Good Managers Make Unethical Decisions, Written By Guido Palazzo > University Of Lausanne
  • Cyber Crime: New Players And Approaches May Increase Threat Levels, Written By Michael Bruemmer > Experian
  • Managing And Mitigating Operational And Non-Financial Risks, Written By Sajid Iqbal > Habib Bank Ag Zurich,

ale jest ich więcej, jak chociażby z obszaru AML, itd.

AI, Ryzyko

AI w operacji biznesowych – kilka danych

Sztuczna Inteligencja (AI) rewolucjonizuje operacje biznesowe, oferując znaczne korzyści, ale także wprowadzając istotne ryzyka. W USA działa ponad 18 500 startupów AI, a narzędzia AI są coraz bardziej zaawansowane i szeroko stosowane do analizy danych, przetwarzania języka naturalnego, logistyki biznesowej i interakcji z klientami. Te narzędzia oszczędzają zasoby i poprawiają operacje, gdy są używane odpowiedzialnie.

Organizacje wdrażają AI w celu poprawy efektywności, zaawansowanego modelowania, lepszego podejmowania decyzji, zaawansowanej analizy danych, optymalizacji kontroli i automatyzacji. Jednakże użycie AI wiąże się z ryzykiem w zakresie prywatności, cyberbezpieczeństwa, etyki i zgodności, szczególnie w przypadku narzędzi AI stron trzecich. Badanie przeprowadzone przez MIT Sloan Management Review i Boston Consulting Group wykazało wysokie uzależnienie od AI stron trzecich, z 55% niepowodzeń SI związanych z tymi narzędziami, mimo że tylko 45% organizacji formalnie ocenia te ryzyka.

Światowe Forum Ekonomiczne (WEF) podkreśla dwojaki charakter AI, oferującej korzyści, ale niosącej ryzyka, jeśli jest źle rozumiana. Publiczne zaufanie do AI jest niskie, co pokazuje badanie KPMG, w którym 61% respondentów wyraża nieufność wobec AI, a 67% ocenia akceptację AI jako niską lub umiarkowaną. WEF’s Global Risks Outlook Survey wskazuje, że zarządzanie ryzykiem nie nadąża za postępami AI, a większość CRO postrzega AI jako ryzyko reputacyjne i apeluje o lepsze regulacje.

ISO 42001, ISO 23894, Ryzyko AI

Ryzyko stron trzecich

Wyzwania związane z cyberbezpieczeństwem i zgodnością są coraz większe, a koszt naruszeń danych wzrósł do 4,45 mln USD globalnie w 2023 roku. Regulacje takie jak GDPR i CCPA wymagają solidnego zarządzania danymi i cyberbezpieczeństwa. Dostawcy stron trzecich są głównymi źródłami incydentów cybernetycznych, a ataki na łańcuch dostaw oprogramowania stanowią 12% naruszeń. AI obniża bariery dla cyberprzestępców, zwiększając zaawansowanie ataków i ryzyka związane z bezpieczeństwem danych i prywatnością.

Skuteczne Zarządzanie Ryzykiem Stron Trzecich (TPRM) jest kluczowe. Obejmuje identyfikację, ocenę i kontrolę ryzyk wynikających z relacji zewnętrznych, obejmując operacyjne, cybernetyczne, regulacyjne, finansowe i reputacyjne ryzyka. Ryzyka operacyjne wynikają z zakłóceń krytycznych komponentów, podczas gdy cybernetyczne ryzyka obejmują phishing i ataki ransomware przez strony trzecie. Ryzyka zgodności rosną wraz z zaostrzeniem regulacji wpływających na partnerów w łańcuchu dostaw.

Solidny program TPRM koncentruje się na audytach bezpieczeństwa, testach penetracyjnych, analizie kodu, zarządzaniu tożsamością i dostępem oraz zarządzaniu lukami. Due diligence przed partnerstwem z dostawcami AI jest niezbędne, obejmując ocenę praktyk bezpieczeństwa, certyfikatów zgodności, stabilności finansowej i wydajności modelu AI. Umowy muszą jasno określać własność danych, bezpieczeństwo i odpowiedzialność, aby uniknąć ryzyk.

Liderzy muszą ustalać progi ryzyka i wzmacniać standardy etyczne. Silny program TPRM powinien ciągle oceniać dostawców, zapewniając przejrzystość łańcucha dostaw. AI może wspomagać zarządzanie ryzykiem poprzez automatyzację zadań takich jak audyty i due diligence, redukując koszty, przyspieszając przetwarzanie i poprawiając reakcję na zagrożenia. Jednakże nadmierne poleganie na AI może prowadzić do samozadowolenia i niewystarczających procedur due diligence.

AI, Ryzyko, TPRM, ISO 42001

Konkluzja

W miarę jak rośnie użycie AI, niezbędne jest etyczne i odpowiedzialne podejście, zwłaszcza w obliczu ewoluujących regulacji. Dlatego warto sięgnąć po lekturę normy przedstawione w pod pozycją nr 1 w bibliografii. A dlaczego? Bo zarządzanie ryzykiem powinno uwzględniać potrzeby organizacji przy zastosowaniu zintegrowanego, ustrukturyzowanego i kompleksowego podejścia. Zasady przewodnie pozwalają organizacji określić priorytety i podjąć decyzje dotyczące zarządzania wpływem niepewności na jej cele. Zasady te mają zastosowanie do wszystkich poziomów organizacyjnych i celów, zarówno strategicznych, jak i operacyjnych.

Systemy i procesy zazwyczaj wykorzystują kombinację różnych technologii i funkcjonalności w różnych środowiskach, dla konkretnych przypadków użycia. Zarządzanie ryzykiem powinno uwzględniać cały system, ze wszystkimi jego technologiami i funkcjonalnościami, oraz jego wpływ na środowisko i interesariuszy. Systemy AI mogą wprowadzać nowe lub wyłaniające się zagrożenia dla organizacji, z pozytywnymi lub negatywnymi konsekwencjami dla celów lub zmianami prawdopodobieństwa wystąpienia istniejących zagrożeń. Mogą one również wymagać szczególnych rozważań przez organizację. Dodatkowe wytyczne dotyczące zasad, ram i procesów zarządzania ryzykiem, które organizacja może wdrożyć, właśnie zawiera wspomniany  dokument – patrz tabela nr 1 w nim przedstawiona. I dlatego warto spojrzeć na opracowania ISO w zakresie AI, bo jest już ich ponad 30, kolejne w przygotowaniu.

Zapraszamy do współpracy
Zespół Centre of Excellence

Bibliografia:

  1. ISO/IEC 23894:2023 – Information technology — Artificial intelligence — Guidance on risk management – https://www.iso.org/standard/77304.html?browse=tc
  2. Risk&Compliance Magazine – July-September 2024 – http://docs.financierworldwide.com/riskandcompliance/RC_Jul24_rc5586rc1581.pdf
  3. ISO/IEC 42001:2023 – Information technology — Artificial intelligence — Management system – https://www.iso.org/standard/81230.html?browse=tc
Scroll to Top