Różne patrzenie na ochronę danych
Zawsze z dużym zainteresowaniem śledzę kolejne wydania „Risk & Compliance Magazine” szczególnie w tematach, które są zbieżne z profilem naszych usług certyfikacyjnych. Zawsze też zachęcamy do przeczytania całego artykułu , który stanowi osnowę naszego streszczenia, czy też stanowiska w kwestii zawartej w tytule. Dlatego nie zawsze zgadzamy się z konkluzjami, gdyż pomija się często w nich odwołania do regulacji fakultatywnych jakimi są normy, a które często łączą, strukturyzują i określają sposób postępowania by daną kwestię „okiełznać” z poszanowaniem zasad i praw stron zainteresowanych. Tak też jest w poniższym streszczeniu artykułu „Ochrona wrażliwych danych w erze dużych modeli językowych” autorstwa Clarissa Guglielmelli, które odniosłem do wymagań ISO/IEC 42001, czyli do wymagań standardu „Systemu zarządzania sztuczną inteligencją”. Równie dobrze można je odnieść do wymagań standardu ISO/IEC 27001, a więc bezpieczeństwa informacji.
Rozwój „dużych modeli językowych (LLM)” przyniósł firmom znaczące korzyści, zwiększając ich efektywność i umożliwiając bardziej zaawansowaną analizę danych. Jednak te postępy wiążą się z istotnymi wyzwaniami dotyczącymi ochrony „danych wrażliwych”, takich jak „dane osobowe (PII)”, „chronione dane zdrowotne (PHI)” oraz „poufne informacje biznesowe”. W miarę jak organizacje coraz częściej integrują LLM w swoje operacje, muszą ostrożnie poruszać się po tych wyzwaniach, aby uniknąć naruszeń danych i problemów prawnych.
LLM uczą się, przetwarzając obszerne zbiory danych, co sprawia, że są podatne na „zapamiętywanie wrażliwych informacji”. Stwarza to ryzyko, że modele mogą przypadkowo odtworzyć poufne dane w przyszłych wynikach. Na przykład, jeśli LLM przetwarza poufne dane biznesowe, może nieumyślnie ujawnić strategie firmy lub informacje o klientach. Monitorowanie tych interakcji jest szczególnie trudne, co zwiększa prawdopodobieństwo niezamierzonych ujawnień.
Podejście do zarządzania danymi
Aby zaradzić tym zagrożeniom, artykuł zaleca przyjęcie „wielopoziomowego podejścia do zarządzania danymi”. Organizacje powinny priorytetowo traktować ograniczanie dostępu do danych wrażliwych, anonimizację danych osobowych przed ich przetwarzaniem przez LLM oraz wdrażanie „ścisłych protokołów klasyfikacji danych”. Te działania są zgodne z normą „ISO/IEC 42001:2023”, która podkreśla znaczenie „zarządzania ryzykiem związanym z AI” oraz „identyfikacji ról organizacyjnych” w zakresie zarządzania AI. Norma nakłada również obowiązek przeprowadzania „ocen wpływu systemów AI”, aby ocenić potencjalne konsekwencje ich użycia dla jednostek i społeczeństwa, co jest kluczowe w przypadku przetwarzania danych wrażliwych.
Ponadto artykuł podkreśla znaczenie „szyfrowania danych”, „bezpiecznego przechowywania” i „regularnych ocen bezpieczeństwa” w całym cyklu życia danych. Te środki są wzmocnione przez normę „ISO/IEC 42001:2023”, która nakłada na organizacje obowiązek wdrożenia „specjalistycznych protokołów bezpieczeństwa dla systemów AI” oraz ciągłego monitorowania „ryzyk związanych z działaniem systemów AI”.
Oprócz środków technicznych organizacje powinny opracować „proaktywny plan reagowania na incydenty”, aby szybko radzić sobie z potencjalnymi naruszeniami. Obejmuje to zapewnienie zgodności z „przepisami o ochronie danych”, takimi jak „RODO”, oraz ustalenie jasnych protokołów dotyczących zgłaszania i ograniczania naruszeń. „ISO/IEC 42001” podobnie podkreśla znaczenie „obsługi niezgodności” i „działań korygujących”, aby zapobiec powtórzeniu incydentów bezpieczeństwa.
Autorka podkreśla potrzebę „szkolenia pracowników” w zakresie najlepszych praktyk dotyczących przetwarzania danych wrażliwych i interakcji z LLM. Bez odpowiedniego szkolenia pracownicy mogą nieumyślnie niewłaściwie korzystać z LLM, co prowadzi do ujawnienia danych wrażliwych. Norma „ISO/IEC 42001:2023” wspiera te działania, wymagając od organizacji zapewnienia, że „personel posiada kompetencje” do obsługi systemów AI i związanych z nimi ryzyk.
Podsumowując, ochrona wrażliwych danych w erze LLM wymaga kompleksowej strategii obejmującej „zarządzanie danymi”, „środki bezpieczeństwa”, „zgodność z przepisami” i „szkolenie pracowników”. Wytyczne zawarte w „ISO/IEC 42001:2023” wzmacniają te zalecenia, oferując strukturalne ramy do zarządzania ryzykiem związanym z AI i zapewnienia odpowiedzialnego korzystania z LLM.
Zapraszamy do współpracy
Zespół Centre of Excellence &QSCert
Bbliografia:
- Risk& Compliance Mangazine – Ocrober-December 2024, Financier Worldwide Ltd., https://riskandcompliancemagazine.us7.list-manage.com/track/click?u=1e5a8ac3d02a92723ea328ce8&id=afa8687cd2&e=71caf66472;
- ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system – https://www.iso.org/standard/81230.html;