Jak zabezpečit AI a zajistit shodu s EU AI Act pomocí AIMS
Prezentace a záznam z webináře, kde se dozvíte cenné informace o EU AI Act, o rizicích AI a o tom, jak je zvládat nejen pomocí AI Management System normy (ISO/IEC 42 001).
Na webináři vystoupili Mgr. Jiří Císek z Cisek, advokátní kancelář s.r.o., který představil téma právních dopadů AI Act - Co musí organizace vědět a jak se připravit. Na něj navázal Ing. Martin Konečný, MBA, CISM z Guardians.cz s tématem o implementaci AI management systému (AIMS) pomocí ISO 42 001 s úvodem do bezpečnosti AI.
Video záznam z webináře
Zde můžete shlédnout video záznam z webináře.
Prezentace ke stažení
Tady najdete i prezentaci v PDF ke stažení.
Schopnost odolat hrozbám AI znamená zbavit se zbytečných blokátorů rozvoje a businessu a zajištění jeho udržitelnosti
Setkáváme se s případy, kdy od klientů zaznívá:
“AI nebudeme zavádět, to je nebezpečné.”
nebo naopak
“Hrozby spojené s AI? Žádné jsem reálně neviděl(a), proto pokračujeme ve využívání tak, jako dosud…“ (pozn.: např. zakázané způsoby využití, zapojení free public modelů trénující se na datech klienta, nulová bezpečnost integrací atp.)
Obě situace jsou ale strategicky neudržitelné - v obou případech vás totiž může předběhnout konkurence, která AI využívá a řídí s tím související rizika. Řešit AI rizika je proto nezbytné nejen z hlediska compliance, ale i business strategie.
Rizika AI
Vybraná rizika AI popisuje Martin Konečný ve své prezentaci (doporučujeme shlédnout záznam nebo PDF viz výše). Některá z nich přesto stojí za zmínku i zde. např.:
Vibe coding a zběsilé sdílení API klíčů ze strany uživatelů.
Ztráta know-how díky útokům založeným na extrakci.
Nadměrná autonomie jazykového modelu při integraci a automatizaci (např. nevhodně nastavenými přístupovými oprávněními - model má vyšší práva než uživatel - uživatel pak zneužívá model k práci s daty, ke kterým by se jinak nedostal).
Zneužití AI útočníky (např. k tvorbě malware, deepfakes atp.).
Rizika dodavatelského řetězce a bezpečnost, poskytovaných modelů (krásným příkladem může být Varování NÚKIB před některými produkty společnosti DeepSeek upozorňující na nízké zabezpečení, ukládání/sdílení dat na serverech čínských společností - např. ByteDance (TikTok), odesílání dat na území Ruské federace atd. - více v metodice k samotnému varování od NÚKIB).
Níže ještě najdete některé ze zdrojů, které mohou pomoci s modelováním hrozeb u jazykových modelů.
MITRE ATLAS
Bezpečáci jistě znají MITRE ATT&CK. MITRE ATLAS je v podstatě totéž, jen pro velké jazykové modely. Obsahuje přehled tzv. taktik a technik útočníků (postupů útočníků) v případě, kdy jsou jejich cílem právě LLM, ML a související procesy, technologie a data.
AI Risk Index od Lakera
Organizace Lakera, jeden z předních vendorů security řešení pro LLM, publikovala “Independent, Real-World LLM Security Benchmark“. Jde o užitečný nástroj pro riskařinu nad jazykovými modely.
OWASP
OWASP v bezpečnostní komunitě jistě netřeba představovat. Za zmínku stojí relevantní zdroje, které OWASP cílí na AI / LLM / ML nebo OWASP AI Exchange.
AIID
AIID je AI Incident Database, kde najdete odkazy na články o incidentech, které mohou souviset s AI.
AI Management System (AIMS) = ISO/IEC 42001:2023
AIMS je mezinárodní standard, který poskytuje komplexní rámec pro organizace, aby zavedly, implementovaly, udržovaly a neustále zlepšovaly způsob, jakým řídí své činnosti v oblasti umělé inteligence.
Jedná se o další standard ze systému řízení, jako např. ISMS (ISO/IEC 27001). Proto, pokud máte certifikované ISMS a zároveň využíváte pro klíčový business jazykových modelů, zvažte, zda ISMS certifikaci nespojit s AIMS.
Hlavním cílem AIMS je pomoci organizacím odpovědně vyvíjet, poskytovat nebo používat systémy AI, zatímco dosahují svých strategických cílů a splňují relevantní požadavky a očekávání zúčastněných stran.
Shoda se standardem (=systematický přístup) může organizaci pomoci doložit její odpovědnost a transparentnost s ohledem na její roli v oblasti systémů AI, ale i se zvládnutím EU AI Actu. Hodí se např. pro:
organizace, které využívají AI / ML / LLM ve svých podnikových procesech nebo tyto technologie vyvíjí, integrují, implementují pro své klienty.
organizace, které jsou zákazníky takových firem (viz předchozí bod) - požadavek na certifikaci jako “assurance”.
Pozn.: Více o normě se dozvíte v záznamu.
GUARDIANS.cz tým vám s bezpečností AI rád pomůže!
Nevyznáte se v tom? Nevadí! GUARDIANS.cz tým vám rád pomůže např. s/se:
Získáním konkurenční výhody díky SMYSLUPLNĚ zvládnutým požadavkům na kybernetickou bezpečnost ze strany regulace/zákazníků.
Přípravou na ISO/IEC 42001 certifikaci.
Posouzením bezpečnosti AI.
Analýzou rizik AI.
Výběrem a nasazením GRC nástroje (DRATA, ISMS Online, ...), který usnadní implementaci požadavků AIMS a EU AI Act.
+ více v našem portfoliu na webu https://www.guardians.cz/cs/