Generativ AI och informationssäkerhet kräver kunskap hos ledningen
Ny teknik möjliggör nyttor som vi tidigare inte kunnat föreställa oss. I den här miljön gäller det för oss användare att förstå och tillämpa tech-bolagens bakomliggande affärsmodeller på ett ansvarsfullt sätt. Diskussionen om olika former av AI och informationssäkerhet är redan het, men fortfarande i sin linda. Jen Easterly och Pontus Wärnestål bland många andra diskuterar detta återkommande. AI är visserligen inte nytt men det är först nu som det finns tillräcklig datorkraft till ett rimligt pris som gör det möjligt för fler att träna modeller med enorma mängder data.
Samtidigt finns det en del att tänka på. Generativ AI är en typ av artificiell intelligens som skapar (genererar) nytt innehåll, såsom text, bilder, musik eller kod. Den tränas på stora mängder data och lär sig att generera liknande innehåll baserat på de mönster som den lär sig.
Ju specifikare data som modellen tränas på, desto specifikare svar kan den skapa. Detta innebär att vi har ett potentiellt säkerhetsproblem med såväl den data som vi tränar modellen på, som den information vi matar in i prompten. Det är en avgörande fördel att tänka ”security by design” och då använda redan etablerade och befintliga ramverk för informationssäkerhet såsom ISO 27000-serien.
När vi nu utvecklar AI på bred front och använder generativa verktyg i våra verksamheter gäller det att inte enbart svepas med i nyhetens behag och potential:
- Innehållssäkerhet: AI bör inte generera innehåll som är skadligt för någon fysiskt, emotionellt eller ekonomiskt. Detta inkluderar att undvika att skapa innehåll som kan vara stötande, kränkande eller olämpligt.
- Datasekretess: AI bör respektera användarens datasekretess och inte lagra eller dela personlig information som den kan komma över under konversationer.
- Rättvisa och opartiskhet: AI bör sträva efter att vara rättvis och opartisk i sina svar, och undvika att visa fördomar mot vissa grupper eller individer.
- Transparens och ansvarighet: Användare bör kunna förstå hur och varför AI genererar vissa svar. Dessutom bör det finnas mekanismer för att hålla AI ansvarig för de svar den ger.
- Respekt för upphovsrätten: AI bör respektera upphovsrätten och inte generera innehåll som bryter mot dessa lagar.
Vi kan ta ett exempel ur vår egen verksamhet: På Ekan Management utvecklar vi just nu stöd för anbudshantering och bemanning av uppdrag baserat på generativ AI. I arbetet med att skapa och träna en specialiserad modell har vi också behövt sätta en standard för den information som vi förser och tränar modellen med. Vi kan inte hantera en modell för generativ AI som om det vore en mjukvara eller ett datalager. Black box-aspekten, den medvetet luddiga datahanteringen i transit och lagring, samt det faktum att en generativ AI inte kan glömma, är några betydande orsaker till att hanteringen måste vara striktare än vi har vant oss vid.
Det finns såklart alltid risk att ny teknik och dess möjligheter används på ett felaktigt sätt och tyvärr har det redan skett. Samtidigt som vi lär oss att använda generativ AI till att utveckla vårt arbete och värdeskapande behöver vi förstå och beakta exempelvis ”deep fakes”, falska identiteter, integritetskränkning och upphovsrättsintrång. Detta är frågor som inte kan delegeras till “IT”, eller andra delar av verksamheten – det är en ledningsfråga, eftersom det handlar om grundläggande strategiska förutsättningar för verksamheten.
Kontakta gärna oss på Ekan så hjälper vi er med att proaktivt hantera detta i er verksamhet. Morgondagens verklighet är något som man till viss del formar själv.