Odpovědná umělá inteligence (AI) má několik různých podob. Prostřednictvím této série se pokusíme upozornit na šest důležitých aspektů AI v akademickém výzkumu. Kompletní seznam zásad AI si můžete prohlédnout zde.
Nejlepší způsoby ochrany soukromí a zabezpečení dat v oblasti umělé inteligence
Umělá inteligence má stále větší dopad na ochranu soukromí a bezpečnost dat, protože AI pracuje v mnohem větším měřítku než dříve. Z mnoha zdrojů však bohužel vyplývá, že umělá inteligence zároveň usnadňuje různým nekalým aktérům zneužití slabých stránek systému, na což upozorňuje příspěvek advokátní kanceláře Ropes & Gray v Bloomberg Law. Článek z Virginia Tech poukazuje na to, jak AI podporuje rychlé šíření dezinformací, a společnost Experian hovoří o tom, jak podvodníci využívají AI k efektivnějšímu klamání lidí.
Umělá inteligence se však využívá i k řešení těchto výzev. Spolu s vývojem řešení založených na umělé inteligenci jsou pro prevenci narušení zabezpečení a stanovení osvědčených postupů zásadní stávající bezpečnostní předpisy a normy. Vzhledem k tomu, že se prostředí AI rychle vyvíjí, je pro EBSCO při práci na vytváření a poskytování nástrojů AI do oblasti výzkumu zásadní mít přehled o těchto standardech a nejnovějších aplikacích AI.
Jaký je rozdíl mezi ochranou osobních údajů a jejich zabezpečením?
V EBSCO odkazujeme na definici ochrany osobních údajů podle IAPP, která zní:
„Ochrana osobních údajů zahrnuje využívání a správu osobních dat – například zavádění politik, které zajišťují, že osobní údaje spotřebitelů jsou shromažďovány, sdíleny a používány vhodným způsobem. Bezpečnost se více zaměřuje na ochranu dat před škodlivými útoky a zneužitím odcizených dat za účelem zisku. Zatímco bezpečnost je nezbytná pro ochranu dat, sama o sobě nestačí k řešení otázek ochrany soukromí.“
Další užitečnou definicí, na kterou EBSCO odkazuje, je definice Gartner, která definuje soukromí dat jako:
„procesy a související nástroje, které chrání citlivé informační zdroje, ať už při přenosu nebo v klidovém režimu.“
Obě mají společné téma bezpečného používání osobních údajů.
EBSCO používá několik opatření na ochranu osobních údajů a zabezpečení, aby zajistila spolehlivý přenos dat. Například:
- Minimalizace dat - shromažďování pouze údajů potřebných pro určitou funkci nebo hodnotu, a to v době, kdy jsou potřeba;
- Ochranné prvky při vývoji produktů - ochrana osobních údajů jako kontrolní položka každého prvku a funkce; a
- Konsolidace údajů totožnosti v minimálním počtu adresářů.
EBSCO navíc zavádí několik opatření pro zabezpečení informací. Například:
- Šifrování dat během přenosu i v klidovém stavu;
- Řízení přístupu na základě rolí: využití Single Sign-On (SSO) a skupin Active Directory k autorizaci konkrétních zaměstnanců pro přístup pouze k informacím potřebným k výkonu jejich práce;
- Vícefaktorová autentizace;
- Auditování přístupu k informacím; a
- Používání „špičkových“ technologií při uchovávání nebo přenosu dat.
EBSCO se zavazuje k ochraně a zabezpečení informací. Pečlivě dbáme na to, aby osobní údaje byly bezpečně uloženy, používány a přístupné pouze těm osobám, které jsou k tomu řádně autorizovány a proškoleny.
Zavádění bezpečnostních opatření
EBSCO se řídí nejlepšími postupy pro bezpečné nakládání s daty v rámci školení na pracovišti a udržuje certifikaci ISO a soulad s předpisy, aby zajistilo bezpečné prostředí pro data zákazníků a jejich zpracování. Tyto standardy zajišťují, že EBSCO je odpovědné za dodržování vysokých standardů bezpečnosti a ochrany osobních údajů. EBSCO také přijalo politiku minimálního přístupu (Least Privileged Access), podle níž by měl systém, podle doporučení CNSSI a NIST, „omezit přístupová oprávnění uživatelů (nebo procesů jednajících jejich jménem) na nezbytné minimum potřebné k vykonání přidělených úkolů.“
Politika minimálního přístupu („Least Privileged Access“) zajišťuje, že zaměstnanci EBSCO mají přístup pouze k informacím, které jsou nezbytné pro plnění jejich pracovních úkolů. Například:
- Backendové služby a datová úložiště;
- Správa produktů pro zákazníky;
- Finanční a osobní údaje, pokud jsou shromažďovány pro konkrétní funkce produktů nebo nákupy;
- Autentizace; a
- Personalizované funkce.
Co mohou uživatelé udělat?
Kromě ochranných opatření zavedených společnostmi hrají koncoví uživatelé významnou roli při zabezpečení svých vlastních dat. Odborníci, jako například Identity Defined Security Alliance, zdůrazňují důležitost používání důvěryhodných a autoritativních dat a nástrojů k posílení datové bezpečnosti. Otevřený vědecký článek publikovaný na MDPI zdůrazňuje, že uživatelé mohou aktivně spravovat svá data sledováním fází sběru, ukládání a využití dat v rámci jejich životního cyklu. To zahrnuje zavedení praktik monitorování dat k zabránění neoprávněnému použití a využívání nástrojů, které poskytují transparentnost a kontrolu nad tím, jak jsou osobní údaje zpracovávány napříč různými platformami. Čtení licenčních smluv a podmínek použití je také zásadní pro pochopení, jak je s osobními údaji nakládáno.
Několik významných nástrojů a praktik v této oblasti získává nyní pozornost. Například nástroj Apple’s App Tracking Transparency Tool je považován za cenný prostředek pro správu přístupu k datům na mobilních zařízeních. Dále je zde SOLID, iniciativa vedená Timem Berners-Leem, tvůrcem World Wide Webu, která umožňuje uživatelům ukládat a spravovat vlastní data a rozhodovat o tom, kdy a s kým je sdílejí. Odborníci rovněž zdůrazňují důležitost udržování dobré datové hygieny jako klíčového kroku k posílení osobní bezpečnosti. Tyto nástroje a opatření společně nabízejí uživatelům praktické možnosti ochrany jejich soukromí a doplňují bezpečnostní rámce zavedené společnostmi.
A co dál?
Organizace jako NIST, ISO, Artificial Intelligence Institute, UNESCO, IEEE, NATO a další začínají soustředit své úsilí na definování a implementaci doporučení, strategií, ochranných opatření, standardů a regulací pro odpovědné využívání umělé inteligence.
Můžete si rozšířit své znalosti zapojením se do pracovních skupin, advokačních organizací nebo místních petičních iniciativ. Dále zaměřením na odpovědné praktiky AI v oblasti bezpečnosti a ochrany dat v aplikacích a organizacích, které používáte každý den, mohou koncoví uživatelé získat hlubší porozumění těmto důležitým tématům.