Odpowiedzialność i AI: ochrona prywatności i bezpieczeństwo

Odpowiedzialność w sztucznej inteligencji (AI) obejmuje różne aspekty. W tej serii wpisów na naszym blogu omówimy sześć kluczowych zagadnień odnośnie AI w kontekście badań akademickich. Zapoznaj się z pełną listą zasad z korzystania AI, klikając tutaj.

AI ma znaczący wpływ na kwestie prywatności i bezpieczeństwa danych, działając na znacznie większą skalę niż wcześniejsze rozwiązania automatyzacyjne. Niestety, wiele raportów wskazuje, że AI ułatwia również działania złośliwych podmiotów, które wykorzystują luki w istniejących systemach, co zauważono w artykule kancelarii Ropes & Gray dla Bloomberg Law. Natomiast artykuł Virginia Tech zwraca uwagę, jak AI przyspiesza rozprzestrzeniania się dezinformacji. Z kolei Experian opisuje, w jaki sposób oszuści wykorzystują AI, by jeszcze skuteczniej wprowadzać ludzi w błąd.

Jednocześnie AI ma jednak zastosowanie w rozwiązywaniu tych problemów. Opracowywanie rozwiązań opartych na AI, wraz z istniejącymi regulacjami i standardami bezpieczeństwa, jest kluczowe w zapobieganiu naruszeniom i wyznaczaniu najlepszych praktyk. W miarę szybkiego rozwoju AI, posiadanie aktualnej wiedzy na temat standardów i aplikacji AI jest niezbędne podczas budowy i wdrażania narzędzi AI w przestrzeni badawczej.

W EBSCO korzystamy z definicji IAPP, która określa prywatność danych jako:

„użycie i zarządzanie danymi osobowymi — na przykład wdrażanie polityk zapewniających, że dane osobowe konsumentów są zbierane, udostępniane i wykorzystywane w odpowiedni sposób. Bezpieczeństwo koncentruje się bardziej na ochronie danych przed złośliwymi atakami i wykorzystywaniem skradzionych danych w celach zarobkowych. Chociaż bezpieczeństwo jest niezbędne do ochrony danych, nie jest wystarczające do zapewnienia prywatności.”

Kolejna definicja, którą stosujemy w EBSCO, pochodzi od Gartner, który definiuje prywatność danych jako:

„procesy i narzędzia służące ochronie wrażliwych zasobów informacyjnych, zarówno podczas ich wykorzystania, jak i w stanie spoczynku.”

Obie definicje podkreślają tematykę bezpiecznego korzystania z danych osobowych.

EBSCO stosuje różne środki w celu zapewnienia bezpieczeństwa danych. Przykłady obejmują:

• Minimalizm w zbieraniu danych - zbieranie wyłącznie tych danych, które są niezbędne dla określonej funkcji w momencie, gdy są potrzebne;
• Zasady projektowania produktów - uwzględnianie prywatności danych jako kluczowego punktu przy tworzeniu każdej funkcji i możliwości;
• Konsolidację danych tożsamości do minimalnej liczby katalogów.

Dodatkowo, EBSCO wdraża takie środki bezpieczeństwa informacji, jak:

• Dane szyfrowane w tranzycie i w spoczynku;
• Kontrola dostępu oparta na rolach: korzystanie z jednokrotnego logowania (Single Sign-On, SSO) oraz grup Active Directory w celu autoryzacji konkretnych pracowników do dostępu wyłącznie do informacji potrzebnych do wykonywania ich pracy;
• Uwierzytelnianie wieloskładnikowe;
• Rejestrowanie dostępu do informacji w logach audytowych; oraz
• Korzystanie z „najlepszych dostępnych technologii” w przypadku konieczności przechowywania lub przesyłania danych.

EBSCO zobowiązuje się do zapewnienia bezpieczeństwa informacji. Staramy się, aby dane osobowe były bezpiecznie przechowywane i wykorzystywane oraz dostępne jedynie dla niezbędnych osób, które są odpowiednio autoryzowane i przeszkolone w ich prawidłowej obsłudze.

EBSCO stosuje najlepsze praktyki w zakresie bezpiecznego przetwarzania danych w szkoleniach w miejscu pracy oraz utrzymuje certyfikację ISO i zgodność z normami, aby zapewnić bezpieczne środowisko dla danych klientów i ich przetwarzania. Te standardy gwarantują, że EBSCO przestrzega wysokich standardów bezpieczeństwa i ochrony prywatności danych.

EBSCO przyjęło także politykę dostępu o najmniejszych uprawnieniach (Least Privileged Access), zgodnie z którą – według CNSSI i NIST – „system powinien ograniczać przywileje dostępu użytkowników (lub procesów działających w ich imieniu) do minimum niezbędnego do wykonania przydzielonych zadań”.

Polityka dostępu o najmniejszych uprawnieniach gwarantuje, że pracownicy EBSCO mają dostęp tylko do tych informacji, które są niezbędne do realizacji ich obowiązków zawodowych. Oto przykłady:

• Usługi back-end i przechowywanie danych;
• Administracja produktami;
• Dane finansowe i osobowe, jeśli są zbierane w związku z funkcjami produktów lub zakupami;
• Uwierzytelnianie;
• Funkcje personalizowane.

Oprócz zabezpieczeń wdrożonych przez firmy, użytkownicy końcowi odgrywają znaczącą rolę w ochronie własnych danych. Eksperci, tacy jak Identity Defined Security Alliance, podkreślają znaczenie korzystania z zaufanych i autorytatywnych danych oraz narzędzi w celu zwiększenia bezpieczeństwa danych. Otwarty artykuł naukowy opublikowany w MDPI podkreśla, że użytkownicy mogą aktywnie zarządzać swoimi danymi, nadzorując fazy zbierania, przechowywania i wykorzystywania danych w cyklu ich życia. Obejmuje to stosowanie praktyk monitorowania danych, aby zapobiec nieautoryzowanemu wykorzystaniu, oraz korzystanie z narzędzi zapewniających przejrzystość i kontrolę nad przetwarzaniem danych osobowych na różnych platformach. Czytanie umów licencyjnych i warunków użytkowania jest również kluczowe dla zrozumienia, w jaki sposób przetwarzane są dane osobowe.

W tej dziedzinie zyskuje uwagę kilka godnych uwagi narzędzi i praktyk. Na przykład narzędzie Apple App Tracking Transparency Tool jest uznawane za cenne w zarządzaniu dostępem do danych na urządzeniach mobilnych. Dodatkowo SOLID, inicjatywa kierowana przez Tima Bernersa-Lee, wynalazcę World Wide Web, pozwala użytkownikom przechowywać i kontrolować własne dane, decydując, kiedy i z kim je udostępniać. Eksperci podkreślają również znaczenie utrzymania higieny danych jako kluczowego kroku w poprawie bezpieczeństwa osobistego. Wszystkie te działania oferują użytkownikom praktyczne sposoby ochrony prywatności, uzupełniając ramy bezpieczeństwa ustanowione przez firmy.

Organizacje takie jak NIST, ISO, Artificial Intelligence Institute, UNESCO, IEEE, NATO i inne zaczynają koncentrować wysiłki na definiowaniu i wdrażaniu wytycznych, strategii, środków ochronnych, standardów oraz regulacji dotyczących odpowiedzialnego korzystania ze sztucznej inteligencji. Możesz poszerzyć swoją wiedzę, angażując się w grupy robocze, grupy rzecznicze oraz lokalne inicjatywy. Ponadto skupienie się na odpowiedzialnych praktykach związanych z AI w zakresie bezpieczeństwa i prywatności danych w aplikacjach i organizacjach, z których korzystasz na co dzień, pomoże użytkownikom dowiedzieć się więcej o tych ważnych zagadnieniach.