人工智慧(AI)正迅速在商業系統和IT生態系統中普及,採用和發展的速度超過了任何人的預期。如今,似乎無論我們轉向何處,軟件工程師都在構建定制模型,並將AI整合到他們的產品中,而商業領導者則在其工作環境中納入AI驅動的解決方案。
然而,對於如何最佳實施AI的不確定性使一些公司無法採取行動。波士頓諮詢集團最新的數位加速指數(DAI)顯示,在2700位高管的全球調查中,只有28%表示他們的組織已完全準備好迎接新的AI法規。
他們的不確定性因為AI法規的迅速出現而加劇:歐盟的AI法案正在推進;阿根廷發布了AI計劃草案;加拿大有AI和數據法;中國已經制定了一系列AI法規;七國集團國家啟動了“廣島AI進程”。指南層出不窮,經濟合作與發展組織(OECD)正在制定AI原則,聯合國提議成立新的AI諮詢機構,而拜登政府則發布了AI權利法案的藍圖(儘管在特朗普第二任期中這可能會迅速改變)。
立法也正在美國各州逐漸出現,並在許多行業框架中顯現。截至目前,21個州已制定法律以某種方式規範AI使用,包括科羅拉多州的AI法案和加州的CCPA條款,另外14個州則有法案等待批准。
與此同時,AI法規辯論的雙方都有強烈的聲音。SolarWinds的一項新調查顯示,88%的IT專業人員支持更嚴格的法規,而另一項研究顯示,91%的英國民眾希望政府能更多地追究企業對其AI系統的責任。另一方面,50多家科技公司的領導者最近發表公開信,呼籲緊急改革歐盟嚴格的AI法規,認為這些法規扼殺了創新。
對於商業領導者和軟件開發人員來說,這無疑是一個棘手的時期,監管者急於跟上技術的步伐。當然,您希望利用AI所提供的好處,但您可以以符合即將到來的監管要求的方式來做到這一點,並且在競爭對手快速推進的同時,不要不必要地限制您的AI使用。
我們沒有水晶球,因此無法預測未來。但我們可以分享一些最佳實踐,以建立系統和程序,為AI的監管合規性打下基礎。
繪製您更大生態系統中的AI使用情況
您無法管理團隊的AI使用情況,除非您知道它的存在,但這本身就可能是一個重大挑戰。影子IT已經成為網絡安全團隊的禍根:員工在未經IT部門知情的情況下註冊SaaS工具,導致未知數量的解決方案和平台可以訪問業務數據和/或系統。
現在,安全團隊還必須應對影子AI。許多應用程序、聊天機器人和其他工具都包含AI、機器學習(ML)或自然語言處理(NLP),而這些解決方案未必顯而易見。當員工在未經正式批准的情況下登錄這些解決方案時,他們在您不知情的情況下將AI引入到您的系統中。
正如Opice Blum的數據隱私專家Henrique Fabretti Moraes所解釋的那樣,“繪製正在使用的工具或計劃使用的工具的地圖對於理解和微調可接受使用政策以及潛在的減輕措施至關重要,以降低其使用所涉及的風險。”
一些法規要求您對供應商的AI使用負責。為了全面控制局面,您需要繪製您的環境以及合作夥伴組織環境中的所有AI。在這方面,使用像Harmonic這樣的工具可以幫助檢測整個供應鏈中的AI使用。
驗證數據治理
數據隱私和安全是所有AI法規的核心關注點,無論是已經實施的還是即將獲得批准的。
您的AI使用已經需要遵守現有的隱私法律,如GDPR和CCPR,這要求您知道您的AI可以訪問哪些數據以及它如何處理這些數據,並且您需要展示保護AI使用數據的防護措施。
為了確保合規,您需要在組織中實施健全的數據治理規則,由確定的團隊管理,並定期進行審計。您的政策應包括盡職調查,以評估所有工具的數據安全性和來源,包括那些使用AI的工具,以識別潛在的偏見和隱私風險。
“組織有責任通過加強數據衛生、強化AI倫理並組建合適的團隊來主導這些努力,採取主動措施,”SolarWinds全球解決方案工程副總裁Rob Johnson說。“這種主動立場不僅有助於遵守不斷發展的法規,還能最大限度地發揮AI的潛力。”
為您的AI系統建立持續監控
有效的監控對於管理業務的任何領域至關重要。當涉及到AI時,與網絡安全的其他領域一樣,您需要持續監控,以確保您知道您的AI工具在做什麼、它們的行為如何以及它們訪問了哪些數據。您還需要定期對它們進行審計,以跟上您組織中AI的使用情況。
“使用AI來監控和調節其他AI系統的想法是確保這些系統既有效又合乎道德的一項重要發展,”軟件開發公司Zibtek的創始人Cache Merrill說。“目前,預測其他模型行為的機器學習模型(元模型)等技術被用來監控AI。這些系統分析操作性AI的模式和輸出,以檢測異常、偏見或潛在故障,防止其成為關鍵問題。”
網絡GRC自動化平台Cypago允許您在後台運行持續的監控和合規審計證據收集。無代碼自動化使您能夠在不需要技術專業知識的情況下設置自定義工作流功能,因此根據您設置的控制和閾值,警報和減輕措施會立即觸發。
Cypago可以與您的各種數字平台連接,幾乎與任何監管框架同步,並將所有相關控制轉化為自動化工作流。設置完您的集成和監管框架後,在平台上創建自定義工作流就像上傳電子表格一樣簡單。
使用風險評估作為指導方針
了解哪些AI工具是高風險、中風險和低風險的,對於遵守外部法規、內部業務風險管理和改進軟件開發工作流至關重要。高風險的使用案例需要在部署之前進行更多的保障和評估。
“雖然AI風險管理可以在項目開發的任何階段開始,”來自Holistic AI的AI政策專家Ayesha Gulley表示。“及早實施風險管理框架可以幫助企業提高信任並自信地擴展。”
當您知道不同AI解決方案所帶來的風險時,您可以選擇授予它們訪問數據和關鍵業務系統的程度。
就法規而言,歐盟AI法案已經區分了不同風險級別的AI系統,而NIST建議根據可信度、社會影響和人類與系統的互動來評估AI工具。
主動制定AI倫理治理
您不必等待AI法規的出台來建立倫理AI政策。分配倫理AI考量的責任,組建團隊,並制定包括網絡安全、模型驗證、透明度、數據隱私和事故報告的倫理AI使用政策。
許多現有框架,如NIST的AI RMF和ISO/IEC 42001,建議您可以納入政策的AI最佳實踐。
“對AI的監管既是必要的,也是不可避免的,以確保道德和負責任的使用。雖然這可能會引入複雜性,但不必妨礙創新,”Cypago的首席執行官兼聯合創始人Arik Solomon說。“通過將合規性融入其內部框架並制定符合監管原則的政策和流程,受監管行業的公司可以繼續有效增長和創新。”
能夠展示主動採取倫理AI措施的公司將在合規性方面更具優勢。AI法規旨在確保透明度和數據隱私,因此如果您的目標與這些原則一致,您更有可能制定符合未來法規的政策。FairNow平台可以幫助您進行這一過程,提供在單一位置管理AI治理、偏見檢查和風險評估的工具。
不要讓對AI法規的恐懼阻止您前進
AI法規仍在演變和出現,為企業和開發者創造了不確定性。但不要讓這種流動的情況阻止您從AI中獲益。通過主動實施與數據隱私、透明度和倫理使用原則一致的政策、工作流和工具,您可以為AI法規做好準備,並利用AI驅動的可能性。
