Dirbtinio intelekto reguliavimas – kodėl verslui svarbu atlikti DI auditą jau dabar?

Autorius: Tomas Staniulis, DI konsultantas

2022–2025 m. puikiai pažinome dirbtinio intelekto (DI) „magiją“. Sirenų dainos apie begalinį efektyvumą, automatizuotus sprendimus ir mažėjančias sąnaudas pasiekė kone kiekvieną. Nepaisant to, esminio lūžio faktą mes vis dar vengiame pripažinti: džinas iš butelio jau išleistas, o jo suvaldymas – mūsų pačių atsakomybė.

Pastarųjų metų DI nesėkmės aiškiai rodo, kad egzistuoja rizikų, kurių iki šiol neįvertinome, o technologijų raida –  pagrindinis jų katalizatorius.

Pamokos skaudžios: DI atneša ne tik naudą, bet ir realių finansinių, teisinių bei reputacinių nuostolių.

Tad apžvelkime kelis atvejus, su kuriais šiandien gali susidurti bet kuris iš mūsų.

Iliuzijos kaina: 25 mln. dolerių už vieną vaizdo skambutį

2024 m. vasarį Honkongo finansų sektorių sukrėtė beperecedentis įvykis. Tarptautinės įmonės „Arup“ finansų skyriaus darbuotojas el. paštu gavo nurodymą atlikti 25 mln. eurų vertės pavedimus į 5 skirtingas sąskaitas.

Nors iš pradžių jis įtarė sukčiavimą („phishing“), abejonės buvo išsklaidyto vaizdo konferencijos metu. Ekrane jis matė savo įmonės finansų direktorių ir kitus valdybos narius, girdėjo jų balsus, stebėjo įprastą kūno kalbą. Viskas atrodė tikra.

Pavedimas buvo atliktas. Vėliau paaiškėjo kraupi tiesa: tik vienas vaizdo skambučio dalyvis buvo tikras. Visi kiti – vadovai ir kolegos – buvo realiu laiku veikiančios „deepfake“ klastotės. Žala įmonei – 25 mln. JAV dolerių.

Pamoka verslui: DI politika verslui yra saugumo garantas, čia mes galime aiškiai apibrėžti  technologijas ir rizikas, su kuriomis gali susidurti verslas.

Kontrolės ribos: „Amazon“ ir darbuotojų stebėjimas

2024 m. sausį bendrovės „Amazon“ logistikos padaliniui Prancūzijoje buvo skirta 32 mln. eurų bauda. Tyrimo metu išaiškėjo, kad „Amazon“ sandėliuose buvo naudojama išmani darbuotojų stebėjimo sistema, kuri fiksavo žmonių veiklą sekundžių tikslumu. Algoritmai vertino darbo tempą, žymėjo klaidas, skaičiavo „neveiklumo“ laiką ir generavo automatinius našumo rodiklius. Prancūzijos duomenų apsaugos institucija nustatė, kad toks stebėjimas buvo neproporcingas ir pažeidė duomenų apsaugos principus.

Pamoka verslui: DI įrankiai gali padėti valdyti darbą, bet jie negali tapti kontrolės, visuotinio stebėjimo ir žmonių valdymo įrankiu.

„Šešėlinis blokavimas“: smūgis lietuvių startuoliui „Vinted“

Lietuvos vardą pasaulyje garsinantis vienaragis „Vinted“ 2024 m. liepą sulaukė Valstybinės duomenų apsaugos inspekcijos (VDAI) sprendimo ir buvo nubaustas rekordine 2,38 mln. eurų bauda. Viena iš priežasčių – vadinamasis „šešėlinis blokavimas“, kai vartotojo veiksmai tapdavo nematomi kitiems, jam pačiam to nežinant.

Skundus tyrė kelių Europos šalių institucijos, tai buvo įvertinta kaip sąžiningumo ir skaidrumo principų pažeidimas.

Pamoka verslui: jei DI ar algoritmas riboja žmogaus teises ar prieigas, privaloma aiškiai paaiškinti sprendimo priežastį – be išimčių.

Duomenų siurbliai: „Whitebridge“ ir viešumo kaina

2025 m. rugsėjį Vilniuje registruota bendrovė „Whitebridge AI“ pateko į tarptautinį akiratį, kai privatumo teisių organizacija NOYB (įsikūrusi Vienoje) pateikė skundą dėl įmonės veiklos. Skundo esmė – įmonė naudojo automatizuotą duomenų rinkimą ir masiškai rinko socialiniuose tinkluose skelbiamas vartotojų nuotraukas bei informaciją, kurdama detalius asmeninius dosjė. Įmonė teisinosi, kad duomenys buvo vieši, tačiau reguliuotojų pozicija griežta: viešas prieinamumas nereiškia sutikimo komerciniam profiliavimui ar DI modelių treniravimui. Ši istorija kol kas dar nesibaigė, reikia laukti galutinių sprendimų. 

Pamoka verslui: Naudoti abejotinos kilmės duomenis savo DI sprendimams yra tas pats, kas statyti namą iš smėlio – anksčiau ar vėliau reguliuotojas gali viską nugriauti.

Nuo eksperimentų prie valdysenos

Visos šios istorijos siunčia vieningą žinią – DI nebėra tik technologinis įrankis – tai strateginis aktyvas, reikalaujantis griežtos valdysenos.  Galima toliau improvizuoti ir tikėtis, kad „niekas nepastebės“, arba investuoti į DI politiką, kuri apibrėžtų aiškias ribas, atsakomybes ir procesus.

Ką daryti? Nelaukite baudos ar incidento. Pradėkite nuo paprasto žingsnio: atlikite savo organizacijos DI ir duomenų auditą.

Ir, žinoma, pasitelkite tam DI. Žingsnis po žingsnio:

1. Surinkite organizacijos kontekstą. Promptas: „Rolė: analitikas. Užduotis: surink viešai prieinamą informaciją apie organizaciją [Pavadinimas] ir aprašyk, kokius duomenis ji tikėtina valdo ir kur gali būti naudojamas dirbtinis intelektas. Rezultatas: trumpa santrauka ir galimų rizikų sąrašas.“
2. Atlikite DI ir duomenų inventorizaciją. Promptas: „Rolė: vidaus auditorius. Užduotis: sudaryk organizacijos dirbtinio intelekto naudojimo ir su tuo susijusių duomenų žemėlapį (procesai, įrankiai, duomenų tipai, prieigos). Rezultatas: lentelė su nustatytomis rizikomis ir jų prioritetais.“
3. Įvertinkite IT saugumo rizikas. Promptas: „Rolė: IT saugumo specialistas.
   Užduotis: įvertink DI ir duomenų auditą [įkelti] ir nustatyk pagrindines technines bei organizacines saugumo spragas. Rezultatas: kritinių spragų sąrašas ir siūlomi greiti pataisymai.“

Autorius: Tomas Staniulis, DI konsultantas

© Bet koks šio straipsnio kopijavimas, platinimas ar republikavimas be rašytinio autoriaus sutikimo yra draudžiamas.