Coś się dzieje z Twoim AI? Wyskakują dziwne komunikaty? Generowane wyniki podpowiadają Ci jak wykonać bombę atomową i namawiają na przejęcie kontroli nad światem?
Może to incydent. Ale czym właściwie jest ten incydent?
Otóż incydent nie jedno ma oblicze i zdecydowanie nie jedną definicję.
Zgodnie z ISO 27001 incydent to pojedyncze zdarzenie lub seria niepożądanych/niespodziewanych zdarzeń, stwarzająca wysokie prawdopodobieństwo zakłócenia działań biznesowych i zagrażająca bezpieczeństwu informacji. Czyli może to być np. atak hakerski i ktoś Ci właśnie kasuje lub wyprowadza gromadzone latami know -how. Lepiej dzwoń do swojego CISO.
Jak bardzo musisz się śpieszyć? Również od Twojej roli na gruncie różnych przepisów.
I tak oto na gruncie DORA (cyber biblia dla podmiotów finansowych i ich dostawców usług ICT) incydent związany z ICT” oznacza pojedyncze zdarzenie lub serię powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które naruszają bezpieczeństwo sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.
Jeśli zatem jesteś zatem podmiotem finansowym los powiedział właśnie sprawdzam Twoim procedurom zarządzania incydentami związanymi z ICT. Zgodnie z RTS wydanym na podstawie DORy odnośnie zgłaszania incydentów (takie konkretne wytyczne jak spełnić poszczególne obowiązki) podmiot finansowy ma co do zasady 4 godziny od sklasyfikowania incydentu związanego z ICT jako poważny na dokonanie zgłoszenia wstępnego do właściwego organu, w przypadku Polski – KNF.
Jeśli jesteś dostawcą usług ICT dla podmiotu finansowego zweryfikuj swój aneks DORA. Może się okazać, że masz aż 1 godzinę na poinformowanie swojego klienta o stwierdzeniu incydentu. A potem posypią się kary umowne za opóźnienie.
Jeśli nie brylujesz na rynku finansowym i DORA Cię nie dotyczy, to zastanów się, czy przypadkiem nie podlegasz pod dyrektywę NIS 2, która już za chwilę już za momencik zmieni rzeczywistość wielu przedsiębiorców z branż wymienionych w załączniku do niej dzięki nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Jeśli jesteś np. dostawcą chmury obliczeniowej (np. Saas) albo świadczysz na rzecz sowich klientów usługi poczty elektronicznej ten fragment jest dla Ciebie. Albo jeśli jesteś dla nich dostawcą produktów ICT, usług ICT lub procesów ICT- nowelizacja też nie pozostanie bez wpływu na Ciebie.
W KSC również znajduje się oczywiście definicja incydentu, zgodnie z którą incydent to zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informatycznych, patrz atak hakerski.
W przypadku poważnych incydentów będziesz mieć 24 godziny na zgłoszenie wczesnego ostrzeżenia do właściwego CESIRT sektorowego od momentu wykrycia incydentu oraz 72 godziny na zgłoszenie incydentu poważnego. Sprawne procedury zarządzania incydentami to absolutne must have. No i właściwe regulacje umowne z dostawcami produktów ICT, usług ICT lub procesów ICT, które umożliwią Ci realizację Twoich obowiązków.
Zwróć uwagę, że incydent w rozumieniu ISO może zagrozić bezpieczeństwu informacji, a incydent w rozumieniu DORY to zdarzenie, które narusza bezpieczeństwo sieci i systemów informatycznych i ma negatywny wpływ na określone atrybuty bezpieczeństwa. Czyli jedno słowo a różne znaczenia, a w rozumieniu NIS 2 – zdarzenie które ma lub może mieć niekorzystny wpływ na bezpieczeństwo. Jedno słowo – wiele znaczeń.
Jak już jesteśmy przy bezpieczeństwie informacji nie może zabraknąć RODO, chociaż ono w przeciwieństwie do poprzednich regulacji tyczy się wyłącznie danych osobowych. I tak nasz incydent może stanowić naruszenie ochrony danych osobowych rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczeją, utracenia, zmodyfikowania nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Naruszenie danych osobowych należy co do zasady zgłosić w terminie 72 godzin od stwierdzenia naruszenia do właściwego organu, w Polsce do PUODO.
Co ma nasze AI do tych wszystkich definicji? System AI jest systemem informatycznym, a zatem o czym pisałam powyżej może się go tyczyć.
Ale żeby było ciekawiej na gruncie AI ACT też pojawia się definicja incydentu tj. poważnego incydentu rozumianego jako incydent lub nieprawidłowe działanie systemu AI, które bezpośrednio lub pośrednio prowadzą do któregokolwiek z poniższych zdarzeń:
a) śmierci osoby lub poważnego uszczerbku na zdrowiu osoby;
b) poważnego i nieodwracalnego zakłócenia w zarządzaniu infrastrukturą krytyczną lub jej działaniu;
c) naruszenia obowiązków przewidzianych w prawie Unii, których celem jest ochrona praw podstawowych;
d) poważnej szkody na mieniu lub poważnej szkody dla środowiska;
Co ważne obowiązek zgłaszania poważnych incydentów Urzędowi ds. AI oraz właściwym organom będzie obciążać dostawców modeli AI z ryzykiem systemowym oraz dostawców systemów AI wysokiego ryzyka. Systemami AI wysokiego ryzyka będą np. systemy AI przeznaczone do wykorzystywania do celów rekrutacji lub wyboru osób fizycznych lub przeznaczone do wykorzystywania do celów podejmowania decyzji wpływających na warunki stosunków pracy.
A zatem zwykły system AI udzielający informacji o ofercie sklepu internetowego się na to nie załapie.
Nie wyklucza to oczywiście stworzenia wewnętrznego procesu obsługi incydentów związanych z systemami AI. Ostatecznie jak nagle system AI zacznie namawiać Twojego pracownika do siłowego rozwiązania konfliktu w pracy albo działań korupcyjnych to może mieć negatywny wpływ na Twoją firmę.
Dlatego ważne jest zawczasu przeanalizowane ryzyk związanych z AI, właściwe wdrożenie środków mitygujących ryzyko, w tym jakżeby inaczej obsługi incydentów
