Miten hallita tekoälyn käytön tietoturvariskejä?
Tekoäly tarjoaa yrityksille mahdollisuuksia luoda täysin uudenlaisia ratkaisuja ja liiketoimintaa. Sen käyttöönottoon sisältyy kuitenkin myös riskejä, jotka on hyvä huomioida alusta alkaen. Näiden arvioinnissa auttaa Traficomin Kyberturvallisuuskeskuksen Huoltovarmuuskeskuksen tilauksesta luoma tekoälyn käytön riskien itsearviointityökalu.
Yritykset käyvät kilpajuoksua siinä, miten ne alkavat hyödyntää tekoälyä ja siihen liittyvää koneoppimista omassa liiketoiminnassaan. Tekoälyn avulla voi niin tehostaa ja automatisoida nykyistä liiketoimintaa kuin luoda aivan uudenlaisia liiketoimintaa.
“Tekoälyn ja koneoppimisen hyödyntämisessä on tärkeä tunnistaa niihin liittyvät tietoturvariskit jo suunnitteluvaiheessa, jotta riskit voi minimoida ja niihin voi varautua”, sanoo erityisasiantuntija Markus Mettälä Traficomista.
Tekoälyyn ja koneoppimiseen liittyvien tietojärjestelmien riskien tunnistaminen ja hallitseminen on tärkeää, jotta yritykset pystyvät hyödyntämään tekoälyjärjestelmiä mahdollisimman turvallisesti ja laajasti. Samalla yhteiskunnan pyörät pysyvät pyörimässä, sillä olemme monessa asiassa riippuvaisia digitaalisista sovelluksista − tulevaisuudessa myös tekoälyyn perustuvista.
“Tärkeintä yrityksissä on miettiä, mihin käyttötarkoitukseen tekoälyä ja koneoppimista hyödynnetään, ja tutkia, mitä siihen sopivia ratkaisuja on tarjolla. Sen jälkeen suunnitellaan, mihin tekniseen ympäristöön tekoälyjärjestelmä implementoidaan ja millainen sen IT-arkkitehtuuri on. Tähän kokonaisuuteen tulee sitten peilata erilaisia tietoturvariskejä ja niiltä suojautumista”, Mettälä kertoo.
Usein jo perinteinen hyvin toteutettu tietoturva riittää kattamaan suurimman osan tekoälyjärjestelmiä koskevista tietoturvauhkista.
“Tekoälyjärjestelmät lisäävät tietoturvariskiä perinteisiin tietojärjestelmiin verrattuna siinä, että ne ovat monimutkaisempia ja niiden hyökkäyspinta on laajempi”, muistuttaa tietoturva-asiantuntija Aleksi Blomqvist Traficomin Kyberturvallisuuskeskuksesta.
Tekoäly vaatii uudenlaista tietoturvanäkemystä
Tekoälyyn ja koneoppimiseen pohjautuvat järjestelmät eroavat perinteisistä tietojärjestelmistä siinä, että tekoäly oppii opetusdatasta. Tämä tuo mukanaan käytettävän opetusdatan ja tekoälymallin luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä erityisiä tietoturvariskejä, joita on kuvattu oheisessa kaaviossa.
Tekoälyn opettamiseen ja niiden opetusdataan tehdyt investoinnit saattavat tehdä koneoppimismallista itsessään liiketoiminnallisesti arvokkaan. Hyvin opetettu ja toimiva malli saattaa myös olla kilpailuetu, joten niin itse malli kuin opetusdatakin saattavat kiinnostaa kyberrikollisia.
Tekoälyjärjestelmien tietoturvariskejä ehkäistään pääosin samoin kuin perinteisten tietojärjestelmien riskejä. Koneoppivat tekoälyjärjestelmät vaativat kuitenkin uudenlaisia tietoturvan lähestymistapoja. Tällaisia ovat muun muassa arkkitehtuuriset tietoturvakontrollit, jotka liittyvät ennen kaikkea mallien sijaintiin järjestelmässä ja niiden syötteiden kontrollointiin. Koneoppimismalleihin liittyvät tietoturvakontrollit taas liittyvät siihen, miten mallia opetetaan ja miten opetusdataa käsitellään ennen opetusta.
“Yritykset voivat minimoida riskejä, jos generatiivista tekoälyn kielimallia opetetaan yrityksen omalla datalla ja jos koneoppimismallin kehittämisessä ollaan mahdollisimman paljon mukana. Silloin yritys pystyy varmistamaan tietosuojan ja tietoturvan paremmin. Mitä enemmän tekoälysovellusten kehittäminen on yrityksen omissa käsissä, sitä turvallisemmaksi se on mahdollista tehdä, mutta se vaatii tietenkin osaamista”, Markus Mettälä pohtii.
Tekoälyn käytön riskien itsearviointityökalu
Kyberturvallisuuskeskus on luonut tekoälyn hyödyntämistä suunnittelevien yritysten käyttöön tietoturvariskien itsearviointityökalun. Arviointityökalu koostuu sarjasta kysymyksiä ja niitä vastaavista mahdollisista huomioista, jotka ohjaavat käyttäjää oikeaan suuntaan riskien tunnistamisen ja hallinnan osalta.
“Tekoälyn käytön riskien itsearviointityökalu on kehitetty huoltovarmuuskriittisille organisaatioille ja yrityksille, mutta sitä voi suositella ihan jokaiselle yritykselle. Itsearviointityökalun kautta pystyy käymään läpi suuren osan riskeistä”.
Itsearviointityökalu nostaa ensin esille yleisempiä riskejä ja vasta sitten teknisempiä kysymyksiä. Näin jonkin yksittäisen teknisen riskin ilmetessä on helpompi sanoa, onko sillä järjestelmälle mitään merkitystä.
Tekoälyn käytön riskien itsearviointityökalu löytyy Kyberturvallisuuskeskuksen raportista “Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta” sivuilta 30–35.
Kolme näkökulmaa tekoälyn kyberturvallisuuteen
Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelman tarkoituksena on kehittää yhteiskunnan sietokykyä kyberhäiriöitä vastaan. Osana ohjelmaa Huoltovarmuuskeskus on yhdessä Traficomin Kyberturvallisuuskeskuksen kanssa laatinut sarjan selvityksiä tekoälyn kyberturvallisuudesta erityisesti huoltovarmuuskriittisten yritysten hyödynnettäväksi:
-
- Raportti 1: Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta. Linkki raporttiin.
-
- Raportti 2: Tekoälyn mahdollistamat kyberhyökkäykset. Linkki raporttiin.
-
- Raportti 3: Tekoälyn käyttö kyberturvaratkaisuissa. Julkaistaan maaliskuussa 2024.
Jatkossakin Huoltovarmuuskeskus tekee yhteistyötä sekä Kyberturvallisuuskeskuksen että muiden kumppanien kanssa tekoälyn ja muiden nousevien teknologioiden kyberturvallisuuteen liittyvän tiedon tuottamisessa ja jakamisessa huoltovarmuuskriittisille yrityksille ja organisaatioille.
Teksti: Matti Lintulahti / Kuva: Colourbox
Lue myös: Kyberhyökkääjät käyttävät tekoälyä – mitä suojautuminen vaatii?
