AI Act nie poprawi cyberbezpieczeństwa?

AI Act to projekt regulacji dotyczącej sztucznej inteligencji, która we wszystkich państwach członkowskich UE wprowadzi jednolite prawo związane z tym obszarem. Celem jest stworzenie takich ram prawnych, aby rozwiązania bazujące na mechanizmach sztucznej inteligencji były godne zaufania i zgodne z wartościami oraz prawami obowiązującymi w UE. Co szczególnie istotne, rozporządzenie ma też chronić zdrowie oraz bezpieczeństwo obywateli. 

Projekt AI Act dzieli sposoby stosowania sztucznej inteligencji na trzy kategorie ryzyka: wysokie, ograniczone i minimalne. W każdej z nich nałożone są wymogi dotyczące jakości danych, przejrzystości działania, nadzoru przez człowieka oraz odpowiedzialności, które muszą spełniać dostawcy rozwiązań sztucznej inteligencji oraz użytkownicy. Rozporządzenie wskazuje też przypadki, w których używanie AI będzie niedopuszczalne. 

Kategoria wysokiego ryzyka obejmie rozwiązania sztucznej inteligencji, które mają znaczący wpływ na życie ludzkie lub podstawowe prawa człowieka. To m.in. systemy biometryczne, transport, ochrona zdrowia, edukacja czy rekrutacja. Kategoria ograniczonego ryzyka obejmuje te zastosowania AI, które mają mniejszy wpływ na ludzi, ale jednocześnie wymagają wprowadzenia zasad przejrzystości działania, np. chatboty, asystenty głosowe czy systemy udzielające rekomendacji. Kategoria minimalnego ryzyka obejmuje rozwiązania, które mają niewielki lub zerowy wpływ na ludzi i nie podlegają szczególnym wymaganiom, takie jak gry komputerowe, filtry stosowane do grafik i zdjęć czy interaktywne zabawki.

– AI Act to pierwsze kompleksowe prawo dotyczące sztucznej inteligencji i zdecydowanie krok w dobrym kierunku. Wyraźne wskazanie kategorii zastosowań AI i tych obszarów, w których sztuczna inteligencja nie może być używana, nałoży na firmy techniczne ramy prawne, do których będą musiały się stosować – mówi Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa, VP w firmie WithSecure. – Takie podejście pomoże powstrzymywać rozwijanie AI w obszarach, które mogą być szkodliwe dla poszczególnych użytkowników oraz całego społeczeństwa, ale jednocześnie kuszą możliwością uzyskania dużego i szybkiego przychodu. W czasach, gdy firmy nieustannie szukają nowych źródeł zysku, naiwne byłoby oczekiwanie, że będą same ograniczały się w sytuacji, gdy konkurencja na rynku jest coraz bardziej zacięta

AI Act prawdopodobnie zacznie obowiązywać w ciągu kilku najbliższych lat. Dokładna data jego wprowadzenia nie jest jeszcze znana, jednak może to nastąpić już pod koniec 2023 r. 

Niestety, nie należy oczekiwać, że po wprowadzeniu AI Act zmniejszy się liczba czy natężenie spersonalizowanych ataków phishingowych oraz innych kampanii wykorzystujących metody socjotechniczne. Grupy cyberprzestępcze coraz częściej stosują mechanizmy sztucznej inteligencji, ale jako że z definicji nie respektują żadnych przepisów ani praw, nie będą też w żaden sposób ograniczone przez nowe regulacje. Sztuczna inteligencja wciąż więc będzie służyła do tworzenia masowych kampanii phishingu czy dezinformacji. 

- Kluczowe będzie sformułowanie przepisów w zbalansowany sposób, a także elastyczne i innowacyjne podejście instytucji, które mają powstać do ich egzekucji. Regulacje nie powinny być zbyt ogólne, a jednocześnie powinny być przygotowane na to, czego jeszcze nie wiemy i nad czym dopiero pracują cyfrowe laboratoria 

dodaje Leszek Tasiemski.

Skomentuj artykuł: