Про що ви дізнаєтеся
Закон ЄС про штучний інтелект — це не лише правова база. Це виклик у сфері управління. Дізнайтеся, хто та до якого терміну повинен дотримуватися вимог, а також ознайомтеся з графіком та подальшими кроками.
Протягом останніх двох років багато компаній розглядали питання управління штучним інтелектом як суто адміністративну проблему. Скласти кілька правил, опублікувати внутрішній посібник з використання, попросити юридичний відділ перевірити кілька прикладів застосування. А потім — перейти до інших справ.
Такий підхід у Європі вже вичерпав себе.
Закон ЄС про штучний інтелект змінює підхід до обговорення, оскільки він не ставить питання про те, чи займається ваша компанія «штучним інтелектом» у якомусь широкому, абстрактному сенсі. Він ставить набагато практичніше питання: який саме штучний інтелект ви розробляєте, купуєте, інтегруєте або використовуєте, і який рівень ризику це створює?
Цей закон поширюється на державні та приватні організації як у межах ЄС, так і за його межами, якщо вони:
- випускають на ринок ЄС системи штучного інтелекту або моделі штучного інтелекту загального призначення;
- вводять системи штучного інтелекту в експлуатацію;
- використовують їх на території ЄС.
Тим, хто пережив це і, можливо, досі страждає від посттравматичного стресового розладу, це нагадує вимоги щодо місцезнаходження даних, передбачені GDPR. Закон ЄС про штучний інтелект розрізняє постачальників, операторів та розробників моделей штучного інтелекту загального призначення.
Навантаження, пов’язане із забезпеченням відповідності вимогам, розподілено по всьому ланцюжку створення вартості, а не зосереджено виключно на розробниках моделей
Це важливо, оскільки багато компаній, як і раніше, вважають, що регулювання ШІ в ЄС стосується переважно передових компаній, які займаються розробкою моделей. Це не так. Якщо ви використовуєте ШІ при наймі персоналу, взаємодії з клієнтами, прийнятті рішень, виявленні шахрайства, у фінансовій сфері, при генерації контенту або для внутрішньої автоматизації, ви вже перебуваєте в тій сфері, де управління має стати набагато більш суворо організованим. Нормативно-правова база ЄС за своїм задумом базується на оцінці ризиків. Деякі методи використання ШІ заборонені.
Складне завдання забезпечення відповідності вимогам щодо ШІ
Деякі системи класифікуються як такі, що становлять високий ризик. Деякі види використання передбачають обов’язки щодо забезпечення прозорості. Моделі ШІ загального призначення мають свої власні вимоги. Вплив на бізнес залежить від конкретного випадку використання, ролі вашої організації та доказів, які ви можете надати щодо того, як здійснюється управління системою.
Зараз настав час діяти.
Закон про штучний інтелект набрав чинності 1 серпня 2024 року. Заборони, визначення та положення щодо грамотності у сфері штучного інтелекту застосовуються з 2 лютого 2025 року. Правила щодо управління та зобов’язання стосовно моделей штучного інтелекту загального призначення почали застосовуватися 2 серпня 2025 року.
Більша частина загальних вимог набуває чинності з 2 серпня 2026 року, тоді як певні системи штучного інтелекту з високим рівнем ризику, вбудовані в продукти, що підлягають регулюванню, — з 2 серпня 2027 року.
Іншими словами, це не питання дотримання вимог «колись у майбутньому». Це актуальне оперативне питання.
З точки зору безпеки ідентичності, яку відстоює Delinea, це найважливіша зміна, яку слід усвідомити. Закон про штучний інтелект — це не просто правова база. Це виклик у сфері контролю.
Це може здатися очевидним, але багато організацій досі підходять до питання дотримання вимог щодо штучного інтелекту так, ніби все зводиться переважно до документації: політик, розкриття інформації, карт моделей, юридичних експертиз, анкет для закупівель. Ці речі мають значення. Але самих лише їх недостатньо.
У міру того, як штучний інтелект все глибше інтегрується в бізнес-процеси, а особливо — набуває все більшої самостійності, найскладнішим питанням вже не є: «Чи маємо ми відповідну політику?» А «Чи можемо ми насправді бачити, що робить цей ШІ, до чого він має доступ, під якою ідентичністю він діє, якими політиками керується, які записи ми матимемо згодом, і чи можемо ми пов’язати агента або модель ШІ з його людським власником?» Внутрішня площина контролю безпеки ідентичностей Delinea побудована саме навколо цього прогресу: видимості, стану та контролю над людськими, нелюдськими та ШІ-ідентичностями.
Прозорість — це перший крок до забезпечення безпеки штучного інтелекту
Таке бачення ситуації відповідає поточній ситуації в ЄС. Організації, яким доведеться найважче, — це не обов’язково ті, що мають найамбітніші програми у сфері штучного інтелекту. Це ті організації, які не забезпечують належної прозорості.
Штучний інтелект уже застосовується у вбудованих функціях SaaS, копілотах, внутрішніх помічниках, робочих процесах розробників, контенті для клієнтів та сторонніх інструментах, які хтось увімкнув півроку тому й майже не задокументував. Якщо ви не можете скласти перелік цих випадків використання, ви не зможете їх належним чином класифікувати. Якщо ви не можете їх класифікувати, ви не зможете визначити, які з них створюють зобов’язання з високим рівнем ризику, які — зумовлюють застосування правил прозорості, а які — породжують відповідальність перед кінцевими користувачами, яку ви несете навіть у тому випадку, якщо модель надана постачальником.
У Законі про штучний інтелект чітко зазначено, що важливу роль відіграють не лише постачальники, а й ті, хто використовує ці технології.
Саме повсякденна ШІ може вас підвести
Повсякденна ШІ — це одна з причин, чому питання прозорості заслуговує на більшу увагу керівництва, ніж отримує зараз. Згідно із Законом про ШІ, постачальники та оператори певних інтерактивних або генеративних систем ШІ зобов’язані повідомляти користувачів про те, що вони взаємодіють із ШІ, забезпечувати можливість виявлення певних генерованих результатів, а також розкривати інформацію про контент у стилі «діпфейк», який було створено або змінено за допомогою ШІ.
Для багатьох компаній це позначиться швидше і масштабніше, ніж на тих, хто потрапляє в категорію високого ризику, про яку так багато пишуть у ЗМІ. Боти для обслуговування клієнтів, медіаконтент, створений за допомогою штучного інтелекту, контент для широкої аудиторії та автоматизовані комунікації — все це набагато тісніше пов’язане з повсякденною діяльністю компаній, ніж уявляють собі багато керівників.
Але зверніть увагу на ШІ з високим рівнем ризику
Саме у випадку ШІ з високим рівнем ризику вимоги щодо дотримання нормативних вимог стають більш суворими. ЄС визначає як такі, що мають високий рівень ризику, певні сфери застосування, зокрема у сферах зайнятості, освіти, правоохоронної діяльності, міграції та доступу до основних послуг, а також деякі системи ШІ, вбудовані в продукти, що підлягають регулюванню.
Постачальники таких систем повинні пройти процедури оцінки відповідності та підтвердити дотримання вимог щодо управління ризиками, якості даних, документації та простежуваності, прозорості, людського нагляду, точності, кібербезпеки та надійності. Організації, що впроваджують ці системи, також мають свої зобов’язання, зокрема щодо використання систем відповідно до інструкцій, моніторингу їхньої роботи, забезпечення людського нагляду та, в деяких випадках, забезпечення права на пояснення для осіб, яких це стосується.
Це стає ще важливішим у міру того, як підприємства переходять від використання штучного інтелекту як допоміжного засобу до його активного застосування. У моделі Delinea MCP агенти штучного інтелекту використовують існуючі механізми автентифікації, працюють на основі тимчасових токенів доступу та генерують журнали з даними про ідентифікацію та контекст, завдяки чому дії залишаються відстежуваними та піддаються аудиту. Запити можна перевіряти, застосовувати відповідні політики та контролювати відповіді, щоб зменшити ризик ненавмисного розкриття інформації. Саме такої операційної дисципліни підприємствам знадобиться більше, а не менше, з посиленням регуляторного контролю.
Справжня проблема полягає не в тому, чи можна теоретично регулювати штучний інтелект. А в тому, чи здатні підприємства регулювати його на практиці
Саме в цьому підхід Delinea відрізняється від звичайного контрольного списку з дотримання вимог.
- Чи можуть вони бачити всі відповідні ідентичності, включаючи агентів ШІ та нелюдські об’єкти?
- Чи можуть вони зрозуміти, який доступ існує сьогодні і до чого може бути надано доступ у майбутньому?
- Чи можуть вони обмежити надмірні привілеї доступу, перш ніж це перетвориться на проблему з точки зору дотримання нормативних вимог та безпеки?
- Чи можуть вони довести, що саме відбувалося під час дії, виконаної за допомогою ШІ або ініційованої ШІ?
Усередині компанії Delinea вже розглядає це як готовність на рівні керівництва: прозорість щодо ідентифікаційних даних людей, машин та штучного інтелекту; помітне зменшення кількості облікових записів із надмірними правами; а також достатній рівень впевненості для прискорення реалізації ініціатив у сфері штучного інтелекту без втрати контролю над ризиками, пов’язаними з доступом.
А тепер перейдемо до найстрашнішої частини — FUD
Саме з такої бізнес-точки зору керівникам слід розглядати Закон ЄС про штучний інтелект. Мова йде не лише про уникнення штрафів, хоча розміри штрафних санкцій і є значними. Регламент встановлює межі до 35 млн євро або 7% від світового річного обороту за певні порушення, до 15 млн євро або 3% за інші випадки недотримання вимог та до 7,5 млн євро або 1,5% за надання неправдивої або оманливої інформації.
Комісія також може накладати штрафи на розробників універсальних моделей ШІ за невиконання покладених на них зобов’язань. Однак для більшості організацій головна проблема має операційний характер: чи зможуть вони продовжувати впроваджувати ШІ, не створюючи при цьому «сліпих зон», які згодом не зможуть пояснити.
Тож що ж тепер слід робити підприємствам?
Іноді найважливішим є саме перший крок
Почніть із забезпечення прозорості. Створіть реальний перелік випадків використання ШІ в компанії, включаючи сторонні інструменти та вбудовані функції. Потім класифікуйте ці об’єкти за роллю, географічним розташуванням, впливом на бізнес та ймовірною категорією регулювання. Далі зосередьтеся на оцінці стану: де знаходяться найризикованіші об’єкти ШІ та як оцінити пов’язані з ними ризики. Після цього зосередьтеся на заходах контролю: хто має доступ до чого, які політики застосовуються, які дані використовуються, що реєструється в журналах та як обробляються винятки.
Закон ЄС про штучний інтелект підштовхує підприємства до світу, де документація, звісно, залишається важливою, але ще більшого значення набуває підтвердження контрольованого функціонування.
У цьому полягає головний урок. Регулювання ЄС у сфері штучного інтелекту не просто підвищує вимоги до дотримання норм. Воно підвищує вимоги до контролю.
А в умовах, коли штучний інтелект дедалі частіше не просто відповідає на запити, а й самостійно діє, безпека ідентифікації стає центральним елементом управління штучним інтелектом. На думку компанії Delinea, саме в цьому напрямку ринок розвивається найшвидше: до моделі, в якій інновації у сфері штучного інтелекту, управління доступом та авторизація під час виконання повинні діяти злагоджено. Компанії, які вчасно це усвідомлять, опиняться в набагато вигіднішому становищі, ніж ті, що й досі розглядають дотримання вимог щодо штучного інтелекту як суто бюрократичну процедуру.
Джерело: EU and AI: What you need to know about AI regulations
