Mentionsy

Żadnego AI, nie wiem, oni się boją, nie potrafią tego zanalizować.

No bo prawda jest taka, że w tych projektach chodzi o to, żeby dobrze zarządzać ryzykiem tego AI.

Rozporządzenia w sprawie sztucznej inteligencji, czyli AI Actu, jest coś takiego jak artykuł 4.

AI Literacy.

I ono wyraźnie jakby wskazuje, że jeżeli bawimy się w AI, jakkolwiek to nie zabrzmi, no to musimy oczywiście zapewnić odpowiednią wiedzę, doświadczenie, kompetencje, jakby adekwatne do tego, czym się zajmujemy.

Jest spora część takich organizacji, które mówi, no my robimy AI.

A jak zaczynasz dopytywać, a co to za AI, no to jest Copilot na przykład.

Więc teraz to pytanie, czy to jest rzeczywiście pójście o krok dalej i rzeczywiście wykorzystywanie AI do budowania swojej przewagi?

Ja wychodzę z założenia, że żeby wejść tak porządnie w AI,

A nie kolejnego asystenta na przykład AI, no to trzeba zbudować sobie coś, co ja określam tym mianem AI governance.

Okej, to o tym powiemy, o całym AI governance, żeby wiesz, to są takie z mojej perspektywy tory, myślę, że będziemy mieli osobny kawałek o tym, bo tak dotknąłeś, że wiesz, są pewne przeświadczenia, takie mity, a mamy co-pilota, to mamy AI.

Jakie są twoim zdaniem takie, nie wiem, trzy najczęstsze mity związane z prawem i z AI?

AI Act to nas zniszczy, jakby...

Ale jeżeli spojrzymy na to z perspektywy globalnej, że chcemy tworzyć coś takiego jak Trustworthy AI, Responsible AI, ale nie na papierze, tylko w praktyce, no to my jesteśmy w tej czołówce.

Drugi, no to jest to, że AI Act reguluje wszystko związane ze sztuczną inteligencją.

Natomiast w przypadku AI, jak to tak, nie jest, ponieważ to jest pewien wąski wycinek tych takich najbardziej ryzykownych rozwiązań.

Natomiast, tak jak mówię, no to są takie, nie chcę mówić, że edge cases, no bo to też nie jest do końca, bo są takie pewne obszary, które są dość powszechne i są regulowane tym AI-aktem, ale jednak mówimy o pewnej wąskiej dziedzinie.

Problemem, który tutaj jest, bo to też nie można być nieobiektywnym, to jest to, że AI-akt nakłada na nas de facto konieczność robienia czegoś takiego jak compliance ops.

Tak jak mamy DevOpsa, tak jak mamy tam DevSecOpsa, tak mamy obowiązek w tym momencie monitorowania tego, co my mamy w organizacji pod kątem tego, czy to przypadkiem nie wpada w AI-akt.

Czy może szerzej, wykorzystania AI i danych osobowych.

Tylko mówię ogólnie o AI, no to to też nie jest taka, powiedziałbym, duża większość, tak?

Mamy przeświadczenie, że AI Act dotyczy wszystkich.

Mamy przeświadczenie, że AI Act zatrzyma rozwinięcie.

Wiesz, jest AI Act, jest omnibus, jest mnóstwo ustaw, które się pojawiają i myślenie z perspektywy ustawy, jak to nam nie wpłynie, jest trudne, bo to jest takie pofragmentowane.

No ale to wiesz, mamy te takie firmy, duże firmy AI mówią, że no one mają wyższą potrzebę.

Robiłem takiego shorta trzymaja, czyli trzy minuty o AI, o tym, jak odzyskuje się książki z dużych modeli językowych i okazuje się, że w przypadku niektórych dużo się da tego odzyskać.

Czy to AI podejmuje decyzje, które wpływają na ludzie?

No bo AI jest już wykorzystywane w HR-owych procesach.

Ja myślę, że fajnym takim punktem wyjścia jest w ogóle to, co zostało wskazane w załączniku trzecim do AI Acto, gdzie mamy tam katalog systemów wysokiego ryzyka.

Zostawmy to gdzieś tam na boku, ale rzeczywiście AI ma bardzo duży potencjał, ale też wiąże się z bardzo dużymi ryzykami w obszarze tego szeroko rozumianego zatrudnienia.

Za pomocą AI.

Za pomocą AI.

Takim biznesowym ograniczeniem, no bo my z jednej strony chcemy dążyć do tego, żeby eliminować te czynniki ludzkie, to może źle brzmi, ale chodzi o to, żeby nie było manualnych procesów, które na przykład mogą być kosztowne, ze względu na błędy, które na przykład człowiek popełnia, ale też AI też może, tak?

Fajny, ciekawy przykład mogę podać, trochę nawiązując do praktyk zakazanych z AI Actu.

AI Actu.

Pewnie nie jestem tym zainteresowany raczej, tak?

I to, pojawiało się bardzo dużo problemów na etapie, kiedy pojawił się AI Act, bo wszyscy mówili, że w takim razie branża e-commerce, branża być może reklamowa, no to czeka koniec, tak?

No nie, to też nie jest tak, że AI Act zakazuje tego typu praktyk.

Natomiast ja sobie myślę, że jak teraz zostały wprowadzone na przykład reklamy w AI tym czy innym, no to część ludzi w ogóle nie będzie tego

Bo to, że mamy sobie jakieś dane w takim czy innym systemie AI, zawsze powoduje, że jeżeli coś pójdzie nie tak, a rzeczy...

To znaczy jest trochę tak, że nie można chyba uciec od faktu, że systemy AI to są suprogramowanie.

I teraz nie mamy przepisów prawa na przykład, które odnosiłyby się wprost do systemów AI, z jednym małym wyjątkiem, artykuł 12 tak zwanego CRA, Cyber Resilience Act.

Tym bardziej, że te ryzyka w zakresie cyberbezpieczeństwa oraz systemów AI, no to tak jak powiedziałeś, one są specyficzne.

I to potwierdza NIST AI Risk Management Framework, zarówno dla tradycyjnego AI, jak i dla tej generatywnej, OWASP i tak dalej, i tak dalej.

I teraz, jeżeli mamy zbudowany ten organizacyjny, ogólny framework dotyczący bezpieczeństwa, to nam zdecydowanie łatwiej jest zarządzać tymi kwestiami związanymi z AI.

Dlatego, że nadal tak jest, ale tak było też na początku, wielu bezpieczników nie chciało przypuszczać różnego rodzaju rozwiązań AI-owych ze względu na...

A teraz w sytuacji, kiedy my już mamy te, powiedziałbym, swoje jakieś ramy, do tego dołożyliśmy te klocki związane z tą specyfiką ryzyk AI.

My musimy zacząć budować świadomość, my musimy zacząć budować silne kompetencje, trochę nawiązuje do tego AI literacy.

Można nawet mówić o tym wyłączeniu systemu AI.

I tu dochodzimy do jednej bardzo ważnej kwestii, która mogłaby nas ruszyć do przodu w tej kwestii wykorzystania AI.

Zróbmy AI.

No bo wszyscy mają tego AI-a.

Nawet swojego czasu, w zeszłym roku, OWAS wydał coś takiego jak AI Maturity Assessment.

Gdzie procedura tam wygląda tak, że w momencie, kiedy ktoś przychodzi, a ja chcę nowe narzędzie AI, nieważne jakie ono jest, to spoko, przetestujemy je, zrobimy eksperyment, ale ty jesteś ownerem.

Na przykład OpenAI.

Po pierwsze, nikt od ciebie nie wymaga budowania tak naprawdę AI governance'u.

Po drugie, zdefiniuj sobie czym w ogóle ten AI governance dla ciebie jest.

Bo moje postrzeganie... AI i data governance, bo one są ze sobą powiązane, czasami występują równolegle, ale moim zdaniem jest bardzo duży link pomiędzy nimi.

Ja ostatnio naprawdę dostaję całkiem sporo różnych pytań od ludzi, na Linkedinie na przykład, i mówię, jakie są według ciebie te najważniejsze kompetencje, jakby w zakresie budowania AI governance'u czy liderów.

I jeszcze na jedną rzecz zwrócę uwagę, bo wszyscy się uczepiliśmy tego AI governance'u.

Ale AI governance nie ma najmniejszego sensu bez data governance'u, czyli przygotowania do wykorzystania danych.

Bo pamiętajmy, że AI to nie jest tylko generatywna sztuczna inteligencja.

Oczywiście ona ma ogromny potencjał i tak dalej, ale nadal tradycyjna AI ma tutaj, że tak powiem, dużo do powiedzenia.

Czy wpadają do ciebie maile, zapytania?

Być może w jakimś sensie, w jakiejś części, że tak powiem, one będą dotykały też sfery AI, ale ogólnie szeroko rozumianego obszaru ICT.

Więc może jak będzie na przykład za trzy lata będą realizowane, czy tam za dwa i pół roku będą realizowane pierwsze takie poważne pentesty w wielu organizacjach, to może one też na przykład zaczną wykazywać większe podatności w zakresie AI, tak?

Bo jak ja obserwuję dojrzałość organizacji w kontekście cyberbezpieczeństwa, czyli czegoś teoretycznie łatwiejszego niż cyberbezpieczeństwo w kontekście AI, no to jednak to operacyjne przygotowanie

Nie blokujcie AI, tylko... tylko co?

Tam jest jeszcze rozwinięcie AI danej biznes chyba, nie dobrze pamiętam.