Riik asus analüüsima üleilmsete tehisaruplatvormide usaldusväärsust – täna avalikustati esimesed 11 riskihinnangut

Pilvteenuste kasutamine on tänapäeva äritegevuses möödapääsmatu, kuid sellega kaasneb juriidiline ja tehniline rägastik: andmete asukoht, vastavus Euroopa Liidu isikuandmete kaitse üldmäärusele (GDPR) ning teenusepakkujate usaldusväärsus.

Selleks, et Eesti kasutajad ei peaks igaüks eraldi kulutama sadu tunde ja tuhandeid eurosid sarnastele uuringutele, tellis JDM ise tehisaru hinnangud ja muutis need kõigile kättesaadavaks.

"Meie eesmärk on kiirendada tehisaru lahenduste turvalist kasutuselevõtmist Eestis, eemaldades teelt peamise takistuse, teadmatuse ja hirmu kaasnevate riskide ees," selgitas JDMi riiklike küberriskide juht Lisett Reimann-Erik.

Tema sõnul on riskihindamine küll iga asutuse ja ettevõtte seadusest tulenev kohustus, mida ei saa keegi teine nende eest lõpuni ära teha, pakub JDM nüüd sellele ka riigi poolt vundamenti.

"Me anname ette peamised ohukohad ja kontrollitud tausta, millele tuginedes saavad ettevõtted ja asutused teha ära vajalikud riskianalüüsid ning langetada kaalutletud otsused tehisaru kasutusele võtmiseks või riskide aktsepteerimiseks," lisas Reimann-Erik.

Analüüsitud on maailma tippteenuseid

Esimeses etapis avaliksutas JDM põhjalikud hinnangud 11 laialt levinud teenuse kohta: Adobe Firefly AI, Anthropic Claude AI, ChatGPT, Atlassian AI, Google Gemini AI, Notion AI, Perplexity AI, Texta AI, xLaw AI, Microsoft Azure AI ja Copilot).

Valimisse kuuluvad seega nii globaalsed hiiglased kui ka spetsiifilisemad tööriistad, mida Eesti ettevõtted ja avalik sektor igapäevaselt kasutavad ning vajavad.

Hinnangute koostamisel mindi süvitsi: uuriti teenusepakkuja tausta, volitatud töötlejaid, andmete füüsilist asukohta, rahalist kulu, andmekaitsemeetmeid ja vastavust rahvusvahelistele infoturbe standarditele (nt ISO/IEC 27001).

Analüüsid viis Riigi IT Keskuse poolt korraldatud riigihanke raames läbi kübervaldkonna ekspertettevõte Cybernetica AS ning need on Riigi IT Keskuse ja Justiits- ja Digiministeeriumi poolt töödeldud kergesti loetavasse ja praktiliselt kasutatavasse vormi.

Mida hinnang ettevõtjale annab

Vastavalt 2024. aasta alguses jõustunud pilvemäärusele peavad avaliku teabe valdajad ja elutähtsate teenuste osutajad enne pilvteenuse kasutuselevõttu dokumenteerima kaasnevad riskid ehk mõtlema läbi, kuidas pilvandmetöötlus nende andmeid mõjutab. See kohustus laieneb kaudselt ka paljudele erasektori ettevõtetele, kes soovivad tagada oma andmete turvalisuse kõrgeimal tasemel.

Riiklikud usaldusväärsuse hinnangud vastavad järgmistele kriitilistele küsimustele:

· Andmete suveräänsus: Kus andmeid tegelikult hoitakse ja kas teenusepakkujaga on võimalik sõlmida leping, mis hoiaks andmed Euroopa majanduspiirkonnas?

· Tehisaru treenimine: Kas kasutaja sisestatud konfidentsiaalseid andmeid kasutatakse mudelite edasiseks treenimiseks või on see äripakettides välistatud?

· Vastutus: Kes vastutab, kui tehisaru genereerib ebatäpset infot või rikub intellektuaalomandi õigusi?

· Teenuse jätkusuutlikkus: Kas teenusepakkuja on finantsiliselt stabiilne või on oht, et teenus suletakse ootamatult "finantsmulli" lõhkemise tõttu?

Näide: ChatGPT usaldusväärsuse fookuspunktid

Ühe mahukaima analüüsi läbis OpenAI poolt pakutav ChatGPT. Hinnangust selgub, et kuigi teenus on tehniliselt usaldusväärne, sõltub turvalisus kriitiliselt valitud paketist. Näiteks rõhutab analüüs, et isikuandmete ja tööalase teabe töötlemiseks on tungivalt soovitatav kasutada äriklientidele mõeldud pakette (Business või Enterprise), kuna tavakasutaja tasuta kontode puhul on andmekaitse garantiid märksa nõrgemad (turbestandardid ei kehti, andmete eksport pole võimalik ning andmete asukoht on teadmata).

Samuti tuuakse välja, et EL-i tehisaru määrus lähtub riskipõhisest lähenemisest. Paljude üldkasutatavate tehisaru tööriistade puhul võivad kohalduda eelkõige läbipaistvusega seotud nõuded, kuid õiguslik risk sõltub alati konkreetsest kasutusviisist, andmetest ja rakenduskontekstist.

Näiteks ChatGPT hinnang näitab, et teenuse kasutamise riskitase sõltub oluliselt valitud paketist, lepingulistest tingimustest ja sellest, milliseid andmeid teenuses töödeldakse. Seetõttu ei saa organisatsioon hinnata üksnes tööriista populaarsust, vaid peab vaatama ka andmekaitse, vastutuse ja andmete paiknemise tingimusi.

Kuidas edasi?

Justiits- ja digiministeerium jätkab tehisaru rakenduste kataloogi (TARK) täiendamist vastavalt tehnoloogia arengule ja turu nõudlusele. Kõik koostatud ja peagi valmivad hinnangud on kättesaadavad veebilehel www.kratid.ee/tark

Ministeerium on pannud kirja ettevõtete ja asutuste toetamiseks ka peamised tehisaru kasutamise põhimõtted, juhendmaterjalid, viited koolitustele, geneerilised pilvtoodete ja AI riskid ning meetmed, millega tehisaru riske maandada.

Riik soovitab kõigil organisatsioonidel, kes plaanivad tehisaru lahendusi kasutama hakata, alustada just nendest materjalidest, et vältida kulukaid vigu ja tagada Eesti digiruumi turvalisus

""Teeme ka edaspidi koostööd Riigi Infosüsteemide Ameti ning Riigi IT Keskusega, et toetada turvalist pilvtoodete kasutamist riigis. Tehisaru ei ole enam tulevikumuusika, vaid tänane tööriist," lisas Reimann-Erik. "Riigi roll on siinkohal olla nutikas tellija ja info jagaja, et meie ettevõtted saaksid keskenduda innovatsioonile, muretsemata liigselt tehniliste ja regulatiivsete detailide vastavuse pärast. Toetame ettevõtteid ja asutusi, et riskihaldus poleks takistus vaid võimalus teha teadlikumaid ja turvalisemaid otsuseid".

Lisainfot: Lisett Reimann-Erik, [email protected]