Слышали ли вы такую фразу: «искусственный интеллект заменит людей»? Даже в исследовании от Всемирного экономического форума 2023 года говорится, что из-за ИИ исчезнет 83 миллиона рабочих мест. Если смотреть на эти цифры, то, конечно, можно сказать: «ИИ опасен».
По правде говоря, позже в том же исследовании написано, что появится 69 миллионов рабочих мест. А из опрошенных компаний 75% планировали внедрять ИИ в свои процессы.
Вроде теперь звучит не так страшно. Какие-то рабочие места исчезают, какие-то появляются. Так было всегда. Но возникают вопросы. Как контролировать ИИ? Безопасно ли использовать ИИ в бизнес-процессах? И вообще, точно ли можно доверять компаниям, использующим искусственный интеллект?
Конечно, отпускать в свободное плавание такой быстрорастущий тренд было бы рискованно. Поэтому крупнейшая в мире организация по стандартизации создала новый набор требований к компаниям, использующим ИИ. Представляем вашему вниманию, стандарт ISO/IEC 42001– система менеджмента искусственного интеллекта (AIMS).
В этой статье разберём, что стоит за ISO/IEC 42001. Рассмотрим, чего требует этот стандарт, нужен ли он каждой компании, использующей ИИ и похож ли он, в целом, на существующие стандарты.
Что такое ISO/IEC 42001?
Прежде чем разбираться, что требует стандарт и кому он нужен, посмотрим, что это такое.
ISO/IEC 42001:2023 – это первый в мире сертифицируемый стандарт системы менеджмента искусственного интеллекта. Сокращённо – AIMS (Ai Management System). Стандарт разработан совместно ISO (международная организация по стандартизации) и IEC (международная электротехническая комиссия) и опубликован в декабре 2023 года.
Одна из самых интересных особенностей стандарта в том, что здесь оценка рисков отличается от других стандартов систем менеджмента. ISO/IEC 42001 акцентирует внимание на анализе последствий для людей и общества. Компаниям нужно понимать, что произойдёт, если модель ошибется, кого это затронет и что будет, если системой воспользуются не так, как задумано?
Сертификат ISO/IEC 42001 выдаётся на 3 года. На второй и на третий год проходит инспекционный контроль, чтобы убедиться, что система работает. Через три года уже нужна ресертификация и цикл начинается заново.
Типичные сроки внедрения требований стандарта – от 3х до 12ти месяцев. Они сильно зависят от того, что у вас уже есть. Если у компании есть сертификат ISO/IEC 27001 и работающая СМИБ, можно использовать значительную часть процессов и документации. Так можно сократить сроки почти вдвое.
Что общего между ISO/IEC 42001 и 27001?
Для организаций, у которых внедрена Система менеджмента информационной безопасности будет знакомо и понятно, как организованы требования ISO/IEC 42001. Это происходит благодаря Гармонизированной структуре стандартов (Annex SL).
Вы увидите те же 10 обязательных разделов, тот же цикл PDCA, внутренние аудиты, анализ со стороны руководства. В целом, около 40% требований между стандартами ISO/IEC 27001 и 42001 пересекаются.
Благодаря такой структуре организации с ISO/IEC 27001 могут сэкономить до 50% времени на внедрение ISO/IEC 42001 из-за совместимости стандартов.
Кому нужен ISO/IEC 42001?
ISO/IEC 42001 применяется к любой организации, которая разрабатывает, предоставляет или использует ИИ-системы, независимо от размера компании или её сферы деятельности.
В первую очередь, мы считаем, стоит задуматься о сертификации компаниям, которые:
- являются поставщиками крупных корпораций;
- экспортируют SaaS с ИИ на рынок ЕС;
- работают с Enterprice-клиентами;
- работают в сфере Fintech, кредитного скоринга, HR-tech и используют ИИ;
- используют корпоративный ИИ;
- являются IT- стартапом, который планирует использование ИИ.
Также ISO/IEC 42001 не менее важен для компаний, связанных со здравоохранением. Если ваша система занимается AI-диагностикой, анализом медицинских изображений, каким-либо прогнозированием, стандарт поможет поддержать прозрачность наряду с HIPPA, ISO 13485 и MDR. Только представьте, чего будет стоить ошибка ИИ в такой сфере?
Стоит задуматься о сертификации и компаниям из E-commerce и ритейла. ISO/IEC 42001 позволит контролировать риски в работе с рекомендательными системами и динамическим ценообразованием.
Что требует стандарт ISO/IEC 42001?
Уникальные требования ISO/IEC 42001
Помимо основных требований стандарт вводит несколько принципиально новых, которые полностью охватывают работу с ИИ-системами.
Оценка воздействия AI-систем (AI System Impact Assessment)
В начале статьи мы затрагивали этот момент. В ISO/IEC 42001 оценка рисков не совсем привычная. Она включает в себя анализ последствий работы ИИ для людей в частном случае и общества в целом. Компании, внедряющей AIMS, нужно оценить не только предполагаемое, но и предвидимое неправомерное использование системы.
39 контролей Annex A в 9 областях
Эти контроли охватывают политики ИИ, организационную структуру, ресурсы, жизненный цикл ИИ-системы, менеджмент данных, информирование заинтересованных сторон, и правила использования. По каждому контролю нужно определить применимость для вашей организации и обосновать её в Заявлении о применимости (SoA). Такая система очень напоминает ISO/IEC 27001.
Человеческий контроль на трёх уровнях.
Этот принцип работает так:
- человек принимает решение (human-in-the-loop),
- человек наблюдает и может вмешаться (human-on-the-loop),
- человек может полностью остановить систему (human-in-command).
Стандарт требует не только определить, но и задокументировать уровень контроля для каждой AI-системы. Согласитесь, не стоит отпускать ИИ в свободное плавание.
Нововведение стандарта Annex C – Оценка зрелости ИИ-систем
Как мы говорили, структура ISO/IEC 42001 схожа с другими стандартами ISO, но всё же в нём есть отличия. Одно из самых интересных – совершенно новое информативное Приложение C. Оно помогает определить 11 общих целей, специфичных для ИИ, которые нужно рассмотреть компаниям при оценке зрелости своей AIMS. Эти цели отражают важные принципы этики искусственного интеллекта.
Что означают эти принципы?
Для начала, компания должна нести ответственность за решения своих ИИ-систем и за то, какое воздействия они оказывают. Если система ошиблась, организация не может сказать «это не мы, это алгоритм». По принципу подотчётности (1) ответственность несёте именно вы.
Второй принцип – Прозрачность. Он говорит, что пользователи должны понимать, как система принимает решение. У вас не должно быть чёрных ящиков в стиле «доверьтесь нам».
Ваша ИИ-система не должна дискриминировать. Замечали ли вы, что система выдаёт предвзятые результаты? Она работает хуже для определённых групп людей? Если да, то ваша ИИ-система не соответствует принципу справедливости (3).
Следующий принцип – Конфиденциальность (4). Он помогает защищать персональные данные. Даже в контексте ИИ не нужно забывать об этой базовой концепции для любой компании, которая работает с данными людей.
По принципу надёжности (5) система должна работать стабильно и предсказуемо не только на тестовых данных, но и в реальной среде. А по принципу безопасности (6) ИИ не должен причинять вред. Компании нужно оценить возможный ущерб от сбоя и предусмотреть меры для его предотвращения.
Конечно, никто не отменял кибербезопасность. ИИ-системы тоже могут взломать. Они должны быть защищены (7) так же серьёзно, как и любой другой информационный актив компании.
Когда ИИ принимает важное решение, например, отказывает в кредите, пользователь должен понимать, почему он получил именно такой ответ. Этого требует принцип объяснимости (8). Человек имеет право знать, какие факторы повлияли на такое решение.
Не менее важно, чтобы данные, на которых вы обучаете ИИ-систему, были качественными. Если вы обучаете систему на непроверенной информации, представьте, какие будут ответы. Такой подход не соответствует принципу качества данных (9).
Принцип обслуживаемости (10) говорит о том, что ИИ-систему нужно регулярно обновлять. Без вас система не будет развиваться. Не забывайте исправлять ошибки и адаптировать её под изменения в бизнесе и законодательстве. Модель, которую «поставили и забыли», со временем деградирует и перестаёт решать задачу, для которой была создана.
Помимо этого стандарт требует учитывать экологическое воздействие (11). Простыми словами «обучение ИИ моделей требует огромного количества электричества, и с этим нужно что-то делать». Раньше нужно было думать о том, чтобы код работал безопасно. Теперь нужно думать и о том, чтобы код работал эффективно.
Если вы обучаете свои ИИ-модели в облаке, то в договорах со своими провайдерами нужно пообещать, что «компания компенсирует вред природе». По сути, за каждую обученную модель нужно как-то «заплатить» планете, например, использовать зелёную энергию, посадить деревья или просто участвовать в экологических проектах.
Основные требования
Заключение
Итак, что мы выяснили? ISO/IEC 42001 прямо говорит компаниям: «Если вы используете ИИ, будьте добры управлять им системно. Не на словах, а с политиками, контролями, оценкой рисков и человеческим контролем».
Помните, в начале статьи мы говорили про страх, что ИИ заменит людей? Можем сказать точно: ИИ нас не заменит. А вот компании без ISO/IEC 42001 может и потеснит. Проблема контроля искусственного интеллекта уже не висит в воздухе. Появился конкретный инструмент, появились совершенно новые требования. Мы, люди, начинаем это контролировать.
ISO/IEC 42001 – это способ превратить хаотичное использование ИИ в управляемую и прозрачную систему. Вашему бизнесу это даёт возможность показать клиентам, партнёрам и регуляторам, что искусственному интеллекту можно доверять.