Miks partneri tehtud üldisest AI-riskianalüüsist ettevõttele ei piisa?
Valmis AI-riskihinnang loob petliku turvatunde ja jätab äririskid varju
Loe AI kokkuvõtet
Valmis AI-riskihinnangud võivad luua petliku turvatunde ja jätta äririskid märkamatuks, kuna ei arvesta ettevõtte spetsiifilist konteksti. Üldised hinnangud toovad välja tüüpilised ohud, kuid organisatsioon peab ise analüüsima, kuidas AI konkreetseid protsesse või kliendisuhteid mõjutab. Partneri tehtud hinnang on vaid lähtepunkt ning oluline on kaardistada ettevõtte AI kasutusjuhud ja nende äritagajärjed. AI riskihinnang peab olema terviklik, et vähendada kulusid ja suurendada väärtust. Strateegiline juhtimine vajab teadlikkust AI tegelikust kasutamisest ja mõju hindamisest, et vältida nn Shadow AI riski.
Valmis AI-riskihinnangud võivad ettevõtte valvsuse uinutada just siis, kui neid käsitletakse organisatsiooni eest juba ära tehtud tööna. Üldine hinnang võib küll välja tuua tüüpilised ohukohad, kuid ilma ettevõtte enda konteksti viimata võivad tegelikud äririskid jääda märkamata.
Just nii tehaksegi sageli viga: vaadatakse üle teenusepakkuja tingimused, loetakse läbi partneri koostatud hinnang, hinnatakse pilveteenuse tausta ja järeldatakse, et riskid on kaetud. Tegelikult on see alles lähtepunkt, sest AI kasutamise risk sõltub sellest, kuidas ettevõte seda oma protsessides kasutab, milliseid andmeid sinna sisestab ja milliseid otsuseid selle väljund mõjutab.
Justiits- ja Digiministeeriumi avalikustatud AI- ja pilvteenuste riskihinnangud annavad organisatsioonidele kasuliku lähtekoha, et mõista levinud teenustega seotud ohukohti ja usaldusväärsuse küsimusi. Samal ajal ei vasta ka selline üldine hinnang veel küsimusele, kuidas avaldub risk konkreetse ettevõtte enda kasutuskontekstis. Riigi või partneri koostatud hinnang on oluline sisend, kuid ettevõtte enda kasutusjuhtudest lähtuv analüüs seob selle alles äriprotsesside, vastutuse ja tegelike riskidega.
Küberturbe ja tehisintellekti eksperdina näen sageli sama mustrit: kui organisatsioon saab tugineda kellegi teise tehtud riskihinnangule, tekib kergesti tunne, et rohkem pole vaja teha. Just nii jäävadki tähelepanuta ettevõtte enda äririskid, sest läbi mõtlemata jääb, kuidas AI võib mõjutada konkreetset protsessi, kliendisuhet, otsust või vastutust.
Seda erinevust on hästi näha näiteks e-poe puhul, kus tehisintellekti abil on automatiseeritud tootekataloogi tõlkimine ja tootekirjelduste uuendamine. Turvameetmete kujundamisel tuginetakse teenusepakkuja või välise eksperdi hinnangule selle kohta, kus andmeid hoitakse, kas sisestusi kasutatakse mudeli treenimiseks ning millised turva- ja lepingulised piirangud teenusel kehtivad. See on vajalik lähtekoht, kuid ettevõtte enda riskide vaates tuleb hinnata ka seda, mida tähendab sellise tööriista automatiseeritud väljund müügi, kliendisuhete ja vastutuse seisukohalt.
Mis juhtub siis, kui AI tõlgib toote materjali, mõõdu või kasutusotstarbe valesti? Mis saab siis, kui kirjeldusse satub lubadus, mida ettevõte ise tõendada või täita ei suuda? Mis siis, kui süsteem soovitab toodet viisil, mis eksitab klienti? Sellisel juhul ei ole küsimus enam ainult vales tekstis, vaid selles, et AI loodud eksitav sisu võib kaasa tuua tagastusi, kliendikaebusi, eksitava teabe riski, mainekahju ja täiendava koormuse klienditoele.
Partneri tehtud hinnang võib selgitada tööriista üldist usaldusväärsust, kuid äriline mõju avaldub alles ettevõtte enda kasutuskontekstis.
Sama põhimõte tuleneb ka AI määruse riskipõhisest lähenemisest. Keskmes ei ole lihtsalt küsimus, kas AI on kasutusel, vaid millist kahju või ebasoodsat mõju võib selle kasutamine põhjustada. Seetõttu on AI-lahenduse usaldusväärsuse kõrval oluline läbi mõelda ka see, kuidas konkreetne kasutusjuht võib mõjutada töötajaid, kliente, otsuseid, teenuse kvaliteeti ja vajaduse korral ka põhiõigusi.
Ettevõtte enda AI riskihindamisel tasub tähelepanu pöörata kolmele olulisele asjale:
Esiteks: kasuta partneri tehtud riskihinnangut sisendina, mitte asendusena.
Teenusepakkuja, konsultandi või eksperdi hinnang aitab mõista tehnilist tausta, teadaolevaid ohukohti, andmevooge, turvameetmeid ja lepingulisi piiranguid. See loob väärtusliku lähtekoha, kuid organisatsiooni enda vaatest jääb siiski oluliseks hinnata, kui kriitiline on konkreetne AI kasutus tema tegevuse, protsesside ja vastutuse seisukohalt.
Hetkel kuum
Teiseks: sõnasta oma AI kasutusjuhud.
Paljud ettevõtted alustavad valest otsast. Hakatakse kohe hindama tööriista usaldusväärsust, kuigi kõigepealt tuleks kaardistada, milleks AI-d tegelikult kasutatakse. Milliseid andmeid sinna sisestatakse? Kes väljundit kasutab? Kas väljund mõjutab otsust, kliendisuhtlust või teenuse osutamist? Kas inimene kontrollib tulemuse enne üle või liigub see automaatselt edasi? Alles siis muutub riskihindamine sisuliseks.
Kolmandaks: arvesta, et organisatsioonil ei pruugi olla täielikku ülevaadet AI tegelikust kasutusest.
AI kasutus ei piirdu tavaliselt nende tööriistadega, mis on ametlikult kasutusele võetud. Töötajad kasutavad AI-d juba täna tekstide parandamiseks, tõlkimiseks, kokkuvõtete tegemiseks, turundusmaterjalide loomiseks, kliendikirjade sõnastamiseks ja andmete töötlemiseks. Lisaks sisaldavad paljud olemasolevad tarkvarad AI-funktsioone juba vaikimisi. Seetõttu ei pruugi organisatsioonil olla täielikku ülevaadet sellest, kus, kuidas ja kui mahukalt AI-d juba kasutatakse. Just sellisest nähtamatuks jäävast kasutusest kasvab välja ka nn Shadow AI risk.
Suurim oht ei seisne seega alati selles, et AI-lahendus oleks iseenesest ebausaldusväärne või ebaturvaline. Sageli on suurem risk hoopis see, et organisatsioonil puudub piisav ülevaade sellest, kus, kuidas ja milleks AI-d tegelikult kasutatakse. Nii tekibki vale kindlustunne: dokument on olemas, partneri hinnang on tehtud, kuid oma kasutusjuhtude mõju on jäänud läbi mõtlemata.
Strateegiline AI juhtimine algab hetkest, kui ettevõte ei piirdu enam küsimusega „kas see AI-lahendus tundub usaldusväärne?”, vaid küsib edasi: „mida võib see tööriist meie konkreetses kasutuses tegelikult kaasa tuua?”
Just seepärast ei piisa AI riskihindamisel ainult välisest hinnangust. Organisatsioonil on vaja kaardistada oma kasutusjuhud, hinnata nende võimalikku mõju ning läbi mõelda, millised leevendusmeetmed aitavad riske kontrolli all hoida. Alles siis muutub AI kasutamine päriselt juhitavaks.
Läbimõeldud AI riskijuhtimine aitab teha targemaid innovatsiooni- ja investeerimisotsuseid. Kui ettevõte saab aru, millistes kasutusjuhtudes loob AI tegelikult väärtust, kus on peamised piirangud ja milliseid leevendusmeetmeid on vaja, saab ta suunata raha ja tööaja sinna, kus investeeringu tasuvus on suurem. Nii aitab riskijuhtimine vähendada raisatud kulusid, vältida hilisemaid parandusi ning saada kasutatavatest AI-lahendustest rohkem väärtust.
Ettenägelik juht ei investeeri ainult AI-lahendusse, vaid ka organisatsiooni võimekusse selle mõju teadlikult juhtida. Äripäeva IT Koolituse koolitus „Tehisintellekti riskijuhtimine” aitab seda võimekust praktiliselt üles ehitada alates kasutusjuhtude kaardistamisest ja riskihindamisest kuni dokumentatsiooni, leevendusmeetmete ja AI määruse nõuete sidumiseni ettevõtte igapäevase juhtimisega.
Seotud lood
Rahvusvahelise ettevõttena on Elisal kogemusi mitmel Põhjamaa turul. Saame tänu sellele Eestis rakendada parimaid praktikaid, mis on end mujal juba tõestanud. Käesolevas artiklis räägime koostööst Soome klaasitöötlusmasinate tootmisettevõttega Glaston, kelle võrgulahendused on usaldatud Elisa hoolde.
Liitu uudiskirjaga
Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.
Tagasi Äritehnoloogia esilehele