Предотвращение рисков использования ИИ: опыт США

Национальный институт стандартов и технологий США (NIST) 26 января выпустил версию 1.0 своей системы управления рисками искусственного интеллекта (AI RMF) — документ для организаций по разработке, предотвращению рисков и управлению искусственным интеллектом (ИИ). По словам приглашенного научного сотрудника американского аналитического центра Brookings Institution Кэмерона Керри, документ «способствует продолжающимся международным дебатам о политике и развитии ИИ».

Понимание AI RMF имеет значение для международных разработок управления искусственным интеллектом, отмечает эксперт. «Общества и правительства только начинают процесс понимания ИИ. Мы находимся в начале разработки политики и развития ИИ. Cистема AI RMF, как и ее предшественники, ориентирована на процессы. Но отображение, измерение, управление и управление, изложенные в AI RMF, будут определять политику правительств и организаций», — считает Кэмерон Керри.

Разработка AI RMF была предусмотрена Законом о национальной инициативе в области искусственного интеллекта, указывает эксперт. «AI RMF следует шаблону предыдущих структур управления информационными рисками и управления от NIST, «Рамкам кибербезопасности, выпущенным в 2014 году, и „Рамка конфиденциальности“, выпущенной в 2020 году. Как и они, она является результатом интенсивного консультативного и повторяющегося процесса, в ходе которого два проекта были выпущены для общественного обсуждения, нескольких семинаров и других форм участия общественности. Как и они, конечный продукт призван стать „живым документом“, который является „добровольным, защищающим права, не зависящим от конкретного сектора, не зависящим от вариантов использования“ и адаптируемым для организаций всех типов и размеров», — уточняется в комментарии эксперта.

AI RMF предоставляет два подхода к рассмотрению таких вопросов как риски и преимущества ИИ, а также опасения по поводу предвзятости в данных и результатах обучения ИИ. «Во—первых, документ предоставляет концептуальную дорожную карту для выявления рисков в контексте ИИ — с изложением общих типов и источников рисков, связанных с ИИ, и перечислением семи ключевых характеристик надежного ИИ — безопасный, надежный и устойчивый, объяснимый и интерпретируемый, защищенный от конфиденциальности, справедливый — с управляемым вредным уклоном, подотчетный и прозрачный, действительный и надежный. Во-вторых, документ предлагает набор организационных процессов и действий для оценки и управления рисками, связывающих социально-технические аспекты ИИ с этапами жизненного цикла системы ИИ и с вовлеченными участниками. Ключевыми шагами для этих процессов и действий являются «тестирование, оценка, проверка и валидация (TEVV)». Процессы и действия разбиты на основные функции — управлять, отображать, измерять и управлять — с дальнейшим разделением каждой из них на подкатегории со способами выполнения этих функций. AI RMF не разбивает их еще больше на ссылки и уровни реализации и профили, чтобы более конкретно направлять реализацию, как это делала предыдущая структура.

Американская система кибербезопасности была применена подавляющим большинством американских компаний и получила заметное распространение за пределами США. Ее используют, в частности, Банк Англии, Nippon Telephone & Telegraph, Siemens, Saudi Aramco и Ernst & Young. «Федеральное правительство США санкционирует ее использование федеральными агентствами, уже 20 штатов поступили аналогичным образом. Различные федеральные агентства (в первую очередь Комиссия по ценным бумагам и биржам) используют систему кибербезопасности в качестве эталона для надежных методов обеспечения кибербезопасности в регулируемых отраслях. Она была переведена на 15 языков, и несколько стран внедрили ее или использовали в качестве модели для аналогичных структур: Италия включила ее в свою стратегию кибербезопасности, система кибербезопасности Великобритании включает те же основные функции, Уругвай основал свою собственную систему кибербезопасности на базе NIST и применил ее во всех правительственных учреждениях», — поясняет эксперт.

AI RMF не является юридически обязательными, но это можно считать особенностью, а не недостатком, полагает эксперт. «Это неотъемлемая часть того, что позволяет применять ИИ RMF „организациями всех размеров, во всех секторах и во всем обществе“ без риска чрезмерного охвата, что облегчает ее принятие. Это проще, чем обязательный закон, для итеративной разработки как в ее версиях, так и в применении организациями. Документ можно масштабировать в соответствии с организацией, сценарием использования и риском», — резюмирует Кэмерон Керри.