Nemokami DI sprendimai gali atsieiti brangiai: ką ir kaip daryti norint išnaudoti DI galimybes ne tik efektyviai bet ir saugiai?

Šiandienos pasaulyje duomenys tampa geriausia valiuta, o jų saugumas – kritiniu prioritetu. Tai ypač ryškiai atsiskleidžia stebint pastarųjų mėnesių įvykius technologijų sektoriuje.

„DeepSeek“ supurtė technologijų rinką su nemokamu DI sprendimu, iš esmės prilygstančiu „ChatGPT“ galimybėms, atskleidė rimtus iššūkius tiek organizacijoms, tiek individualiems vartotojams. Kyla esminis klausimas – kokia tikroji nemokamų DI įrankių kaina, ir ar visgi neteks aukoti duomenų saugumo?

Duomenų saugumo ir vertės klausimus dar labiau paaštrino neseniai įvykęs teismo procesas Vokietijoje, susijęs su socialinio tinklo X (buvusio Twitter) duomenų prieinamumu. Berlyno apygardos teismas įpareigojo Elono Musko valdomą platformą atskleisti informaciją, leidžiančią tyrėjams sekti rinkimus galinčios paveikti informacijos sklaidą tinkle. Šis sprendimas parodo, kad duomenų skaidrumas ir prieinamumas tampa ne tik privataus sektoriaus klausimu, bet ir patenka į viešojo intereso lauką.

Svarbu pažymėti tai, jog nuo 2025 m. vasario 2 d. ES  pradėtas taikyti Dirbtinio intelekto akto DI raštingumo reikalavimas. Šis reikalavimas įpareigoja visas įmones, naudojančias bet kokias DI sistemas, užtikrinti, kad jų darbuotojai turėtų pakankamą supratimą apie DI veikimą, ribotumus ir su juo susijusias rizikas. Raštingumas DI srityje apima žinias apie pagrindinių DI sistemų veikimą, jų ribotumus, konfidencialios informacijos bei asmens duomenų tvarkymą, trečiųjų šalių teisių apsaugą bei DI išvedinių teisinę apsaugą. Todėl įmonėms kyla poreikis įsivertinti esamą organizacijos darbuotojų DI raštingumo lygį, užtikrinti darbuotojų apmokymą ir parengti vidines DI įrankių naudojimo gaires.

Organizacijoms tai siunčia aiškų signalą – investicijos į saugius ir patikimus technologinius sprendimus, nors ir reikalaujančius finansinių išteklių, ilguoju laikotarpiu gali būti ekonomiškai naudingesnės nei nemokamų alternatyvų pasirinkimas.

DI priemonėse naudojamų duomenų valdymo mechanizmai, rizikos ir praktiniai patarimai

Pigus ar net nemokamas bei trumpuoju laikotarpiu efektyvus DI sprendimas gali suvilioti jį išbandyti ne vieną, net ir patyrusį darbuotoją, todėl šiame kontekste paminėtina ir verslo paslapčių bei konfidencialios informacijos apsauga. Tai ypač aktualu vertinant naujai atsirandančius DI įrankius, kurie gali kelti riziką dėl neaiškių ar neskaidrių duomenų tvarkymo praktikų.

Pagrindinės rizikos sritys naudojant nemokamus DI sprendimus:

Ekspertai įspėja, kad nemokamos DI programos dažnai renka, kaupia ir gali perduoti duomenis trečiosioms šalims. Organizacijų konfidenciali informacija, tokia kaip komercinės paslaptys, intelektinė nuosavybė, darbuotojų bei klientų duomenys ir svarbūs dokumentai, gali būti nutekinti trečiosioms šalims dėl neatsargaus DI įrankių naudojimo.

Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR) nustato griežtus reikalavimus asmens duomenų tvarkymui, ypatingą dėmesį skiriant jų perdavimui už ES ribų. 2020 m. priimtas „Schrems II“ sprendimas tapo lūžio tašku duomenų apsaugos srityje – Europos Teisingumo Teismas pripažino negaliojančiu Privacy Shield” susitarimą tarp ES ir JAV, kuriuo rėmėsi tūkstančiai įmonių, perduodamos duomenis į JAV. Šis sprendimas reiškia, kad organizacijos, naudojančios DI įrankius ar bet kokias kitas paslaugas, kai duomenys keliauja už ES ribų, privalo įgyvendinti papildomas technines ir organizacines apsaugos priemones.

Praktikoje tai reiškia, kad organizacijos, prieš pradėdamos naudoti „DeepSeek“ ar kitus ne ES sukurtus DI įrankius, privalo atlikti išsamų pasiruošimą: įvertinti trečiosios šalies duomenų apsaugos praktikas, užtikrinti ES standartus atitinkančią duomenų apsaugą ir įdiegti papildomas technines priemones. Siekiant apsaugoti jautresnius duomenis, organizacijos turėtų parengti ir įgyvendinti kompleksinę kibernetinio saugumo strategiją. Technologiniu lygmeniu būtina užtikrinti saugių, BDAR reikalavimus atitinkančių DI įrankių pasirinkimą, įdiegti duomenų šifravimo sistemas bei prieigos kontrolės mechanizmus ir garantuoti saugų duomenų saugojimą ES teritorijoje. Organizaciniu požiūriu svarbu sukurti aiškią DI naudojimo politiką, vykdyti darbuotojų mokymus apie saugų DI naudojimą, nustatyti incidentų valdymo procedūras ir reguliariai atlikti saugumo auditus. Nemažiau svarbu atnaujinti konfidencialumo sutartis įtraukiant DI naudojimo aspektus, sudaryti duomenų tvarkymo sutartis su DI paslaugų tiekėjais bei užtikrinti atitiktį BDAR reikalavimams.

Europos Sąjungos Dirbtinio intelekto aktas (AI Act), pirmasis pasaulyje tokio tipo teisinis instrumentas, įsigaliojo 2024 m. rugpjūčio 1 d. Jis nustato papildomus reikalavimus DI sistemų naudojimui. Organizacijos turės užtikrinti, kad jų naudojami DI sprendimai atitiktų šio reglamento reikalavimus, kurie grindžiami rizika grįstu požiūriu – kuo didesnė DI sistemos keliama rizika, tuo griežtesni reikalavimai jai taikomi, ypač tokiose srityse kaip sveikatos priežiūra, transportas ar teisėsauga. Aktas ne tik nustato griežtus testavimo, skaidrumo ir žmogaus vykdomos priežiūros reikalavimus didelės rizikos sistemoms, bet ir draudžia tam tikras DI praktikas, tokias kaip kognityvinį manipuliavimą ar socialinį vertinimą, tuo pačiu skatindamas inovacijas ir numatydamas specialias nuostatas mažosioms ir vidutinėms įmonėms, o už taisyklių pažeidimus gali būti taikomos baudos, siekiančios tam tikrą procentą nuo įmonės metinės apyvartos.

Praktinė rekomendacija organizacijoms – pradėti nuo rizikos vertinimo, nustatant, kokie duomenys yra kritiškai svarbūs verslui ir kokios apsaugos priemonės jau yra įdiegtos. Remiantis šiuo vertinimu, galima kurti ir įgyvendinti papildomas saugumo priemones.

Verslo paslapčių apsauga DI eroje reikalauja nuolatinio budrumo ir adaptacijos prie besikeičiančių technologijų ir teisinės aplinkos. Čia svarbu atsižvelgti į vidinių organizacijos teisės aktų turinio kokybę ir teisinę atitiktį: organizacijos turi reguliariai peržiūrėti ir atnaujinti savo saugumo protokolus, kad užtikrintų efektyvią savo intelektinės nuosavybės apsaugą.

Ekspertų įžvalgos artėjančioje konferencijoje

DI reguliavimo klausimai ir praktiniai apektai bus išsamiai nagrinėjami 2025 m. kovo 25 d. vyksiančioje konferencijoje „DI ir teisė: rizikų valdymas bei efektyvumas“, kurią Countltine organizuoja su vienu pirmaujančiu Baltijos šalyse aukščiausio lygio advokatų biurų aljansu „Cobalt“.  Ekspertai pristatys:

• Kaip praktiškai įvertinti DI įrankių keliamas rizikas verslui
• Kokius saugumo protokolus diegti organizacijose, pradedant naudoti DI sistemas
• Kaip tinkamai klasifikuoti ir apsaugoti konfidencialią verslo informaciją DI eroje
• Praktinius BDAR reikalavimų įgyvendinimo metodus dirbant su DI
• Konkrečius technologinius sprendimus duomenų apsaugai užtikrinti

Ypatingas dėmesys bus skiriamas praktiniams atvejų analizės pavyzdžiams – kaip realios organizacijos sprendžia DI keliamus iššūkius, kokias pamokas galima išmokti iš jau įvykusių incidentų ir kaip jų išvengti. Technologijų saugumas ir privatumas nėra vien tik techninė problema – tai kompleksinis iššūkis, reikalaujantis nuolatinio dėmesio ir sisteminio požiūrio. Organizacijos ir individai turi aktyviai dalyvauti kuriant saugią technologinę aplinką, o tam būtinos ne tik investicijos į sistemas, bet ir į žinias bei kompetencijas. „DeepSeek” atvejis dar kartą primena, kad technologijų pasaulyje nėra paprastų sprendimų, todėl būtina nuolat gilinti supratimą apie saugų DI naudojimą.