NordTel Communications S.A. — europejski operator telekomunikacyjny
W wyniku OASAT firmy NordTel Communications zidentyfikowano istotne luki w zarządzaniu sztuczną inteligencją we wszystkich sześciu obszarach kontroli. Tempo wdrażania sztucznej inteligencji przewyższyło tempo wprowadzania odpowiednich mechanizmów zarządzania — w poszczególnych jednostkach biznesowych zidentyfikowano 23 niezatwierdzone narzędzia oparte na sztucznej inteligencji, które były aktywnie wykorzystywane bez żadnych mechanizmów kontroli w czasie działania, bez audit oraz narażające firmę na istotne ryzyko naruszenia przepisów wynikających z unijnej ustawy o sztucznej inteligencji, NIS2 oraz RODO. Konieczne jest podjęcie natychmiastowych działań naprawczych w trzech kluczowych obszarach przed upływem terminów wyznaczonych przez organy regulacyjne.
Każdy obszar został poddany ocenie w oparciu o ramy OASF i otrzymał ocenę pod kątem risk oraz dojrzałości systemu zarządzania. Dojrzałość ocenia się w skali od 1 do 5: 1 = doraźne, 2 = rozwijające się, 3 = zdefiniowane, 4 = zarządzane, 5 = zoptymalizowane.
| Domena | Risk | Termin zapadalności | Kluczowa luka |
|---|---|---|---|
| Zarządzanie danymiOASF | Krytyczne | 1,4 / 5 | Brak policy klasyfikacji danych dotyczących sztucznej inteligencji. PII klientów PII do zewnętrznych modeli językowych (LLM) bez kontroli ani ich redagowania. |
| Model zarządzaniaOASF | Krytyczne | 1,2 / 5 | Brak rejestru zatwierdzonych modeli. 23 niezatwierdzone narzędzia oparte na sztucznej inteligencji są obecnie w użyciu w 8 jednostkach biznesowych. |
| Dostęp i tożsamośćOASF | Wysoki | 2.1 / 5 | Interakcje z AI nie są powiązane z tożsamością użytkownika. Brak integracji z systemem SSO w narzędziach AI. Brak audit łączącej korzystanie z AI z konkretnymi osobami. |
| Bezpieczeństwo operacyjneOASF | Wysoki | 1,8 / 5 | Brak zabezpieczeń przed wstrzyknięciem poleceń. Brak monitorowania danych wejściowych pod kątem ataków. Brak modelu zagrożeń specyficznego dla sztucznej inteligencji. |
| Audit zgodność z przepisamiOASF | Krytyczne | 1,0 / 5 | Brak rejestrowania interakcji z AI. Brak audit . Nie można wykazać zgodności z art. 12 unijnej ustawy o sztucznej inteligencji ani art. 30 RODO. |
| Reagowanie na incydentyOASF | Umiarkowane | 2,4 / 5 | Ogólny proces zarządzania incydentami istnieje, ale nie obejmuje kategorii incydentów, scenariuszy postępowania ani procedur eskalacji dotyczących sztucznej inteligencji. |
Pracownicy obsługi klienta korzystają z ChatGPT innych narzędzi sztucznej inteligencji przeznaczonych dla konsumentów w celu przygotowywania odpowiedzi i sporządzania podsumowań skarg, w tym pełnych nazwisk klientów, danych kontaktowych, numerów kont oraz treści korespondencji. Nie wprowadzono żadnych mechanizmów kontroli danych, ich redagowania ani środków zarządzania. Stanowi to aktywne naruszenie RODO oraz niezgodność z unijną ustawą o sztucznej inteligencji.
W całej organizacji nie prowadzi się żadnej dokumentacji dotyczącej interakcji z systemami sztucznej inteligencji. W przypadku wezwania przez organ regulacyjny lub w ramach dochodzenia w sprawie naruszenia bezpieczeństwa danych firma NordTel nie jest w stanie wykazać, jakie dane zostały przetworzone przez który system sztucznej inteligencji, kiedy i przez kogo. Stanowi to bezpośrednie naruszenie wymogów dotyczących prowadzenia dokumentacji określonych w art. 12 unijnej ustawy o sztucznej inteligencji oraz obowiązków w zakresie rejestrowania przetwarzania danych określonych w art. 30 RODO.
W wyniku przeprowadzonej oceny zidentyfikowano 23 różne narzędzia oparte na sztucznej inteligencji, z których aktywnie korzysta 8 jednostek biznesowych — żadne z nich nie zostało zatwierdzone, ocenione ani zarejestrowane. Narzędzia te obejmują konsumenckie modele językowe (LLM), asystentów do generowania kodu, usługi tworzenia streszczeń dokumentów oraz dodatki zwiększające wydajność oparte na sztucznej inteligencji. Niezgłoszone wykorzystanie sztucznej inteligencji ma miejsce w całej organizacji, przy czym brakuje centralnego wglądu, kontroli i nadzoru.
Członkowie zespołu inżynierów sieciowych korzystają z asystentów programistycznych opartych na sztucznej inteligencji (GitHub Copilot, ChatGPT) w celu uzyskania pomocy przy tworzeniu skryptów do automatyzacji sieci. Przeprowadzona ocena potwierdziła, że w poleceniach podawane są szczegóły dotyczące topologii sieci, parametry konfiguracyjne oraz schematy adresowania IP. Stwarza to zarówno risk dla bezpieczeństwa, risk potencjalne ryzyko naruszenia przepisów dotyczących legalnego przechwytywania danych.
Obecny proces reagowania na incydenty w firmie NordTel nie obejmuje kategorii incydentów związanych ze sztuczną inteligencją ani procedur reagowania na nie. W przypadku naruszenia bezpieczeństwa danych związanego ze sztuczną inteligencją, manipulacji modelami lub uchybień w zakresie zarządzania organizacja nie dysponuje ustaloną ścieżką reagowania, procedurą eskalacji ani gotowością do zgłoszenia incydentu w terminie 72 godzin zgodnie z RODO.
Dwa przypadki zastosowania sztucznej inteligencji wskazane w ocenie prawdopodobnie zostaną sklasyfikowane jakorisk załącznikiem IIIrisk unijnej ustawy o sztucznej inteligencji: oparte na sztucznej inteligencji oceny zdolności kredytowej przy podejmowaniu decyzji dotyczących umów abonamentowych oraz zarządzanie siecią z wykorzystaniem sztucznej inteligencji w przypadku infrastruktury krytycznej. Żadne z tych zastosowań nie przeszło wymaganej oceny zgodności ani nie zostało objęte systemem nadzoru ludzkiego wymaganym na mocy unijnej ustawy o sztucznej inteligencji.
W ramach oceny porównano obecne mechanizmy zarządzania sztuczną inteligencją w firmie NordTel z czterema obowiązującymi ramami regulacyjnymi. Pozycje wskazujące na luki to wymagania, które obecnie nie są spełnione i stwarzają ryzyko naruszenia przepisów.
W ocenie zalecono wdrożenie ustrukturyzowanego, trzyetapowego programu naprawczego, dostosowanego do terminów określonych w przepisach oraz risk operacyjnego. Etap 1 dotyczy natychmiastowych, krytycznych zagrożeń. Etap 2 polega na stworzeniu struktury zarządzania. Etap 3 obejmuje wdrożenie środków egzekwowania w czasie rzeczywistym.
Jest to przykładowa ocena, która ma charakter poglądowy. Rzeczywista OASAT jest dostosowana do specyfiki Państwa organizacji — branży, środowiska sztucznej inteligencji oraz obowiązków regulacyjnych — i określa zasady zarządzania, które Aegis wdraża w środowisku produkcyjnym. Stała cena. Realizacja w ciągu kilku tygodni.