NordTel Communications S.A. — európsky telekomunikačný operátor
OASAT spoločnosti NordTel Communications vykonané OASAT odhalilo významné Riadenie AI vo všetkých šiestich kontrolných oblastiach. Zavádzanie umelej inteligencie predbehlo jej riadenie – v jednotlivých obchodných jednotkách bolo zistených 23 neschválených nástrojov umelej inteligencie, ktoré sa aktívne používajú, pričom chýbajú kontroly počas prevádzky, nie je zabezpečená audit a existuje podstatné riziko porušenia predpisov podľa zákona EÚ o umelej inteligencii, NIS2 a nariadenia GDPR. V troch kľúčových oblastiach je potrebné prijať okamžité nápravné opatrenia ešte pred uplynutím regulačných termínov.
Každá oblasť bola posúdená na základe OASF rámca OASF a ohodnotená z hľadiska risk a úrovne vyspelosti riadenia. Úroveň vyspelosti sa hodnotí na stupnici od 1 do 5: 1 = ad hoc, 2 = vo vývoji, 3 = definovaná, 4 = riadená, 5 = optimalizovaná.
| Doména | Risk | Doba splatnosti | Kľúčová medzera |
|---|---|---|---|
| Správa údajovOASF | Kritické | 1,4 / 5 | Neexistuje žiadna policy klasifikácie údajov v oblasti umelej inteligencie. PII zákazníkov PII do externých veľkých jazykových modelov bez kontroly alebo anonymizácie. |
| Riadenie modeluOASF | Kritické | 1,2 / 5 | Neexistuje žiadny register schválených modelov. V 8 obchodných jednotkách sa aktívne používa 23 neschválených AI . |
| Prístup a identitaAI | Vysoká | 2.1 / 5 | Interakcie s umelou inteligenciou nie sú viazané na identitu. Chýba integrácia jednotného prihlásenia (SSO) s nástrojmi umelej inteligencie. Neexistuje audit spájajúca využívanie umelej inteligencie s konkrétnymi osobami. |
| Prevádzková bezpečnosťOASF | Vysoká | 1,8 / 5 | Žiadne obranné mechanizmy proti vstrekovaniu príkazov. Žiadne monitorovanie nepriateľských vstupov. Žiadny model hrozieb AI. |
| Audit dodržiavanie predpisovOASF | Kritické | 1,0 / 5 | Žiadne zaznamenávanie interakcií s umelou inteligenciou. Žiadny audit . Nie je možné preukázať súlad s článkom 12 zákona EÚ o umelej inteligencii ani s článkom 30 nariadenia GDPR. |
| Reakcia na incidentyOASF | Stredná | 2,4 / 5 | Všeobecný proces riešenia incidentov existuje, neobsahuje však žiadne kategórie incidentov, postupy ani postupy eskalácie AI. |
Pracovníci zákazníckeho servisu používajú ChatGPT ďalšie spotrebiteľské nástroje umelej inteligencie na prípravu odpovedí a zhrnutie sťažností, pričom uvádzajú celé mená zákazníkov, kontaktné údaje, čísla účtov a obsah komunikácie. Neexistujú žiadne kontroly údajov, ich redigovanie ani riadiace mechanizmy. Ide o aktívne porušenie nariadenia GDPR a nesúlad so zákonom EÚ o umelej inteligencii.
V rámci organizácie neexistuje žiadne zaznamenávanie AI s AI . Ak to bude vyžadovať regulačný orgán alebo v prípade vyšetrovania porušenia ochrany údajov, spoločnosť NordTel nebude schopná preukázať, aké údaje boli spracované ktorým AI , kedy a kým. Ide o priame porušenie požiadaviek na vedenie záznamov podľa článku 12 AI EÚ AI a povinností týkajúcich sa záznamov o spracovaní podľa článku 30 nariadenia GDPR.
Hodnotenie identifikovalo 23 rôznych AI , ktoré sa aktívne používajú v 8 obchodných jednotkách – žiadny z nich nebol schválený, vyhodnotený ani zaregistrovaný. Medzi tieto nástroje patria veľké jazykové modely (LLM) určené pre spotrebiteľov, asistenti na generovanie kódu, služby na sumarizáciu dokumentov a doplnky na zvýšenie produktivity AI. Tieto „tieňové“ AI v celej organizácii bez centrálneho prehľadu, kontroly alebo riadenia.
Členovia tímu sieťových inžinierov využívajú asistentov pre programovanie založených na umelej inteligencii (GitHub Copilot, ChatGPT) na pomoc pri tvorbe skriptov pre automatizáciu siete. Posúdenie potvrdilo, že do zadávacích pokynov sa zahrňujú podrobnosti o topológii siete, konfiguračné parametre a schémy IP adresovania. To predstavuje nielen bezpečnostné risk potenciálne porušenie predpisov týkajúcich sa zákonného odpočúvania.
Súčasný proces reakcie na incidenty spoločnosti NordTel nezahŕňa kategórie incidentov AI ani postupy na ich riešenie. V prípade narušenia bezpečnosti údajov AI, manipulácie s modelom alebo zlyhania riadenia nemá organizácia stanovený postup reakcie, postup eskalácie ani pripravenosť na oznámenie v lehote 72 hodín podľa GDPR.
Dva prípady využitia umelej inteligencie, ktoré boli identifikované v rámci posúdenia, budú pravdepodobne klasifikované akorisk prílohy III k zákonu EÚ o umelej inteligencii: hodnotenie úverovej bonity s využitím umelej inteligencie pri rozhodovaní o zmluvách s následným platením a správa sietí s využitím umelej inteligencie v oblasti kritickej infraštruktúry. Ani jeden z týchto prípadov neprešiel povinným posúdením zhody ani rámcom ľudského dohľadu, ktoré vyžaduje zákon EÚ o umelej inteligencii.
V rámci posúdenia boli porovnané súčasné Riadenie AI spoločnosti NordTel Riadenie AI so štyrmi príslušnými regulačnými rámcami. Položky v kolónke „Medzery“ predstavujú požiadavky, ktoré v súčasnosti nie sú splnené a predstavujú regulačné riziko.
V hodnotení sa odporúča štruktúrovaný trojfázový nápravný program, ktorý je zosúladený s regulačnými termínmi a risk operačných risk . Fáza 1 sa zameriava na bezprostredné kritické riziká. Fáza 2 buduje architektúru riadenia. Fáza 3 zavádza vynútiteľnosť počas prevádzky.
Toto je ukážkové hodnotenie slúžiace na ilustračné účely. Skutočné OASAT je prispôsobené vašej organizácii – vášmu odvetviu, vášmu AI , vašim regulačným povinnostiam – a definuje rámec riadenia, ktorý Aegis zavádza do prevádzky. Pevná cena. Dodanie v priebehu niekoľkých týždňov.