Hur långt har vi kommit med styrning och säkerhet inom artificiell intelligens?

Artificiell Intelligens (AI) har blivit en del av vår vardag. Fler och fler organisationer börjar se nyttan av att använda AI. Men är den etisk, säker och hållbar? Och vilket stöd kan du får när du arbetar med frågorna? Vi har tagit en djupdykning i vilka initiativ som finns för att hitta styrande standarder och metoder samt i hur långt arbetsgrupperna kommit i sitt arbete. Vi ser detta som en av de viktigaste frågorna idag.

Artificiell intelligens (AI) integreras mer och mer in i vårt dagliga liv. Du och jag kommer exempelvis i kontakt med AI när vi kontaktar organisationers kundsupport - vi möts av något som verkar ha ett socialt beteende men utan en närvarande människas anpassade bedömningar. Även det vi har publicerat på våra sociala medier blir analyserat av AI för att kunna skapa anpassat innehåll. Bildbehandling med stöd av AI har medfört att var vi än förekommer så finns det chans att bli igenkända och registrerade, men också risk för att bilden blir förändrad utan att ändringen genomskådas eller att vi kan ifrågasätta bildens användning. Denna AI-expansion har inträffat för att algoritmerna och datorkraften har blivit så bra på att lära sig från sin omgivning och vidta åtgärder som ständigt maximerar chansen för att framgångsrikt nå sina mål. Användningen går även lätt över nationsgränser. Mängden användningsfall kan ofta upplevas som att den bara begränsas av entreprenörers brist på nya idéer och i bästa fall av den realiserande organisationens egen moral.

Denna utveckling har lyfts fram av Åsa Schwarz, AI-expert på Knowit Cybersecurity & Law. Åsa talade på den årliga internationella konferensen Tallinn Digital Summit 2018 i Estland inför flera länders ministrar (se Åsas tal 10:47 minuter in här). Hon summerade AI-styrningen med orden:

"The problem is that currently we lack a comprehensive legal framework to protect society – and the rest of the world – against organisations which are irresponsible in their development of artificial intelligence. Furthermore, there are no acknowledged standards, methods or indeed precedents within the area. As a result, as long as the integrity of the management of personal data is maintained, there are currently no restrictions, other than ethical, on any irresponsible development of artificial intelligence."

AI-styrning och guider
Arbete pågår idag med att skapa styrning och reglering inom AI. Regeringens bedömning är att ”Sverige behöver utveckla regler, standarder, normer och etiska principer i syfte att vägleda etisk och hållbar AI och användning av AI”. Nedan är ett försök till att summera vad som sker just nu inom detta område:

En tidig opinionsbildare inom AI är Future of Life Institute. Denna grupp har varit ledande i utvecklingen av Asilomar AI Principles. Vidare redovisar gruppen aktuell status på AI styrning listad utifrån ämnesområden, länder och ledande organisationer.

 DeepMind är en inflytelserik grupp som sedan 2010 har arbetat tillsammans med akademiker, organisationer och företag verksamma inom AI med syftet att utveckla en policy,” Safety and Ethics” för acceptabla moraliska värderingar som ska underlätta införande av AI i samhället.

Information Technology Industry Council presenterade 2017 ”Artificial Intelligence Policy Principles” som vägledning för industrin som planerar införa AI, särskilt inom de områden där personal riskerar ersättas eller data som kan knytas till individer behandlas. 

IEEE har givit ut sin guide ”Ethically Aligned Design”för hur mänskligt välmående ska prioriteras vid AI eller som gruppen definierar AI: autonoma och intelligenta system.

National Institute of Standards and Technology (NIST) har nyligen gått ut med en plan för att utveckla standarder inom AI. Idag finns hos NIST endast ett förslag till standard på hur AI-implementation förklaras eller motiveras:“Combinatorial Methods for Explainability in AI and Machine Learning”.

ISO/IEC JTC 1/SC 42 som är en internationell standardiseringsgrupp har arbetat sedan 2017 med utveckling av många standarder för Artificiell Intelligence med fokus på hela ekosystemet för AI, utöver de tekniska aspekterna. Arbete pågår inom stora områden med hög prioritet för att standardisera begrepp och vokabulär inom området. Fram tills det finns en fastställd standard inom AI hänvisar gruppen till arbete som har gjorts inom big data, exempelvis ISO/IEC 20546:2019 Information technology — Big data — Overview and vocabulary.  

Internationellt har G20-gruppen adopterat ”Human-centered Artificial Intelligence (AI)” som är baserat på OECD ”Principles on Artificial Intelligence”. Dessa består av fem värdebaserade principer för ansvarsfull användning av pålitlig AI och fem rekommendationer för regeringar och internationellt arbete.

EU-kommissionens expertgrupp på hög nivå för AI-frågor har 2019 presenterat den färdiga guiden “Etiska riktlinjer för tillförlitlig AI”. Den skriver att en pålitlig AI behöver vara:  

 Tillförlitlig AI har tre komponenter som bör finnas med under systemets hela livscykel: 

1. den bör vara laglig och garantera respekt för alla gällande lagar och förordningar,

2. den bör vara etisk och säkerställa efterlevnad av etiska principer och värden, och

3. den bör vara robust, både ur tekniskt och samhälleligt perspektiv eftersom AI-system även med de bästa intentioner kan orsaka oavsiktliga skador.

För att nå dessa mål har gruppen definierat 7 nyckelkrav som måste uppfyllas av AI-system. För att underlätta för användarna så har gruppen också presenterat ett vägledande begreppsdokument kallat ”En definition av AI: viktigaste förmågor och discipliner”. 

Utöver ovanstående dokument och grupper så pågår arbete i bred front med standarder och guider både internationellt samt hos många länders myndigheter, organisationer och företag. Peter Cihon, University of Oxford, sammanställde i våras en rapport som beskriver arbetsstatus: ”Standards for AI Governance: International Standards to Enable Global Coordination in AI Research & Development.

Den uppmärksamme kan observera mycket aktivitet i olika nätverk för att stödja AI-verksamhet. Där är AI-frågorna i fokus, artiklar presenteras, det arrangeras seminarier och ordnas konferenser. Det behövs mycket plats att lista alla grupperingar som just nu är aktiva inom AI-området. Följande är några akademiska nätverk som uppmärksammas: CLAIRE är väldigt aktiva i Europa för att stärka forskningen och innovation på AI och har samlat många forskare. ELLIS är fokuserat på att stötta ekonomisk tillväxt i Europa genom forskning om AI. Svenska AI-sällskapet (SAIS) anordnar en årlig konferens, stöder kurser, workshops och konferenser inom områden som anknyter till AI.

Summering av status för AI
En summering av läget inom regler och standarder för AI är att flera olika guider, riktlinjer och vägledningar finns utgivna, men samtliga är på en hög nivå. Detta medför att det i dagsläget är svårt att objektivt verifiera de krav som ställs på AI, exempelvis sådana på etik, hållbarhet och säkerhet. Inom standardiseringsutveckling sker arbete internt i grupperna men få resultat har hittills publicerats.

I väntan på regulatoriska krav för AI så förväntas nuvarande lagar tillämpas (exempelvis GDPR). Detta betyder att granskning av AI-tillämpningen också oftast innebär att först förstå AI-aktivitetens syfte och därefter urskilja vad för sorts data som AI hanterar, för att sedan identifiera vilka lagrum som kan vara applicerbara. Vissa av dessa lagkrav kan bli en utmaning att uppfylla för ägarna av AI, exempelvis i de tillämpningar där nuvarande lagstiftning ställer sådana krav att endast en fysisk person får ta beslut. Ett nästan likadant problem är när personerna som fram tills nu varit handläggare eller utförare har på sig regulatoriska krav på att inneha utbildning, yrkescertifiering eller yrkeslegitimation.

Det är mycket som händer inom det här området just nu, och det är därför viktigt att vara involverad och hänga med i utvecklingen av standarder och metoder för att säkerställa en etisk, säker och hållbar användning av AI.

Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom Informationssäkerhetsrevision, ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för kortdata, QSA. Idag är han engagerad med utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom området informationssäkerhet (GDPR, ISO 27001 och PCI DSS).

Vi  anordnar regelbundet seminarier om it- och informationssäkerhet under samlingsnamnet Secure Insight. Avsikten är att sammanföra aktuella ämnen med kunniga talare och intresserade deltagare för en eftermiddag med mycket kunskapsutbyte. För att se vilka event du kan anmäla dig till just nu, klicka här.