Europos Parlamentui (EP) dėl saugumo rizikų išjungus dirbtinio intelekto (DI) funkcijas įstatymų leidėjų ir jų personalo darbo įrenginiuose, Lietuvos valdžios institucijos tokiu keliu eiti neplanuoja. Jų teigimu, šiuo metu taikomos rekomenduojamos priemonės ir atitinkami saugumą užtikrinantys sprendimai.
Seimo kanceliarijos Informacijos ir komunikacijos departamento Spaudos biuro patarėja Justė Radzevičiūtė-Laugalienė sako, kad šiuo metu griežtų draudimų naudotis DI įrankiais Seimo nariams ir jų komandai nėra nustatyta. Parlamentarai, anot jos, patys priima sprendimus, kokius ir kaip DI įrankius naudoti tarnybiniuose bei asmeniniuose įrenginiuose.
„Vietoje draudimų kol kas pasirinktas švietimo ir prevencijos kelias. Seimo bendruomenei nuolat primenama apie galimas kibernetines rizikas, dalijamasi informacija, kaip saugiai tvarkyti jautrius darbo duomenis ir atsakingai naudoti skaitmeninius įrankius“, – atsakyme raštu Eltai nurodė J. Radzevičiūtė-Laugalienė.
„Seimo kanceliarijos darbuotojams taip pat yra parengtos vidinės dirbtinio intelekto naudojimo gairės, kuriose apibrėžta galimų DI incidentų samprata ir numatyta, kaip į juos reaguoti. Pažymėtina, kad iki šiol Seime nėra fiksuota saugumo incidentų, susijusių su DI sprendimų naudojimu“, – pridūrė ji.
Anot Seimo Spaudos biuro patarėjos, uždrausti DI įrankius šiandien tampa vis sudėtingiau, kadangi daugelis tradicinių programų turi foniniu režimu veikiančius DI modulius.
„Vis dėlto EP iniciatyva vertintina palankiai – ji rodo atsakingą ir prevencinį požiūrį į duomenų apsaugą bei kibernetinį saugumą. Reaguodama į šią praktiką, Seimo kanceliarija artimiausiu metu planuoja kreiptis į kompetentingas institucijas, prašydama įvertinti, ar analogiški operacinės sistemos lygmens sprendimai galėtų būti taikomi ir Seimo naudojamuose įrenginiuose. Gavus ekspertų išvadas, bus teikiami konkretūs siūlymai Seimo vadovybei“, – akcentuoja ji.
Vyriausybė: vadovaujamasi rekomendacijomis
Tuo metu Vyriausybės kanceliarijos Komunikacijos departamentas savo atsakyme teigia, kad vadovaujamasi Valstybės skaitmeninių sprendimų agentūros, kaip DI kompetencijų centro viešajam sektoriui, rekomendacijomis.
Priduriama, kad remiantis metodinėmis rekomendacijomis šiuo metu Vyriausybės kanceliarija rengia vidaus taisyklių atnaujinimą.
„Dalis jų bendrųjų principų apima: Vyriausybės kanceliarijos veikloje draudžiama naudoti asmenines, viešas ar nepatvirtintas DI paskyras, platformas ir įrankius (tokių kaip asmeninė ChatGPT, „Google“ „Gemini“ paskyra, ar viešos generatyvinio DI sistemos), kai tvarkomi kanceliarijos duomenys, vykdomi veiklos procesai. Leidžiama naudoti tik įstaigos įsigytas dirbtinio intelekto sistemas“, – rašoma Vyriausybės atsakyme Eltai.
„Vyriausybės kanceliarijoje patvirtintos DI sistemos (įrankiai) veikia tik kaip pagalbiniai įrankiai. DI įveiklinimas turi atitikti etiško naudojimo principus“, – priduria institucija.
Taip pat teigiama, kad patvirtintose DI sistemose draudžiama įvesti, apdoroti, generuoti rezultatus, prognozes, turinį, rekomendacijas. Kartu draudžiama DI sistemose naudoti asmens duomenis, įslaptintą ar jautrią informaciją.
„Darbuotojas, administruojantis DI sistemas, periodiškai atlieka kanceliarijos DI sistemų inventorizaciją, tikrina, ar DI sistemos dirba numatytu režimu, ar užtikrinamas informacijos saugumas“, – pažymima atsakyme.
NKSC: sprendimai turi būti pagrįsti rizikos vertinimu
Nacionalinio kibernetinio saugumo centro (NKSC) teigimu, visos rekomendacijos dėl DI naudojimo institucijose yra išdėstytos specialiame leidinyje, kur pabrėžiama, jog tokių technologijų sprendimų taikymas turi būti grįstas rizikų vertinimu bei aiškiomis vidaus taisyklėmis ir apsaugos priemonėmis.
„Leidinyje rekomenduojama organizacijoms apsibrėžti, kurios DI sistemos yra leistinos, ir kokia informacija jose gali būti naudojama, parengti aiškią DI naudojimo politiką bei nustatyti atsakomybes. Taip pat akcentuojamas griežtas prieigos ir teisių valdymas, daugiafaktorės autentifikacijos taikymas, duomenų nutekėjimo prevencijos priemonės bei į DI keliamo turinio filtravimas ir auditavimas“, – rašoma NKSC atsakyme Eltai.
„Institucijoms rekomenduojama vertinti DI tiekėjų patikimumą ir teisinę atitiktį (įskaitant Bendrojo duomenų apsaugos reglamento reikalavimus), užtikrinti duomenų šifravimą perdavimo ir saugojimo metu, vykdyti stebėseną ir kaupti audito žurnalus. Jei tokia galimybė yra, siūloma išjungti funkcijas, leidžiančias modeliams tobulėti naudojant organizacijos įvestus duomenis“, – teigia centras.
Klausiant, ar rekomenduoja valstybės institucijoms taikyti panašią metodiką, kaip EP, NKSC teigia, jog jų pozicija grindžiama ne universaliu draudimu, o rizika pagrįstu vertinimu.
„Pavyzdžiui, kai nėra aiškūs duomenų srautai, priklausoma nuo išorinių debesijos paslaugų, trūksta kontrolės mechanizmų ar nėra galimybės užtikrinti konfigūracijos valdymo, jų ribojimas ar blokavimas, ypač tarnybiniuose įrenginiuose, gali būti pagrįsta priemonė“, – tvirtina NKSC.
„Jeigu organizacija gali užtikrinti tinkamas kontrolės priemones – leidžiamų įrankių sąrašą, duomenų klasifikavimą, duomenų nutekėjimo sprendimus, veiklos žurnalus, daugiafaktorę autentifikaciją, tiekėjo atitikties vertinimą – tuomet galimas kontroliuojamas DI naudojimas“, – priduria jie.
Visgi centras rekomenduoja vengti nežinomų kūrėjų ar nepatikimų tiekėjų programėlių, ypač jei jos prašo perteklinių leidimų, taip pat programėlių iš neoficialių parduotuvių ar diegiamų neįprastais kanalais.
„Riziką gali kelti ir nepatvirtinti failų dalijimosi, debesijos, žinučių ar nuotolinio valdymo įrankiai, kurių duomenų perdavimo bei saugojimo mechanizmai nėra aiškūs“, – teigia jie.
„Atsargiai vertintini ir DI įrankiai ar naršyklių priedai, kurie automatiškai apdoroja tekstą ar dokumentus ir siunčia turinį į išorinius serverius bei perduoda duomenis už Europos Sąjungos ar Europos ekonominės erdvės (ES/EEE) ribų, jei organizacijoje nėra aiškios politikos ir techninių kontrolės priemonių“, – priduria NKSC.
EP susirūpinta saugumu
Kaip skelbta, EP išjungė DI funkcijas įstatymų leidėjų ir jų personalo darbo įrenginiuose, motyvuodamas susirūpinimu dėl kibernetinio saugumo ir duomenų apsaugos.
Leidinio „Politico“ interneto svetainėje skelbta, kad EP savo nariams išsiuntė elektroninį laišką, kuriame informavo, jog išjungė „integruotas dirbtinio intelekto funkcijas“ darbo planšetėse, nes IT skyrius nustatė, jog negali garantuoti šių įrankių duomenų saugumo.
Europos Sąjunga (ES) pastaraisiais metais sustiprino savo duomenų saugumo politika. Tai iš dalies lėmė susirūpinimas, susijęs su užsienio technologijų tiekėjais. Įstatymų leidėjų grupė lapkričio mėnesį paragino EP atsisakyti vidinio „Microsoft“ programinės įrangos naudojimo ir pasirinkti europietišką alternatyvą, skelbė „Politico“. Ši institucija 2023 m. taip pat uždraudė personalo įrenginiuose naudoti socialinį tinklą „TikTok“ ir rekomendavo parlamentarams ištrinti jį iš savo telefonų.
Minėtame elektroniniame laiške įstatymų leidėjai taip pat buvo paraginti „apsvarstyti galimybę imtis panašių atsargumo priemonių“ savo asmeniniuose įrenginiuose, ypač tuose, kurie naudojami su darbu susijusioms užduotims.
Kopijuoti, platinti, skelbti ELTA turinį be ELTA raštiško sutikimo draudžiama.
