Íhugun við gerð stjórnarhátta og öryggisráðstafana fyrir alþjóðasamfélagið
Árið 2025 og snemma árs 2026 kom teymi öryggissérfræðinga með áherslu á gervigreind í vinnuhópi Health-ISAC um gervigreind saman til að semja hvítbók sem veitir leiðbeiningar um þróun stjórnunarramma fyrir gervigreind. Hvítbókin sem af því hlýst veitir dæmi um viðunandi notkunarstefnu fyrir gervigreind og ítarlegar leiðbeiningar um stjórnun áhættu tengdri gervigreind. Hún setur skýrar skilgreiningar á ábyrgri notkun á skapandi gervigreind og löggiltum hugbúnaði (LLM), bannar að persónuupplýsingar, persónuupplýsingar og trúnaðargögn séu birt opinberlega og krefst heimildar, eftirlits og mannlegrar endurskoðunar á niðurstöðum gervigreindar í klínísku, mannauðs-, lögfræðilegu og fjárhagslegu samhengi.
Sumir eiginleikar skjalsins eru meðal annars:
Formleg stjórnunaruppbygging gervigreindar. Í greininni er sett fram raunhæft líkan af stjórnarnefnd um gervigreind með fulltrúum sem vinna þvert á starfssvið (lögfræði, friðhelgi einkalífs, öryggis, tækni, gagnavísinda, viðskipta, siðfræði) sem heyrir undir yfirstjórn eða stjórn. Þar er skilgreint ábyrgð, dæmi um mælikvarða og áréttað að stjórnarhættir eru nauðsynlegir, ekki valkvæðir.
Stjórnunarrammi fyrir gervigreind sem byggir á súlum. Skjalið lýsir sjö stoðum: löggjöf/reglugerðir/stefnumótun, friðhelgi einkalífs og siðfræði gervigreindar, stjórnun notkunartilvika, stjórnun líkana á líftíma, samningagerð og innleiðingu þriðja aðila, viðbrögð við atvikum og stjórnun brota á gervigreind, og þjálfun og fræðsla um gervigreind. Hver stoð hefur sérstök markmið og eigendur.
Hagnýt leiðarvísir fyrir framkvæmd. Innleiðingaráætlun skiptir verkinu í fjögur stig: Upphaf (nefnd, meginreglur, skráning), áhættu- og áhrifamat (DPIA, hlutdrægniúttektir, öryggisúttektir), innleiðing ramma (stefnur, skráning notkunartilvika, líftímaeftirlit) og eftirlit og endurskoðun (reglubundnar úttektir, endurþjálfun, úttektir).
Ítarleg, endurnýtanleg stefna um ásættanlega notkun gervigreindar. Í skjalinu er að finna ítarlegt dæmi um stefnu með tilgangi og umfangi, leiðbeinandi meginreglum, gagnsæi og siðfræði, ábyrgð og eftirliti, friðhelgi og öryggi gagna, trúnaði, ásættanlegri og bönnuðum notkun, framfylgd og skilgreiningum, auk töflu yfir „leyfilega vs. óleyfilega“ notkun fyrir opinber gervigreindartól.
Átta áhættuflokkar gervigreindar eru tengdir sérstökum öryggisráðstöfunum. Það fjallar kerfisbundið um friðhelgi og öryggi gagna, áhættu í framboðskeðju og þriðja aðila, áhættu í líkani og afköstum, hlutdrægni og sanngirni, reglugerðir og reglufylgni, öryggisbresti, stjórnarhættu og eftirlitsáhættu og skuggagervigreind, og parar hvert þeirra við raunverulegar öryggisráðstafanir eins og lágmörkun gagna, SBOM (Social Experiences of the Computing Organization), áreiðanleikakönnun birgja, „red teaming“ (rauð teymi), samningsbundnar eftirlitsreglur og greiningu skuggagervigreindar.
