Siirry sisältöön
Huoltovarmuuskeskus

Miten hallita tekoälyn käytön tietoturvariskejä?

Tekoäly tarjoaa yrityksille mahdollisuuksia luoda täysin uudenlaisia ratkaisuja ja liiketoimintaa. Sen käyttöönottoon sisältyy kuitenkin myös riskejä, jotka on hyvä huomioida alusta alkaen. Näiden arvioinnissa auttaa Traficomin Kyberturvallisuuskeskuksen Huoltovarmuuskeskuksen tilauksesta luoma tekoälyn käytön riskien itsearviointityökalu.

12.2.2024
digitaalinen-turvallisuus-2030kyberturvallisuustietoturvallisuustietoyhteiskunta

Yritykset käyvät kilpajuoksua siinä, miten ne alkavat hyödyntää tekoälyä ja siihen liittyvää koneoppimista omassa liiketoiminnassaan. Tekoälyn avulla voi niin tehostaa ja automatisoida nykyistä liiketoimintaa kuin luoda aivan uudenlaisia liiketoimintaa.

“Tekoälyn ja koneoppimisen hyödyntämisessä on tärkeä tunnistaa niihin liittyvät tietoturvariskit jo suunnitteluvaiheessa, jotta riskit voi minimoida ja niihin voi varautua”, sanoo erityisasiantuntija Markus Mettälä Traficomista.

Tekoälyyn ja koneoppimiseen liittyvien tietojärjestelmien riskien tunnistaminen ja hallitseminen on tärkeää, jotta yritykset pystyvät hyödyntämään tekoälyjärjestelmiä mahdollisimman turvallisesti ja laajasti. Samalla yhteiskunnan pyörät pysyvät pyörimässä, sillä olemme monessa asiassa riippuvaisia digitaalisista sovelluksista − tulevaisuudessa myös tekoälyyn perustuvista.

Tekoälyjärjestelmät lisäävät tietoturvariskiä perinteisiin tietojärjestelmiin verrattuna siinä, että ne ovat monimutkaisempia ja niiden hyökkäyspinta on laajempi.

“Tärkeintä yrityksissä on miettiä, mihin käyttötarkoitukseen tekoälyä ja koneoppimista hyödynnetään, ja tutkia, mitä siihen sopivia ratkaisuja on tarjolla. Sen jälkeen suunnitellaan, mihin tekniseen ympäristöön tekoälyjärjestelmä implementoidaan ja millainen sen IT-arkkitehtuuri on. Tähän kokonaisuuteen tulee sitten peilata erilaisia tietoturvariskejä ja niiltä suojautumista”, Mettälä kertoo.

Usein jo perinteinen hyvin toteutettu tietoturva riittää kattamaan suurimman osan tekoälyjärjestelmiä koskevista tietoturvauhkista.

“Tekoälyjärjestelmät lisäävät tietoturvariskiä perinteisiin tietojärjestelmiin verrattuna siinä, että ne ovat monimutkaisempia ja niiden hyökkäyspinta on laajempi”, muistuttaa tietoturva-asiantuntija Aleksi Blomqvist Traficomin Kyberturvallisuuskeskuksesta.

Tekoäly vaatii uudenlaista tietoturvanäkemystä

Tekoälyyn ja koneoppimiseen pohjautuvat järjestelmät eroavat perinteisistä tietojärjestelmistä siinä, että tekoäly oppii opetusdatasta. Tämä tuo mukanaan käytettävän opetusdatan ja tekoälymallin luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä erityisiä tietoturvariskejä, joita on kuvattu oheisessa kaaviossa.

Opetusdatan ja tekoälymallin luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä erityisiä tietoturvariskejä. Lähde: Kyberturvallisuuskeskus 2021

Tekoälyn opettamiseen ja niiden opetusdataan tehdyt investoinnit saattavat tehdä koneoppimismallista itsessään liiketoiminnallisesti arvokkaan. Hyvin opetettu ja toimiva malli saattaa myös olla kilpailuetu, joten niin itse malli kuin opetusdatakin saattavat kiinnostaa kyberrikollisia.

Mitä enemmän tekoälysovellusten kehittäminen on yrityksen omissa käsissä, sitä turvallisemmaksi se on mahdollista tehdä.

Tekoälyjärjestelmien tietoturvariskejä ehkäistään pääosin samoin kuin perinteisten tietojärjestelmien riskejä. Koneoppivat tekoälyjärjestelmät vaativat kuitenkin uudenlaisia tietoturvan lähestymistapoja. Tällaisia ovat muun muassa arkkitehtuuriset tietoturvakontrollit, jotka liittyvät ennen kaikkea mallien sijaintiin järjestelmässä ja niiden syötteiden kontrollointiin. Koneoppimismalleihin liittyvät tietoturvakontrollit taas liittyvät siihen, miten mallia opetetaan ja miten opetusdataa käsitellään ennen opetusta.

“Yritykset voivat minimoida riskejä, jos generatiivista tekoälyn kielimallia opetetaan yrityksen omalla datalla ja jos koneoppimismallin kehittämisessä ollaan mahdollisimman paljon mukana. Silloin yritys pystyy varmistamaan tietosuojan ja tietoturvan paremmin. Mitä enemmän tekoälysovellusten kehittäminen on yrityksen omissa käsissä, sitä turvallisemmaksi se on mahdollista tehdä, mutta se vaatii tietenkin osaamista”, Markus Mettälä pohtii.

Tekoälyn käytön riskien itsearviointityökalu

Kyberturvallisuuskeskus on luonut tekoälyn hyödyntämistä suunnittelevien yritysten käyttöön tietoturvariskien itsearviointityökalun. Arviointityökalu koostuu sarjasta kysymyksiä ja niitä vastaavista mahdollisista huomioista, jotka ohjaavat käyttäjää oikeaan suuntaan riskien tunnistamisen ja hallinnan osalta.

“Tekoälyn käytön riskien itsearviointityökalu on kehitetty huoltovarmuuskriittisille organisaatioille ja yrityksille, mutta sitä voi suositella ihan jokaiselle yritykselle. Itsearviointityökalun kautta pystyy käymään läpi suuren osan riskeistä”.

Itsearviointityökalu nostaa ensin esille yleisempiä riskejä ja vasta sitten teknisempiä kysymyksiä. Näin jonkin yksittäisen teknisen riskin ilmetessä on helpompi sanoa, onko sillä järjestelmälle mitään merkitystä.

Tekoälyn käytön riskien itsearviointityökalu löytyy Kyberturvallisuuskeskuksen raportista “Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta” sivuilta 30–35.

Kolme näkökulmaa tekoälyn kyberturvallisuuteen

Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelman tarkoituksena on kehittää yhteiskunnan sietokykyä kyberhäiriöitä vastaan. Osana ohjelmaa Huoltovarmuuskeskus on yhdessä Traficomin Kyberturvallisuuskeskuksen kanssa laatinut sarjan selvityksiä tekoälyn kyberturvallisuudesta erityisesti huoltovarmuuskriittisten yritysten hyödynnettäväksi:

    • Raportti 1: Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta. Linkki raporttiin.
    • Raportti 3: Tekoälyn käyttö kyberturvaratkaisuissa. Julkaistaan maaliskuussa 2024.

Jatkossakin Huoltovarmuuskeskus tekee yhteistyötä sekä Kyberturvallisuuskeskuksen että muiden kumppanien kanssa tekoälyn ja muiden nousevien teknologioiden kyberturvallisuuteen liittyvän tiedon tuottamisessa ja jakamisessa huoltovarmuuskriittisille yrityksille ja organisaatioille.

Lisätietoa Digitaalinen turvallisuus 2030 -ohjelmasta

Teksti: Matti Lintulahti / Kuva: Colourbox

Lue myös: Kyberhyökkääjät käyttävät tekoälyä – mitä suojautuminen vaatii?

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Kauluspaitainen henkilö pitää käsiään eteenpäin työnnettynä. Käsien välissä on kuvanmuokkauksella lisätty erilaisia tietoturvaan ja internetiin liittyviä kuvakkeita.

Konkreettiset keinot käyttöön kyberuhkia vastaan

Yhteiskunnan keskeiset toiminnot ovat riippuvaisia digitaalisista järjestelmistä ja -infrastruktuurista. Digitaalisen tietoyhteiskunnan resilienssiä ja varautumista kehitetään esimerkiksi Huoltovarmuuskeskuksen (HVK) Digitaalinen turvallisuus 2030 -ohjelmassa sekä erilaisten harjoitusten avulla. Edelleen tehostettuja kyberturvallisuuden toimenpiteitä tarvitaan, jotta yhteiskunnan kriittisiä toimintoja ylläpitävät toimijat kykenevät vastaamaan jatkuvasti kasvaviin uhkiin.

Ohjelmatoiminta tuo näkyviin keskinäisriippuvuudet

Huoltovarmuuskeskuksen ohjelmakokonaisuus kehittää huoltovarmuustyötä vastaamaan yhteiskunnan suurten toimintaympäristön muutosten vaikutuksiin. Ohjelmista on nyt tehty puolivälin tilinpäätös, ja keskeinen yhteinen oppi on se, miten kaikki vaikuttaa kaikkeen. Väliraportit arvioivat ohjelmien tuloksia sekä kokoavat yhteen käytännön opit.
Pöydällä on paperi, jossa lukee omissa sarakkeissaan: "Tilannekuva: mitä puutteita ja mitä haavoittuvuuksia, mitä ei kyetä hallitsemaan." Käsi pitää paperia pöydän päällä.

Häiriöhyrrä-työkalulla suoraan harjoittelun ytimeen

Miten saadaan keskustelu heti liikkeelle ja fokus oikeisiin asioihin? Miten työpöytätyyppisessä varautumisharjoituksessa toisilleen tuntemattomat ihmiset pysyvät innostuneina ja jakavat tietoa? HVK:n Häiriöhyrrä on osoittautunut toimivaksi työkaluksi, jonka avulla harjoituksissa on onnistuttu.