Siirry sisältöön
Huoltovarmuuskeskus

Miten hallita tekoälyn käytön tietoturvariskejä?

Tekoäly tarjoaa yrityksille mahdollisuuksia luoda täysin uudenlaisia ratkaisuja ja liiketoimintaa. Sen käyttöönottoon sisältyy kuitenkin myös riskejä, jotka on hyvä huomioida alusta alkaen. Näiden arvioinnissa auttaa Traficomin Kyberturvallisuuskeskuksen Huoltovarmuuskeskuksen tilauksesta luoma tekoälyn käytön riskien itsearviointityökalu.

12.2.2024
digitaalinen-turvallisuus-2030kyberturvallisuustietoturvallisuustietoyhteiskunta

Yritykset käyvät kilpajuoksua siinä, miten ne alkavat hyödyntää tekoälyä ja siihen liittyvää koneoppimista omassa liiketoiminnassaan. Tekoälyn avulla voi niin tehostaa ja automatisoida nykyistä liiketoimintaa kuin luoda aivan uudenlaisia liiketoimintaa.

“Tekoälyn ja koneoppimisen hyödyntämisessä on tärkeä tunnistaa niihin liittyvät tietoturvariskit jo suunnitteluvaiheessa, jotta riskit voi minimoida ja niihin voi varautua”, sanoo erityisasiantuntija Markus Mettälä Traficomista.

Tekoälyyn ja koneoppimiseen liittyvien tietojärjestelmien riskien tunnistaminen ja hallitseminen on tärkeää, jotta yritykset pystyvät hyödyntämään tekoälyjärjestelmiä mahdollisimman turvallisesti ja laajasti. Samalla yhteiskunnan pyörät pysyvät pyörimässä, sillä olemme monessa asiassa riippuvaisia digitaalisista sovelluksista − tulevaisuudessa myös tekoälyyn perustuvista.

Tekoälyjärjestelmät lisäävät tietoturvariskiä perinteisiin tietojärjestelmiin verrattuna siinä, että ne ovat monimutkaisempia ja niiden hyökkäyspinta on laajempi.

“Tärkeintä yrityksissä on miettiä, mihin käyttötarkoitukseen tekoälyä ja koneoppimista hyödynnetään, ja tutkia, mitä siihen sopivia ratkaisuja on tarjolla. Sen jälkeen suunnitellaan, mihin tekniseen ympäristöön tekoälyjärjestelmä implementoidaan ja millainen sen IT-arkkitehtuuri on. Tähän kokonaisuuteen tulee sitten peilata erilaisia tietoturvariskejä ja niiltä suojautumista”, Mettälä kertoo.

Usein jo perinteinen hyvin toteutettu tietoturva riittää kattamaan suurimman osan tekoälyjärjestelmiä koskevista tietoturvauhkista.

“Tekoälyjärjestelmät lisäävät tietoturvariskiä perinteisiin tietojärjestelmiin verrattuna siinä, että ne ovat monimutkaisempia ja niiden hyökkäyspinta on laajempi”, muistuttaa tietoturva-asiantuntija Aleksi Blomqvist Traficomin Kyberturvallisuuskeskuksesta.

Tekoäly vaatii uudenlaista tietoturvanäkemystä

Tekoälyyn ja koneoppimiseen pohjautuvat järjestelmät eroavat perinteisistä tietojärjestelmistä siinä, että tekoäly oppii opetusdatasta. Tämä tuo mukanaan käytettävän opetusdatan ja tekoälymallin luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä erityisiä tietoturvariskejä, joita on kuvattu oheisessa kaaviossa.

Opetusdatan ja tekoälymallin luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä erityisiä tietoturvariskejä. Lähde: Kyberturvallisuuskeskus 2021

Tekoälyn opettamiseen ja niiden opetusdataan tehdyt investoinnit saattavat tehdä koneoppimismallista itsessään liiketoiminnallisesti arvokkaan. Hyvin opetettu ja toimiva malli saattaa myös olla kilpailuetu, joten niin itse malli kuin opetusdatakin saattavat kiinnostaa kyberrikollisia.

Mitä enemmän tekoälysovellusten kehittäminen on yrityksen omissa käsissä, sitä turvallisemmaksi se on mahdollista tehdä.

Tekoälyjärjestelmien tietoturvariskejä ehkäistään pääosin samoin kuin perinteisten tietojärjestelmien riskejä. Koneoppivat tekoälyjärjestelmät vaativat kuitenkin uudenlaisia tietoturvan lähestymistapoja. Tällaisia ovat muun muassa arkkitehtuuriset tietoturvakontrollit, jotka liittyvät ennen kaikkea mallien sijaintiin järjestelmässä ja niiden syötteiden kontrollointiin. Koneoppimismalleihin liittyvät tietoturvakontrollit taas liittyvät siihen, miten mallia opetetaan ja miten opetusdataa käsitellään ennen opetusta.

“Yritykset voivat minimoida riskejä, jos generatiivista tekoälyn kielimallia opetetaan yrityksen omalla datalla ja jos koneoppimismallin kehittämisessä ollaan mahdollisimman paljon mukana. Silloin yritys pystyy varmistamaan tietosuojan ja tietoturvan paremmin. Mitä enemmän tekoälysovellusten kehittäminen on yrityksen omissa käsissä, sitä turvallisemmaksi se on mahdollista tehdä, mutta se vaatii tietenkin osaamista”, Markus Mettälä pohtii.

Tekoälyn käytön riskien itsearviointityökalu

Kyberturvallisuuskeskus on luonut tekoälyn hyödyntämistä suunnittelevien yritysten käyttöön tietoturvariskien itsearviointityökalun. Arviointityökalu koostuu sarjasta kysymyksiä ja niitä vastaavista mahdollisista huomioista, jotka ohjaavat käyttäjää oikeaan suuntaan riskien tunnistamisen ja hallinnan osalta.

“Tekoälyn käytön riskien itsearviointityökalu on kehitetty huoltovarmuuskriittisille organisaatioille ja yrityksille, mutta sitä voi suositella ihan jokaiselle yritykselle. Itsearviointityökalun kautta pystyy käymään läpi suuren osan riskeistä”.

Itsearviointityökalu nostaa ensin esille yleisempiä riskejä ja vasta sitten teknisempiä kysymyksiä. Näin jonkin yksittäisen teknisen riskin ilmetessä on helpompi sanoa, onko sillä järjestelmälle mitään merkitystä.

Tekoälyn käytön riskien itsearviointityökalu löytyy Kyberturvallisuuskeskuksen raportista “Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta” sivuilta 30–35.

Kolme näkökulmaa tekoälyn kyberturvallisuuteen

Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelman tarkoituksena on kehittää yhteiskunnan sietokykyä kyberhäiriöitä vastaan. Osana ohjelmaa Huoltovarmuuskeskus on yhdessä Traficomin Kyberturvallisuuskeskuksen kanssa laatinut sarjan selvityksiä tekoälyn kyberturvallisuudesta erityisesti huoltovarmuuskriittisten yritysten hyödynnettäväksi:

    • Raportti 1: Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta. Linkki raporttiin.
    • Raportti 3: Tekoälyn käyttö kyberturvaratkaisuissa. Julkaistaan maaliskuussa 2024.

Jatkossakin Huoltovarmuuskeskus tekee yhteistyötä sekä Kyberturvallisuuskeskuksen että muiden kumppanien kanssa tekoälyn ja muiden nousevien teknologioiden kyberturvallisuuteen liittyvän tiedon tuottamisessa ja jakamisessa huoltovarmuuskriittisille yrityksille ja organisaatioille.

Lisätietoa Digitaalinen turvallisuus 2030 -ohjelmasta

Teksti: Matti Lintulahti / Kuva: Colourbox

Lue myös: Kyberhyökkääjät käyttävät tekoälyä – mitä suojautuminen vaatii?

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Tummatukkainen nainen seisoo kadulla kotiovensa edessä vesisateessa. Vesipisarat ovat suuria kuplia, joista yhdessä etualalla olevassa kuplassa lukee 72 tuntia.

Suomalaiset haluavat oppia varautumaan – 72 tuntia -yleisökoulutusten suosio reippaassa kasvussa

Varautumiskoulutusten suosio kasvaa. Viime vuonna 72 tuntia -yleisökoulutuksia oli yli 200 ja niissä yli 8 300 osallistujaa.
Pöydällä on tietokoneita, johtoja, kuulokkeita ja papereita. Kädet näpyttelevät tietokonetta.

TIETO24 huipentui monitasoiseen roolipeliin, jossa tieto todella oli valtaa

Synkkiä pilviä kokoontuu tasavallan ylle. Ongelmat eskaloituvat ja raportteja eri tasoisesta kiusanteosta saadaan ympäri maata. Ulkopuolisten tahojen hybridioperaatiot hämmentävät pakkaa aina siinä määrin, että kansalaiset eivät enää tiedä, mihin uskoa. Pahantahtoisen hyökkäyksen kruunaa disinformaatiokampanja, joka on valjastanut käyttöönsä tiedotusvälineitä ja sosiaalisen median. Kohta oikea tieto jo hukkuu harhaanjohtavien väitteiden, härskien huhujen ja kylmän laskelmoivien valheiden suohon. Mikä neuvoksi?
Lähikuva käsistä, jotka pitävät maksupäätettä sekä puhelinta. Taustalla näkyy henkilö, jolla on päällään valkoinen kauluspaita ja musta kravatti.

Myös yritykset tarvitsevat varautumissuunnitelmia pankkihäiriöiden varalta

Yritykset ottavat riskienhallinnassaan huomioon lukuisia mahdollisia häiriöitä, joista yhden tulisi olla varautuminen pankkien häiriötilanteisiin. Siinä vaiheessa kun yrityksen pankkipalvelut lakkaavat esimerkiksi palvelunestohyökkäyksen takia toimimasta, ollaan myöhässä.