AI pod lupą audytora

Po webinarze z cyklu #Cyberbezpieczenstwo360° wracamy do tematu, który wzbudził ogromne zainteresowanie –  norma ISO 42001. O kulisach pierwszej w Polsce certyfikacji tego standardu przez TUV NORD Polska, realnych wyzwaniach i praktycznych wskazówkach rozmawialiśmy z Marcinem Kraską, Quality & Security Director w Transition Technologies MS.

Co było kluczowym powodem decyzji o wdrożeniu ISO 42001?

Decyzja o wdrożeniu ISO 42001 nie była impulsem ani reakcją na chwilową modę, lecz wynikiem świadomej, wielowymiarowej analizy strategicznej, która uwzględniała zarówno kierunek rozwoju organizacji, jak i zmieniające się otoczenie regulacyjne oraz rosnące oczekiwania klientów.

Z jednej strony Zarząd jasno określił, że sztuczna inteligencja jest jednym z kluczowych obszarów rozwoju, co automatycznie oznaczało konieczność zbudowania kompetencji oraz uporządkowania procesów, natomiast z drugiej strony pojawiły się regulacje takie jak AI Act, które wprowadzają konkretne wymagania wobec organizacji dostarczających produkty AI oraz wykorzystujących AI w codziennej pracy, co sprawiło, że potrzebowaliśmy narzędzia pozwalającego nam te wymagania spełnić w sposób systemowy i powtarzalny.

Nie bez znaczenia był również aspekt rynkowy, ponieważ już dziś obserwujemy, że klienci coraz częściej oczekują nie tylko deklaracji, ale realnych dowodów kompetencji, a certyfikat ISO 42001 stanowi w tym kontekście silny argument potwierdzający dojrzałość organizacji.

Ile trwał etap wdrożenia ISO 42001?

Proces wdrożenia, liczony od momentu podjęcia decyzji przez zarząd do audytu certyfikującego, zamknął się w około sześciu miesiącach, co na pierwszy rzut oka może wydawać się bardzo krótkim okresem. Należy jednak pamiętać, że TTMS już od 8 lat posiada wdrożony i funkcjonujący system ISO 27001, który stanowi solidną bazę wyjściową.

W praktyce oznaczało to, że znacząca część wymagań była już spełniona, dzięki czemu mogliśmy skupić się przede wszystkim na tych obszarach, które są specyficzne dla sztucznej inteligencji, takich jak analiza ryzyka AI czy zarządzanie cyklem życia modeli.

Cały proces angażował kilkanaście osób z różnych zespołów, a jego sukces był możliwy dzięki ścisłej współpracy pomiędzy działem jakości, a zespołami technologicznymi, które dostarczały niezbędnej wiedzy i kontekstu. 

Co było największym wyzwaniem w całym procesie?

Największym wyzwaniem okazała się konieczność zmiany perspektywy, szczególnie w kontekście analizy ryzyka, ponieważ dotychczasowe podejście, wypracowane w ramach ISO 27001, koncentrowało się głównie na klasycznych atrybutach bezpieczeństwa informacji, takich jak poufność, integralność i dostępność.

W przypadku ISO 42001 musieliśmy rozszerzyć to podejście o zupełnie nowe obszary, obejmujące między innymi ryzyka etyczne, społeczne, prawne czy technologiczne związane z działaniem modeli AI. Wymagało to nie tylko stworzenia nowych narzędzi analitycznych, ale również zmiany sposobu myślenia całego zespołu.

Dodatkowym wyzwaniem było zrozumienie i zarządzanie złożonością samych rozwiązań AI, które często składają się z wielu komponentów i zależności, co sprawia, że ich analiza i dokumentowanie jest znacznie bardziej wymagające niż w przypadku tradycyjnych systemów IT.

Jak zespół poradził sobie z tzw. „Shadow AI”?

Jednym z najbardziej interesujących, a jednocześnie wymagających obszarów okazało się zjawisko tzw. Shadow AI. Wykorzystywanie narzędzi sztucznej inteligencji przez pracowników poza oficjalnymi procesami organizacji po prostu się dzieje. W praktyce oznacza to, że nawet jeśli firma formalnie nie wdrożyła AI, to i tak ono w niej funkcjonuje.

Podczas wdrożenia okazało się, że pracownicy korzystają z różnych narzędzi, często w sposób intuicyjny i nie do końca są świadomi konsekwencji, co wymusiło przeprowadzenie szerokiej inwentaryzacji oraz wprowadzenie jasnych zasad korzystania z AI. Kluczowym elementem okazało się jednak budowanie świadomości, ponieważ bez zrozumienia, jakie dane można wprowadzać do systemów AI i jakie ryzyka się z tym wiążą, nawet najlepsze procedury pozostają martwe. 

Czy pracownicy faktycznie odczuwają korzyści z wdrożonego systemy ISO 42001?

Z perspektywy pracowników wdrożenie systemu przyniosło bardzo konkretne korzyści, ponieważ zamiast niepewności i braku jasnych wytycznych, pojawiły się przejrzyste zasady, które określają, jakie narzędzia mogą być wykorzystywane, w jakich procesach oraz na jakich warunkach. Dzięki temu pracownicy mogą korzystać z AI w sposób bardziej świadomy i bezpieczny, co nie tylko zwiększa efektywność ich pracy, ale również minimalizuje ryzyko popełnienia błędów, które mogłyby mieć konsekwencje prawne lub biznesowe.

Z kolei dla zespołów technicznych największą wartością było uporządkowanie procesów, ponieważ wcześniej różne zespoły podchodziły do tworzenia rozwiązań AI w odmienny sposób, co utrudniało utrzymanie spójności i jakości. 

ISO 42001 vs ISO 27001 – co je różni w praktyce?

Choć obie normy są ze sobą silnie powiązane i wykorzystują podobną strukturę zarządczą, to jednak ich zakres i perspektywa są wyraźnie różne, co sprawia, że nie można traktować ISO 42001 jedynie jako rozszerzenia ISO 27001.

ISO 27001 koncentruje się przede wszystkim na ochronie informacji w organizacji, natomiast ISO 42001 wprowadza perspektywę produktu i cyklu życia systemów AI, co oznacza konieczność uwzględnienia takich aspektów jak jakość danych, sposób trenowania modeli czy odpowiedzialność za generowane wyniki. Dodatkowo pojawiają się nowe kategorie ryzyk, które w tradycyjnym podejściu do bezpieczeństwa informacji nie były uwzględniane, co czyni tę normę unikalnym narzędziem w kontekście zarządzania AI. 

Czy każda firma powinna wdrażać ISO 42001?

Nie każda organizacja musi od razu decydować się na wdrożenie ISO 42001, ponieważ kluczowym czynnikiem jest rola, jaką sztuczna inteligencja odgrywa w jej działalności oraz poziom ryzyka z tym związanego.

Wdrożenie ma szczególny sens w przypadku firm, które rozwijają własne rozwiązania AI, wykorzystują je w kluczowych procesach lub działają w branżach regulowanych, gdzie wymagania dotyczące zgodności są szczególnie wysokie.

Z drugiej strony, jeśli organizacja nie posiada odpowiednich zasobów, nie ma wsparcia zarządu lub wykorzystanie AI jest marginalne, wdrożenie może okazać się nieefektywne i generować więcej kosztów niż realnych korzyści.

Jakie byłyby 3 praktyczne wskazówki na start dla organizacji, które planują wdrożenie ISO 42001?

Pierwszym i absolutnie kluczowym krokiem jest zbudowanie zespołu, który będzie łączył kompetencje z różnych obszarów, ponieważ wdrożenie ISO 42001 wymaga zarówno wiedzy z zakresu jakości i compliance, jak i technologii AI oraz ochrony danych.

Drugim krokiem powinna być dokładna inwentaryzacja wykorzystania AI w organizacji, która pozwoli zrozumieć, gdzie i w jaki sposób narzędzia te są wykorzystywane, co często ujawnia obszary wcześniej niedostrzegane.

Trzecim elementem jest edukacja pracowników, która stanowi fundament skutecznego wdrożenia, ponieważ bez odpowiedniego poziomu świadomości nawet najlepiej zaprojektowane procesy nie będą działały w praktyce. 

Jakie znaczenie dla Waszej organizacji ma certyfikat ISO 42001?

Certyfikat ISO 42001 ma realny wpływ na funkcjonowanie firmy na wielu poziomach, ponieważ z jednej strony wzmacnia jej wiarygodność w oczach klientów, a z drugiej porządkuje wewnętrzne procesy i ułatwia zarządzanie ryzykiem.

Dodatkowo może pełnić funkcję swoistej „polisy bezpieczeństwa” dla zarządu, ponieważ w przypadku incydentów pozwala wykazać, że organizacja dochowała należytej staranności i działała zgodnie z uznanymi standardami.

Można się spodziewać, że w najbliższym czasie certyfikacja stanie się jednym z wymagań przetargowych, co dodatkowo zwiększa jej znaczenie biznesowe.

Czy z perspektywy Waszej organizacji warto podejmować wyzwanie wdrożenia ISO 42001?

Jeżeli sztuczna inteligencja stanowi istotny element strategii organizacji, to wdrożenie ISO 42001 jest nie tylko uzasadnione, ale wręcz konieczne, aby zapewnić bezpieczny i zgodny z regulacjami rozwój. Norma ta jest praktycznym narzędziem, które pomaga uporządkować działania, zwiększyć świadomość i zbudować solidne fundamenty pod rozwój rozwiązań AI w długiej perspektywie.

W świecie, w którym technologia rozwija się szybciej niż regulacje, posiadanie takiego frameworku może okazać się jednym z kluczowych czynników przewagi konkurencyjnej.

 

Transition Technologies MS jest częścią międzynarodowej grupy Transition Technologies, która skupia setki specjalistów, pracujących w różnych technologiach i na różnych rynkach. Spółka odpowiada za realizację projektów zarówno w Polsce, jak i w wielu krajach Europy oraz Azji, co sprawia, że działa w środowisku niezwykle dynamicznym i wymagającym ciągłego dostosowywania się do potrzeb klientów. W praktyce oznacza to, że zajmuje się nie tylko klasycznymi usługami IT, takimi jak wdrożenia systemów czy integracje technologiczne, ale również coraz intensywniej rozwija kompetencje związane ze sztuczną inteligencją.

 

Rozmowę przeprowadził Przemysław Szczurek, Senior Manager ds. Bezpieczeństwa Informacji w TUV NORD Polska.