Regulasi AI di Masa Depan

Namun, ketidakpastian tentang cara terbaik untuk menerapkan AI membuat beberapa perusahaan tidak mau mengambil tindakan. Indeks Akselerasi Digital (DAI) terbaru dari Boston Consulting Group, sebuah survei global terhadap 2.700 eksekutif, mengungkapkan bahwa hanya 28% yang mengatakan bahwa organisasi mereka sepenuhnya siap untuk regulasi AI baru.

Ketidakpastian mereka diperburuk oleh regulasi AI yang datang dengan cepat dan bertubi-tubi: UU AI Uni Eropa sedang dalam proses ; Argentina merilis rancangan rencana AI; Kanada memiliki UU AI dan Data; Tiongkok telah memberlakukan banyak regulasi AI; dan negara-negara G7 meluncurkan "proses AI Hiroshima." Pedoman berlimpah, dengan OECD mengembangkan prinsip-prinsip AI, PBB mengusulkan badan penasihat AI PBB yang baru, dan pemerintahan Biden merilis cetak biru untuk Piagam Hak AI (meskipun itu dapat dengan cepat berubah dengan pemerintahan Trump yang kedua).

Undang-undang juga mulai berlaku di beberapa negara bagian AS, dan muncul di banyak kerangka kerja industri. Hingga saat ini, 21 negara bagian telah memberlakukan undang-undang untuk mengatur penggunaan AI dalam beberapa cara, termasuk Undang-Undang AI Colorado, dan klausul dalam CCPA California, ditambah lagi 14 negara bagian lainnya memiliki undang-undang yang menunggu persetujuan.

Sementara itu, ada suara-suara lantang di kedua sisi perdebatan regulasi AI. Sebuah survei baru dari SolarWinds menunjukkan 88% profesional TI mendukung regulasi yang lebih ketat, dan penelitian terpisah mengungkapkan bahwa 91% warga Inggris ingin pemerintah berbuat lebih banyak untuk meminta pertanggungjawaban bisnis atas sistem AI mereka. Di sisi lain, para pemimpin lebih dari 50 perusahaan teknologi baru-baru ini menulis surat terbuka yang menyerukan reformasi mendesak terhadap regulasi AI yang ketat di Uni Eropa, dengan alasan bahwa regulasi tersebut menghambat inovasi.

Ini tentu saja merupakan masa yang sulit bagi para pemimpin bisnis dan pengembang perangkat lunak, karena para regulator berusaha keras untuk mengejar ketertinggalan teknologi. Tentu saja Anda ingin memanfaatkan manfaat yang dapat diberikan AI, Anda dapat melakukannya dengan cara yang mempersiapkan Anda untuk mematuhi persyaratan regulasi apa pun yang akan datang, dan tidak menghambat penggunaan AI Anda secara tidak perlu sementara para pesaing Anda melaju cepat.

Kami tidak memiliki bola kristal, jadi kami tidak dapat memprediksi masa depan. Namun, kami dapat berbagi beberapa praktik terbaik untuk menyiapkan sistem dan prosedur yang akan mempersiapkan dasar bagi kepatuhan regulasi AI.

Petakan penggunaan AI di ekosistem Anda yang lebih luas

Anda tidak dapat mengelola penggunaan AI oleh tim Anda kecuali Anda mengetahuinya, tetapi hal itu sendiri dapat menjadi tantangan yang signifikan. Shadow IT sudah menjadi momok bagi tim keamanan siber: Karyawan mendaftar untuk perangkat SaaS tanpa sepengetahuan departemen TI, sehingga tidak banyak solusi dan platform yang memiliki akses ke data dan/atau sistem bisnis.

Kini tim keamanan juga harus bergulat dengan AI bayangan. Banyak aplikasi, chatbot, dan alat lain yang menggabungkan AI, pembelajaran mesin (ML), atau pemrograman bahasa alami (NLP), tanpa solusi tersebut harus menjadi solusi AI yang jelas. Ketika karyawan masuk ke solusi ini tanpa persetujuan resmi, mereka membawa AI ke sistem Anda tanpa sepengetahuan Anda.

Seperti yang dijelaskan oleh pakar privasi data Opice Blum , Henrique Fabretti Moraes , “Pemetaan alat yang digunakan – atau alat yang dimaksudkan untuk digunakan – sangat penting untuk memahami dan menyempurnakan kebijakan penggunaan yang dapat diterima dan tindakan mitigasi potensial untuk mengurangi risiko yang terlibat dalam pemanfaatannya.”

Beberapa peraturan mengharuskan Anda bertanggung jawab atas penggunaan AI oleh vendor. Untuk mengendalikan situasi sepenuhnya, Anda perlu memetakan semua AI di lingkungan Anda dan organisasi mitra Anda. Dalam hal ini, penggunaan alat seperti Harmonic dapat berperan penting dalam mendeteksi penggunaan AI di seluruh rantai pasokan.

Verifikasi tata kelola data

Privasi dan keamanan data menjadi perhatian utama semua regulasi AI, baik yang sudah berlaku maupun yang akan segera disetujui.

Penggunaan AI Anda harus mematuhi undang-undang privasi yang berlaku seperti GDPR dan CCPR, yang mengharuskan Anda mengetahui data apa yang dapat diakses AI Anda dan apa yang dilakukannya dengan data tersebut, dan mengharuskan Anda menunjukkan pagar pembatas untuk melindungi data yang digunakan AI.

Untuk memastikan kepatuhan, Anda perlu menerapkan aturan tata kelola data yang kuat di organisasi Anda, dikelola oleh tim yang ditentukan, dan didukung oleh audit rutin. Kebijakan Anda harus mencakup uji tuntas untuk mengevaluasi keamanan data dan sumber semua alat Anda, termasuk yang menggunakan AI, untuk mengidentifikasi area potensi bias dan risiko privasi.

“Organisasi wajib mengambil langkah proaktif dengan meningkatkan kebersihan data, menegakkan etika AI yang kuat, dan menyusun tim yang tepat untuk memimpin upaya ini,” kata Rob Johnson , VP dan Kepala Global Solutions Engineering di SolarWinds. “Sikap proaktif ini tidak hanya membantu kepatuhan terhadap peraturan yang terus berkembang, tetapi juga memaksimalkan potensi AI.”

Tetapkan pemantauan berkelanjutan untuk sistem AI Anda

Pemantauan yang efektif sangat penting untuk mengelola setiap area bisnis Anda. Terkait AI, seperti halnya area keamanan siber lainnya, Anda memerlukan pemantauan berkelanjutan untuk memastikan bahwa Anda mengetahui apa yang dilakukan perangkat AI Anda, bagaimana cara kerjanya, dan data apa yang diaksesnya. Anda juga perlu mengauditnya secara berkala untuk memantau penggunaan AI di organisasi Anda.

“Ide menggunakan AI untuk memantau dan mengatur sistem AI lainnya merupakan perkembangan penting dalam memastikan sistem ini efektif dan etis,” kata Cache Merrill , pendiri perusahaan pengembangan perangkat lunak Zibtek. “Saat ini, teknik seperti model pembelajaran mesin yang memprediksi perilaku model lain (meta-model) digunakan untuk memantau AI. Sistem menganalisis pola dan keluaran AI operasional untuk mendeteksi anomali, bias, atau potensi kegagalan sebelum menjadi kritis.”

Platform otomatisasi Cyber GRC Cypago memungkinkan Anda menjalankan pemantauan berkelanjutan dan pengumpulan bukti audit regulasi di latar belakang. Otomatisasi tanpa kode memungkinkan Anda mengatur kemampuan alur kerja khusus tanpa keahlian teknis, sehingga peringatan dan tindakan mitigasi dipicu secara instan sesuai dengan kontrol dan ambang batas yang Anda tetapkan.

Cypago dapat terhubung dengan berbagai platform digital Anda, melakukan sinkronisasi dengan hampir semua kerangka regulasi, dan mengubah semua kontrol yang relevan menjadi alur kerja otomatis. Setelah integrasi dan kerangka regulasi Anda disiapkan, membuat alur kerja khusus pada platform semudah mengunggah spreadsheet.

Gunakan penilaian risiko sebagai pedoman Anda

Penting untuk mengetahui alat AI mana yang berisiko tinggi, sedang, dan rendah – untuk mematuhi peraturan eksternal, untuk manajemen risiko bisnis internal, dan untuk meningkatkan alur kerja pengembangan perangkat lunak. Kasus penggunaan berisiko tinggi akan memerlukan lebih banyak perlindungan dan evaluasi sebelum penerapan.

“Meskipun manajemen risiko AI dapat dimulai pada tahap mana pun dalam pengembangan proyek,” kata Ayesha Gulley, pakar kebijakan AI dari Holistic AI . “Menerapkan kerangka kerja manajemen risiko lebih awal dapat membantu perusahaan meningkatkan kepercayaan dan berkembang dengan percaya diri.”

Bila Anda mengetahui risiko yang ditimbulkan oleh berbagai solusi AI, Anda dapat memilih tingkat akses yang akan diberikan ke data dan sistem bisnis penting.

Dalam hal regulasi, Undang-Undang AI Uni Eropa sudah membedakan antara sistem AI dengan tingkat risiko yang berbeda, dan NIST merekomendasikan penilaian alat AI berdasarkan kepercayaan, dampak sosial, dan bagaimana manusia berinteraksi dengan sistem.

Tetapkan tata kelola etika AI secara proaktif

Anda tidak perlu menunggu regulasi AI untuk menetapkan kebijakan AI yang etis. Tetapkan tanggung jawab untuk pertimbangan AI yang etis, bentuk tim, dan susun kebijakan untuk penggunaan AI yang etis yang mencakup keamanan siber, validasi model, transparansi, privasi data, dan pelaporan insiden.

Banyak kerangka kerja yang ada seperti AI RMF NIST dan ISO/IEC 42001 merekomendasikan praktik terbaik AI yang dapat Anda masukkan ke dalam kebijakan Anda.

“Mengatur AI diperlukan dan tidak dapat dihindari untuk memastikan penggunaan yang etis dan bertanggung jawab. Meskipun hal ini dapat menimbulkan kerumitan, hal ini tidak akan menghalangi inovasi,” kata Arik Solomon , CEO dan salah satu pendiri Cypago. “Dengan mengintegrasikan kepatuhan ke dalam kerangka kerja internal mereka dan mengembangkan kebijakan dan proses yang selaras dengan prinsip-prinsip regulasi, perusahaan-perusahaan dalam industri yang diatur dapat terus tumbuh dan berinovasi secara efektif.”

Perusahaan yang dapat menunjukkan pendekatan proaktif terhadap AI yang etis akan berada pada posisi yang lebih baik untuk mematuhi peraturan. Peraturan AI bertujuan untuk memastikan transparansi dan privasi data, jadi jika tujuan Anda selaras dengan prinsip-prinsip ini, Anda akan cenderung memiliki kebijakan yang mematuhi peraturan di masa mendatang. Platform FairNow dapat membantu proses ini, dengan berbagai alat untuk mengelola tata kelola AI, pemeriksaan bias, dan penilaian risiko di satu lokasi.

Jangan biarkan ketakutan terhadap regulasi AI menghalangi Anda

Regulasi AI masih terus berkembang dan bermunculan, sehingga menimbulkan ketidakpastian bagi bisnis dan pengembang. Namun, jangan biarkan situasi yang tidak menentu ini menghentikan Anda untuk mendapatkan manfaat dari AI. Dengan menerapkan kebijakan, alur kerja, dan alat secara proaktif yang sejalan dengan prinsip privasi data, transparansi, dan penggunaan yang etis, Anda dapat mempersiapkan diri menghadapi regulasi AI dan memanfaatkan berbagai kemungkinan yang didukung AI.