Kuvatõmmis
Päevatoimetaja
- Käivitus portaal TARK
- Lisatud link analüüsidele
Justiits- ja Digiministeerium (JDM) avalikustas täna hommikul esimesed põhjalikud usaldusväärsuse hinnangud laialt kasutatavatele tehisaru- ja pilvteenustele, nagu ChatGPT, Gemini ja Claude, et toetada ettevõtteid, asutusi ja kõiki tehisaru-huvilisi tehisaru ning pilvteenuste turvalisel kasutuselevõtul.
Pilvteenuste kasutamine on tänapäeva äritegevuses möödapääsmatu, kuid sellega kaasneb märkimisväärne juriidiline ja tehniline keerukus: andmete asukoht, vastavus Euroopa Liidu isikuandmete kaitse üldmäärusele (GDPR) ning teenusepakkujate usaldusväärsus.
Selleks et Eesti kasutajad ei peaks igaüks eraldi kulutama sadu tunde ja tuhandeid eurosid sarnastele uuringutele, tellis JDM tehisaruplatvormide usaldusväärsuse hinnangud ning muutis need kõigile kättesaadavaks.
„Meie eesmärk on kiirendada tehisaru lahenduste turvalist kasutuselevõttu Eestis, eemaldades teelt peamise takistuse – teadmatuse ja hirmu kaasnevate riskide ees,“ selgitas JDM-i riiklike küberriskide juht Lisett Reimann-Erik.
Tema sõnul on riskihindamine küll iga asutuse ja ettevõtte seadusest tulenev kohustus, mida keegi teine nende eest lõpuni ära teha ei saa, kuid JDM pakub nüüd sellele riigi poolt tugeva vundamendi.
„Me anname ette peamised ohukohad ja kontrollitud taustainfo, millele tuginedes saavad ettevõtted ja asutused teha vajalikud riskianalüüsid ning langetada kaalutletud otsuseid tehisaru kasutuselevõtmiseks või riskide aktsepteerimiseks,“ lisas Reimann‑Erik.
Analüüsitud on maailma tippteenuseid
Esimeses etapis avalikustas JDM põhjalikud hinnangud 11 laialt levinud teenuse kohta: Adobe Firefly AI, Anthropic Claude AI, ChatGPT, Atlassian AI, Google Gemini AI, Notion AI, Perplexity AI, Texta AI, xLaw AI, Microsoft Azure AI ja Copilot. Kõik koostatud ning peagi valmivad hinnangud on kättesaadavad veebikataloogis nimega TARK aadressil www.kratid.ee/tark
Valimisse kuuluvad nii globaalsed tehnoloogiahiiglased kui ka spetsiifilisemad tööriistad, mida Eesti ettevõtted ja avalik sektor igapäevaselt kasutavad või vajavad.
Hinnangute koostamisel mindi süvitsi: analüüsiti teenusepakkuja tausta, volitatud töötlejaid, andmete füüsilist asukohta, teenuse rahalist kulu, andmekaitsemeetmeid ning vastavust rahvusvahelistele infoturbestandarditele (nt ISO/IEC 27001). Analüüsid viis Riigi IT Keskuse korraldatud riigihanke raames läbi kübervaldkonna ekspertettevõte Cybernetica AS. Riigi IT Keskus ning Justiits- ja Digiministeerium on tulemused vormistanud kergesti loetavaks ja praktiliselt kasutatavaks.
Mida hinnang ettevõtjale annab?
Vastavalt 2024. aasta alguses jõustunud pilvemäärusele peavad avaliku teabe valdajad ja elutähtsate teenuste osutajad enne pilvteenuse kasutuselevõttu dokumenteerima kaasnevad riskid – ehk hindama, kuidas pilvandmetöötlus nende andmeid mõjutab. See kohustus laieneb kaudselt ka paljudele erasektori ettevõtetele, kes soovivad tagada oma andmete kõrgetasemelise kaitse.
Riiklikud usaldusväärsuse hinnangud vastavad näiteks järgmistele kriitilistele küsimustele:
- Andmete suveräänsus: kus andmeid tegelikult hoitakse ja kas teenusepakkujaga on võimalik sõlmida leping, mis tagab andmete paiknemise Euroopa Majanduspiirkonnas?
- Tehisaru treenimine: kas kasutaja sisestatud konfidentsiaalseid andmeid kasutatakse mudelite edasiseks treenimiseks või on see tasulistes äripakettides välistatud?
- Vastutus: kes vastutab olukorras, kus tehisaru genereerib ebatäpset infot või rikub intellektuaalomandi õigusi?
- Teenuse jätkusuutlikkus: kas teenusepakkuja on finantsiliselt stabiilne või esineb risk teenuse ootamatuks sulgemiseks?
Näide: ChatGPT usaldusväärsuse fookuspunktid
Ühe mahukaima analüüsi läbis OpenAI poolt pakutav ChatGPT. Hinnangust selgub, et kuigi teenus on tehniliselt küps ja töökindel, sõltub kasutuse turvalisus kriitiliselt valitud paketist.
Analüüs rõhutab, et isikuandmete ja tööalase teabe töötlemiseks on tungivalt soovitatav kasutada äriklientidele mõeldud pakette (Business või Enterprise). Tasuta tavakasutaja kontode puhul on andmekaitse garantiid märksa nõrgemad: infoturbestandardid ei kehti, andmete eksport pole võimalik ning andmete asukoht ei ole üheselt määratletud.
Samuti juhitakse tähelepanu, et Euroopa Liidu tehisarumäärus lähtub riskipõhisest lähenemisest. Paljude üldotstarbeliste tehisarutööriistade puhul rakenduvad eeskätt läbipaistvusnõuded, kuid õiguslik risk sõltub alati konkreetsest kasutusviisist, töödeldavatest andmetest ja rakenduskontekstist.
ChatGPT hinnang näitab selgelt, et teenuse riskitase sõltub valitud paketist, lepingulistest tingimustest ning sellest, milliseid andmeid platvormil töödeldakse. Seetõttu ei saa organisatsioon piirduda tööriista populaarsuse hindamisega, vaid peab vaatama tervikpilti: andmekaitset, vastutust ja andmete paiknemist.
Kuidas edasi?
Justiits- ja Digiministeerium jätkab tehisarurakenduste kataloogi TARK täiendamist vastavalt tehnoloogia arengule ja turu vajadustele. Ettevõtete ja asutuste toetamiseks on JDM koondanud ka tehisaru kasutamise põhimõtted, juhendmaterjalid, viited koolitustele, ülevaated levinumatest pilve- ja AI-riskidest ning soovituslikud meetmed nende maandamiseks.
Riik soovitab kõigil organisatsioonidel, kes plaanivad tehisaru lahendusi kasutama hakata, alustada just nendest materjalidest, et vältida kulukaid vigu ja tagada Eesti digiruumi turvalisus.
„Teeme ka edaspidi koostööd Riigi Infosüsteemi Ameti ja Riigi IT Keskusega, et toetada pilvetooteid ja tehisaru kasutavate organisatsioonide riskiteadlikkust. Tehisaru ei ole enam tulevikumuusika, vaid igapäevane tööriist,“ lisas Reimann‑Erik. „Riigi roll on olla tark tellija ja usaldusväärne info jagaja, et ettevõtted ja asutused saaksid keskenduda innovatsioonile, muretsemata liigselt tehniliste ja regulatiivsete detailide pärast. Riskihaldus ei ole takistus, vaid võimalus teha teadlikumaid ja turvalisemaid otsuseid.“