على مدى العامين الماضيين، طمأنت العديد من المؤسسات نفسها بشريحة أو فقرة واحدة تقرأ على غرار “نحن نستخدم الذكاء الاصطناعي [AI] بمسؤولية“. قد يكون هذا الخط كافياً لاجتياز العناية الواجبة غير الرسمية للموردين في عام 2023، لكنه لن ينجو من الجولة الجادة التالية من المناقصات.
المشترين من المؤسسات، وخاصة في الحكومة والدفاع والبنية التحتية الوطنية الحيوية (CNI)، يستخدمون الآن الذكاء الاصطناعي بكثافة. إنهم يفهمون لغة المخاطرة. إنهم يقيمون روابط بين الذكاء الاصطناعي وحماية البيانات والمرونة التشغيلية والتعرض لسلسلة التوريد. لن تسأل فرق المشتريات الخاصة بهم بعد الآن عما إذا كنت تستخدم الذكاء الاصطناعي. سوف يسألونك كيف تحكمها.
سؤال الذكاء الاصطناعي يتغير
من الناحية العملية، الأسئلة في طلبات تقديم العروض (طلبات تقديم العروض) والدعوات لتقديم العطاءات (ITTs) تتغير بالفعل.
بدلاً من السؤال البسيط “هل تستخدم الذكاء الاصطناعي في خدماتك؟”، يمكنك أن تتوقع صياغة أكثر مثل:
“يُرجى وصف الضوابط الخاصة بك فيما يتعلق بالذكاء الاصطناعي التوليدي، بما في ذلك سيادة البيانات والرقابة البشرية والمساءلة النموذجية والامتثال لالتزامات حماية البيانات والأمن والملكية الفكرية ذات الصلة.”
وتحت هذا الخط يوجد عدد من المخاوف المحددة للغاية.
إلى أين تذهب بيانات العميل أو المواطن عند استخدام أدوات مثل ChatGPT أو Claude أو النماذج المستضافة الأخرى؟
ما هي الولايات القضائية التي تنتقل فيها هذه البيانات أو تتواجد فيها؟
كيف يمكن للبشر فحص المخرجات المدعومة بالذكاء الاصطناعي قبل أن تؤثر على قرار حاسم أو نصيحة أو نشاط متعلق بالسلامة؟
من يملك المطالبات والمخرجات ويمكنه إعادة استخدامها، وكيف تتم حماية المواد السرية أو المصنفة في تلك العملية؟
لم يعد النموذج المعياري العام يجيب على أي من هذه النقاط. في الواقع، فهو يعلن عن عدم وجود إدارة منظمة على الإطلاق.
الحقيقة غير المريحة لدى العديد من مقدمي الخدمات هي أنه إذا قمت بتجريد لغة التسويق، فإن معظم مؤسسات الخدمات المهنية تستخدم الذكاء الاصطناعي بنمط مألوف للغاية.
اعتمد الموظفون الفرديون أدوات لتسريع عملية الصياغة أو التحليل أو الترميز. تتبادل الفرق النصائح بشكل غير رسمي. كتبت بعض المجموعات إرشادات محلية حول ما هو مقبول. تم تحديث بعض السياسات لتشمل الذكاء الاصطناعي.
ما هو مفقود في كثير من الأحيان هو الأدلة
يمكن لعدد قليل جدًا من المؤسسات أن تحدد على وجه اليقين أي ارتباطات العملاء تتضمن مساعدة الذكاء الاصطناعي، وما هي فئات البيانات التي تم استخدامها في المطالبات، وما هي النماذج أو مقدمي الخدمة المشاركين، وأين قام هؤلاء المزودون بمعالجة المعلومات وتخزينها، وكيف تم تسجيل المراجعة والموافقة على مخرجات الذكاء الاصطناعي.
من منظور الحوكمة والمخاطر والامتثال (GRC)، فهذه مشكلة. فهو يتعلق بحماية البيانات، وأمن المعلومات، وإدارة السجلات، والتعويض المهني، وفي بعض القطاعات السلامة وضمان المهمة. كما أنه يتبعك أيضًا في كل مناقصة مستقبلية، لأن المشترين يسألون بشكل متزايد عن الحوادث السابقة المتعلقة بالذكاء الاصطناعي، والحوادث الوشيكة والدروس المستفادة.
لماذا هذا مهم جدًا في الحكومة والدفاع والـ CNI؟
في الحكومة المركزية والمحلية، والشرطة والعدالة، يؤثر الذكاء الاصطناعي بشكل متزايد على القرارات التي تؤثر على المواطنين بشكل مباشر. وقد يكون ذلك في فرز الحالات، أو تحديد أولويات عمليات التفتيش، أو دعم التحقيقات، أو صياغة تحليل السياسات.
عندما يشارك الذكاء الاصطناعي في تلك العمليات، يجب أن تكون الهيئات العامة قادرة على إظهار الأساس القانوني والشفافية والعدالة والمساءلة. وهذا يعني فهم مكان استخدام الذكاء الاصطناعي، وكيفية الإشراف عليه، وكيفية تحدي المخرجات أو تجاوزها. من المتوقع أن يُظهر الموردون في هذا المجال نفس الانضباط.
وفي مجال الدفاع والأمن القومي الأوسع، فإن المخاطر أعلى. ويظهر الذكاء الاصطناعي بالفعل في تحسين الخدمات اللوجستية، والصيانة التنبؤية، ودمج الاستخبارات، وبيئات التدريب، ودعم القرار. الأسئلة هنا لا تتعلق فقط بالخصوصية أو الملكية الفكرية. فهي تتعلق بالموثوقية تحت الضغط، والمتانة ضد التلاعب، والتأكد من عدم تسرب البيانات التشغيلية الحساسة إلى أنظمة خارج السيطرة السيادية أو المعتمدة.
يواجه مشغلو CNI تحديًا مماثلاً. يستكشف الكثيرون الذكاء الاصطناعي لاكتشاف الحالات الشاذة في بيئات التكنولوجيا التشغيلية، والتنبؤ بالطلب، والاستجابة الآلية. يمكن أن يتحول الفشل أو الاختلال هنا بسرعة إلى انقطاع الخدمة أو حادث يتعلق بالسلامة أو تأثير بيئي. ويتوقع المنظمون من المشغلين ومورديهم أن يتعاملوا مع الذكاء الاصطناعي كعنصر من عناصر المخاطر التشغيلية، وليس كأداة جديدة.
وفي كل هذه القطاعات، فإن المنظمات التي لا تستطيع تفسير حوكمة الذكاء الاصطناعي الخاصة بها سوف تسقط بهدوء في مصفوفة النتائج.
تحويل حوكمة الذكاء الاصطناعي إلى ميزة تجارية
والخبر السار هو أن هذه الصورة يمكن أن تنقلب. إن حوكمة الذكاء الاصطناعي، إذا تمت على النحو الصحيح، لا تعني إبطاء أو حظر الابتكار. يتعلق الأمر بوضع هيكل كافٍ حول استخدام الذكاء الاصطناعي بحيث يمكنك شرحه والدفاع عنه وتوسيع نطاقه.
نقطة البداية العملية هي تقييم جاهزية المشتريات باستخدام الذكاء الاصطناعي. في مجيء ايم، نحن نصف ذلك بعبارات بسيطة جدًا: هل يمكنك الإجابة على الأسئلة التي سيطرحها عميلك الرئيسي التالي؟
يتضمن ذلك رسم خرائط لأماكن استخدام الذكاء الاصطناعي عبر خدماتك، وتحديد مسارات العمل التي تمس بيانات العميل أو المواطن، وفهم نماذج أو منصات الطرف الثالث المعنية، وتوثيق كيفية إشراف البشر على مخرجات الذكاء الاصطناعي أو الموافقة عليها أو تجاوزها. ويعني ذلك أيضًا النظر في كيفية تناسب الذكاء الاصطناعي مع الاستجابة الحالية للحوادث، ومعالجة اختراق البيانات، وسجلات المخاطر.
ومن هناك، يمكنك تطوير سرد قصير قائم على الأدلة يتناسب بدقة مع استجابات RFP وITT، مدعومًا بالسياسات وأوصاف العمليات وسجلات الأمثلة. بدلاً من التلويح باليد حول الذكاء الاصطناعي المسؤول، يمكنك تقديم قصة واضحة حول كيفية إدارة الذكاء الاصطناعي كجزء من إطار عمل GRC والأمان الأوسع لديك.
ISO 42001 باعتباره العمود الفقري لحوكمة الذكاء الاصطناعي
آيزو إيك 42001، المعيار الجديد لأنظمة إدارة الذكاء الاصطناعي، يعطي هيكل العمل هذا. فهو يوفر إطارًا لإدارة الذكاء الاصطناعي عبر دورة حياته، بدءًا من التصميم والاستحواذ وحتى التشغيل والمراقبة والتقاعد.
بالنسبة للمؤسسات التي تعمل بالفعل بنظام إدارة أمن المعلومات (ISMS)، أو نظام إدارة الجودة، أو نظام إدارة معلومات الخصوصية، لا ينبغي أن يشعر 42001 بالغربة. ويمكن دمجه مع ترتيبات ISO 27001 و9001 و27701 الحالية. إن الأدوار مثل كبير مسؤولي مخاطر المعلومات (SIRO)، ومالك أصول المعلومات (IAO)، ومسؤول حماية البيانات، ورؤساء الخدمات ومالكي الأنظمة تكتسب ببساطة مسؤوليات أكثر وضوحًا للأنشطة المتعلقة بالذكاء الاصطناعي.
تشير التوافق مع 42001 أيضًا إلى العملاء والمنظمين وشركات التأمين إلى أن الذكاء الاصطناعي لا يتم التعامل معه بشكل غير رسمي. إنه يوضح أن هناك أدوارًا محددة وعمليات موثقة وتقييمات للمخاطر والمراقبة والتحسين المستمر حول الذكاء الاصطناعي. وبمرور الوقت، يمكن أن يتحول هذا التوافق إلى اعتماد رسمي لتلك المؤسسات حيث يكون ذلك منطقيًا من الناحية التجارية.
الجمع بين الأشخاص والعملية والضمان معًا
السياسات والأطر ليست سوى جزء من الصورة. الاختبار الحقيقي هو ما إذا كان الأشخاص في جميع أنحاء المؤسسة يفهمون ما هو مسموح وما هو محظور، ومتى يحتاجون إلى طلب المساعدة.
لذلك يعد التدريب على أمن الذكاء الاصطناعي والحوكمة أمرًا بالغ الأهمية. يحتاج الموظفون إلى فهم كيفية التعامل مع المطالبات التي تحتوي على بيانات شخصية أو حساسة، وكيفية التعرف على الحالات التي قد تكون فيها مخرجات الذكاء الاصطناعي متحيزة أو غير كاملة، وكيفية تسجيل الرقابة الخاصة بهم. يحتاج المديرون إلى معرفة كيفية الموافقة على حالات الاستخدام، والتوقيع على تقييمات المخاطر والاستجابة للحوادث التي تنطوي على الذكاء الاصطناعي.
إن جمع كل هذا معًا يمنحك شيئًا بسيطًا جدًا ولكنه قوي جدًا. عندما يصل طلب تقديم العروض أو ITT التالي إلى صفحة من الأسئلة حول الذكاء الاصطناعي، فلن تتدافع للحصول على إجابات مخصصة. ستكون قادرًا على وصف نظام إدارة الذكاء الاصطناعي الذي يتماشى مع المعايير المعترف بها، والمتكامل مع ممارسات الأمان وممارسات مركز الخليج للأبحاث الحالية لديك، ومدعومًا بالتدريب والأدلة.
وفي سوق الخدمات المزدحمة، قد يكون هذا هو الفرق بين أن يُنظر إليك كمورد مثير للاهتمام وبين أن تحظى بالثقة في الأعمال الحساسة ذات القيمة العالية.
