Millaisia tietoturvariskejä tekoälyyn liittyy? – Kyberturvallisuuskeskuksen selvitys valottaa tekoälyn kyberriskejä

4.11.2021 - Veera Kujansuu - Tietoturva ja tekoäly

Euroopan Komission tekoälyasetusehdotus asettaa raamit tekoälyjärjestelmien kehitykselle.

Tekoäly ja kyberturvallisuus ovat digimaailman kuumia puheenaiheita. Sekä tekoälyn sovellutukset että digiratkaisujen kyberuhat lisääntyvät ja monimutkaistuvat, kun digitaalinen kehitys etenee.

Mutta miten tekoäly ja kyberturvallisuus liittyvät toisiinsa? Millaisia tietoturvariskejä tekoälyyn liittyy? Miten kyberturvasta ja tietoturvasta voidaan huolehtia, kun tekoälyn hyödyntäminen yrityksissä ja yhteiskunnassa lisääntyy?

Näihin ja muihin kysymyksiin saatiin vastauksia Traficomin Kyberturvallisuuskeskuksen järjestämässä webinaarissa 2. marraskuuta. Webinaarissa esiteltiin tuore Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta -selvitys, joka valottaa tekoälyyn liittyviä tietoturvariskejä. Ite wikin toimitus osallistui webinaariin ja pisti talteen tärkeimmät pointit.

Lue myös Uudet kyberturvallisuusuhat vuonna 2022 – 9 tulevan vuoden kyberhyökkäystrendiä

Traficomin pääjohtaja Kirsi Karlamaa piti tapahtuman aloituspuheenvuoron.

– Traficomin tehtäväkenttään kuuluu digitalisaation, robotisaation, automaation ja kokeilujen tukeminen Suomessa. Siksi meitä kiinnostavat myös yhteiskuntaa muuttavat nousevat teknologiat ja niiden riskien hallinta ja tietoturva, Karlamaa aloitti.

Karlamaan mukaan tekoälyyn yhdistetään usein hyvin elokuvallisia mielikuvia, mutta todellisuudessa tekoälyllä on monia hyötyjä. Se voi helpottaa elämää, vähentää riskejä ja tehostaa yritysten toimintaa. Nykyaikainen laskentateho tarjoaa mahdollisuudet valtavien datamassojen käsittelyyn.

”Tekoälyn tulolle on luotu suotuisat olosuhteet, mutta se voi onnistua vain jos käytetty teknologia on laadukasta ja sitä käytetään niin, että ollaan kansalaisten luottamuksen arvoisia.”

– Tekoälyn tulolle on luotu suotuisat olosuhteet, mutta se voi onnistua vain jos käytetty teknologia on laadukasta ja sitä käytetään niin, että ollaan kansalaisten luottamuksen arvoisia.

Lue myös Pilvipalveluiden parissa työskentelevä Markku Sutela on huomannut asiakkaiden kasvavan kiinnostuksen tekoälyn hyödyntämiseen

Tekoäly avaa uusia kyberuhkia, jotka on otettava huomioon. Karlamaa totesi, että tekoälykeskustelu on tähän mennessä keskittynyt enemmän tekoälyn ja koneoppimisen sovellutuskohteisiin ja etiikkaan kuin sen käyttöä ohjaavien menetelmien ja mallien edistämiseen.

Tätä varten myös Euroopan komissio on julkaissut viime huhtikuussa tekoälyasetusehdotuksen, jota webinaarissa esitteli Työ- ja elinkeinoministeriön suunnittelija Kristine Alanko.

Ehdotuksen tarkoituksena on tehdä Euroopan Unionista globaali suunnannäyttäjä tekoälyn kehitykselle ja luoda sen käytölle turvalliset raamit. Ehdotuksessa tekoälyn käyttötarkoitukset on jaoteltu eri luokkiin niiden riskin perusteella. Kokonaan kiellettyä tekoälyn hyödyntämistä olisi esimerkiksi sosiaalisten pisteytysjärjestelmien tai ihmisiä manipuloivien tekoälyjärjestelmien kehittäminen.

Millaisia tietoturvariskejä tekoälyyn sitten sisältyy?

Osa tekoälyjärjestelmiin liittyvistä tietoturvariskeistä on samoja kuin perinteisissäkin tietojärjestelmissä, mutta sen lisäksi tekoälyn ja koneoppimisen sovelluksiin liittyy uusia haasteita.

Tietoturvariskit tekoälyjärjestelmissä ovat sekä systeemisiä että toteutukseen liittyviä. Systeemiset riskit liittyvät siihen, miten tekoäly toimii osana muita järjestelmiä ja yhdessä ihmisen kanssa. Toteutukseen liittyvät riskit liittyvät koneoppivien järjestelmien opetusdataan ja sen hallintaan, koneoppimismallien eheyteen sekä niiden oikeaan toimintaan myös vihamielisissä tilanteissa.

Esimerkiksi koneoppivan järjestelmän oppimisdatan myrkyttäminen tai sen tietosuoja ovat tekoälyjärjestelmille ominaisia riskejä.

Webinaarissa puhui myös Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen, joka kommentoi millä tavalla yritysten tulisi huomioida tekoälyn riskien hallinta. Tärkeää on Erosen mukaan riskien tiedostaminen ja niihin varautuminen oikeassa mittakaavassa.

– Aihe on kauhean laaja. Sen voi sanoa, että ensin tulisi miettiä mitä ollaan tekemässä, mihin haetaan ratkaisua ja millaisella menetelmällä. Sen jälkeen aletaan miettimään, miten otetaan tämänkaltaiseen järjestelmään liittyvät uhat huomioon. Tietoturvariskien hallinta mitoitetaan sen mukaan. Julkisuudessa tulee usein esiin tapauksia joissa tietoturvaa ei ole otettu vakavasti, mutta toisaalta on myös huono juttu jos tietoturva tulee tekemisen esteeksi, Eronen kertoi.

”Tekoäly tulee rakentaa siten, että voimme luottaa siihen ja tietoturva tulee ottaa huomioon jo rakennusvaiheessa.”

Kun tekoälyn käyttö kasvaa, tietoturvariskit lisääntyvät. Kirsi Karlamaa näkee tekoälyssä ja tietoturvassa kuitenkin Suomen tulevat kilpailuvaltit.

– Tämä on uusi asia monelle alalle, ja osaamisvelkaa on organisaatioissa niin tekoälyn hyödyntämisen kuin tietoturvankin osalta. Tekoäly tulee rakentaa siten, että voimme luottaa siihen ja tietoturva tulee ottaa huomioon jo rakennusvaiheessa. Molempia hyödyntävä osaaminen on tulevaisuuden kilpailuvalttimme, ja Traficom on mukana auttamassa jotta haittavaikutuksilta säästyttäisiin, pääjohtaja Karlamaa painotti puheessaan.

Traficomin selvityksen tekoon osallistui tietoturvayhtiö F-Secure sekä joukko alan yrityksiä ja organisaatioita.