Sztuczna inteligencja i jej wpływ na ochronę danych osobowych. O tym debatowali w Chorzowie [ZDJĘCIA]

Cyberprzestępczość to stosunkowo nowa, choć bardzo szybko rozwijająca się forma przestępczości. Dotyczy ona nielegalnych działań, popełnianych przy wykorzystaniu technologii komputerowej lub sieci internetowej, prowadzących do wielu poważnych zagrożeń. Jednym z najpopularniejszych rodzajów cyberprzestępstwa jest kradzież danych osobowych. Narażeni są na nią nie tylko pojedynczy internauci, ale też firmy czy instytucje, posiadające całe ich bazy.

Kilka dni temu, w chorzowskim oddziale ZUS, odbyło się zorganizowane przez Zakład Ubezpieczeń Społecznych oraz Urząd Ochrony Danych Osobowych seminarium pn. "Czas wyzwań - projektowanie systemów AI oraz wdrożenie NIS2 w organizacji". W trakcie spotkania omówiono m.in. w jaki sposób instytucje chronią się przed cyberatakami, a także w jaki sposób przepisy unijne regulują i reagują na zachodzące w wirtualnym świecie zmiany.

- Na pewno przepisy te będą zapewniać większe bezpieczeństwo dla osób, których dane przetwarzamy, bo przecież cyberbezpieczeństwo skupia się na tym, żeby chronić dane osobowe. To jest połączone ze sobą, bo przestępcy w swoich działaniach głównie dochodzą do tego, że głównym ich celem jest skompromitowanie konta osoby fizycznej po to, żeby te dane zmonetyzować. To jest największy cel cyberprzestępców, chcą po prostu nas okradać. Tak jak kiedyś okradano fizycznie z pieniędzy, napadano częściej na domy, tak teraz przechodzi to w ten drugi aspekt cyber, którego skutki mogą być opłakane dla osób fizycznych. Więc organizacje, które przetwarzają dane chcą zaimplementować te wszystkie mechanizmy, chociażby w kontekście analizy ryzyka dla dostawców. Bo bardzo często organizacje mają zabezpieczenia, ale już np. te firmy podwykonawcze czy dostawcy usług, niekoniecznie. Dyrektywa NIS2 skupia się zatem właśnie na tej analizie ryzyka i na tym, aby nasi dostawcy usług IT i nie tylko, tych wszystkich usług, które w swoim zakresie mają przetwarzanie danych, również byli bezpieczni - mówi Agnieszka Gębicka, Inspektor Ochrony Danych Osobowych w ZUS.

Wszystkie podmioty, które zbierają i przetwarzają nasze dane osobowe są zobligowane prawem do ich ochrony. Jednak my sami również powinniśmy mieć świadomość po co jest ta ochrona oraz w jaki sposób możemy samodzielnie o nią zadbać.

- Przede wszystkim nie powinniśmy udostępniać danych osobowych niewiadomym podmiotom, jeżeli już udostępniamy je, musimy mieć świadomość co to jest za podmiot, w jakim celu pozyskuje nasze dane, jakiej retencji podlegają te dane oraz, co istotne, dokładnie czytajmy klauzule informacyjne, bo tam wszystkie informacje są zawarte. Warto też korzystać z takich kilku podstawowych zasad. Przede wszystkim regularnie aktualizujmy oprogramowanie w naszych urządzeniach, korzystajmy ze skomplikowanych haseł, nie udostępniajmy tych haseł nikomu, logujmy się w bezpieczny sposób, stosujmy wieloskładnikowe uwierzytelnianie i korzystajmy tylko z zabezpieczonych sieci WiFi. Unikajmy również nośników danych niewiadomego pochodzenia, jakichś kart SD, które ktoś nam daje, żebyśmy zgrali sobie jakiś plik na nasz komputer, to również może być bardzo niebezpieczne - wymienia Karol Witowski - p.o. rzecznika prasowego Urzędu Ochrony Danych Osobowych. 

Oprócz stosowania się do tych dość prostych, ale jakże istotnych rad, nie bez znaczenia jest ciągłe poszerzanie swojej wiedzy na temat mogących na nas czyhać cyberzagrożeń. Mając świadomość co kryje się pod takimi pojęciami jak "spoffing" czy "phishing", jest większe prawdopodobieństwo, że nie klikniemy w link niewiadomego pochodzenia czy będziemy ostrożniejsi w rozmowach telefonicznych z osobami podającymi się za przedstawicieli np. banku lub urzędu.

Najważniejszą kwestią poruszaną podczas ubiegłotygodniowego seminarium w ZUS było jednak wykorzystywanie sztucznej inteligencji. Pojawia się bowiem pytanie czy jej rozwój jest zagrożeniem dla ochrony naszych danych osobowych czy też szansą na lepsze zabezpieczenia.

- Tutaj trzeba patrzeć na oba aspekty. Ja jestem jak najbardziej zwolennikiem sztucznej inteligencji, czy ściślej mówiąc narzędzi, które ją wykorzystują, bo sztuczna inteligencja to jest bardzo szerokie sformułowanie. Natomiast wdrażając różnego rodzaju rozwiązania AI, musimy brać pod uwagę to, że nie mamy żadnego wyłączenia chociażby z innych przepisów, jak np. z RODO. Wdrażając te komponenty musimy jednocześnie wdrażać też adekwatne środki, które te dane chronią. To nie jest tak, że załóżmy NIS2, do którego za chwilę też już będziemy dostosowywać przepisy krajowe, jest dokumentem, który wyłącza stosowanie RODO. Absolutnie nie! Największym niebezpieczeństwem dla nas, dla organizacji, dla osób korzystających z AI są tzw. czarne skrzynki, które tak do końca nie wiemy co przetwarzają, jak wygląda cały przepływ danych, jak wygląda kwestia retencji danych w tych narzędziach. To jest bardzo istotne i to w żadnym wypadku, jeszcze raz tutaj powtórzę, nie wyłącza stosowania zasad RODO, zasady minimalizacji, zasady rozliczalności, a to są elementy, które musimy zapewnić przy wdrażaniu AI. Więc z jednej strony mówimy tutaj na pewno o ułatwieniu i usprawnieniu, jeżeli będziemy używać tych narzędzi AI jako elementu, który nas wspiera i nam pomaga. Natomiast z drugiej strony, jeżeli w organizacji nie wyjaśnimy jakie są ryzyka związane z AI, nie wyjaśnimy tego też naszym bliskim chociażby, bo bardzo często te narzędzia są wdrażane w takie rzeczy użytku codziennego, (…) może dojść do dużych niebezpieczeństw. Dlatego warto pamiętać, żeby ze wszystkiego korzystać z rozwagą i taką analizą wewnętrzną - podkreśla Agnieszka Gębicka, Inspektor Ochrony Danych Osobowych w ZUS.