Liigu peamise sisu juurde

Privaatsus ja küberturvalisus

Õpieesmärgid

Pärast selle peatüki läbimist oskad:

  • Selgitada, miks privaatsus ja küberturvalisus on tehisintellekti (TI) ajastul eriti olulised.
  • Tuua näiteid massilisest andmekogumisest ja selle ohtudest.
  • Mõista, kuidas andmeid saab kuritarvitada manipuleerimise ja identiteedivarguste eesmärgil.
  • Selgitada, mis on andmete mürgitamine (data poisoning) ja miks see on ohtlik.
  • Arutleda TI rolli üle nii küberkaitse tugevdamisel kui ka uute rünnakumeetodite loomisel.
  • Selgitada GDPR-i põhimõtteid ja tähtsust privaatsuse kaitsel.

Privaatsus digiajastul

Digiajastul on andmed muutunud uueks valuutaks – need on sama väärtuslikud kui raha või loodusvarad. Meie igapäevased tegevused – veebilehtede külastamine, ostude tegemine e-poodides, mobiilirakenduste kasutamine ja suhtlemine sotsiaalmeedias – toodavad pidevalt andmeid, mis moodustavad meie digitaalse jalajälje. Isegi kui me ei anna otseselt infot oma tegemiste kohta, koguvad seadmed ja teenused andmeid taustal: nutitelefon salvestab asukohta, veebibrauserid jälgivad sirvimisharjumusi ja kantavad seadmed koguvad terviseandmeid.

Probleem ei seisne ainult andmete kogumises, vaid selles, kuidas ja milleks neid kasutatakse. Kui andmete kogumine toimub ilma inimese teadliku nõusolekuta või ilma, et inimene mõistaks, millises ulatuses ja kelle poolt andmeid kasutatakse, tekib olukord, kus üksikisiku privaatsus ja kontroll oma isikuandmete üle on sisuliselt kadunud. See ei ole enam ainult tehniline küsimus, vaid fundamentaalne probleem, mis puudutab usaldust, isikuvabadusi ja demokraatiat.

Massiline andmekogumine

Massiline andmekogumine tähendab, et ettevõtted, platvormid ja isegi valitsused koguvad ja salvestavad tohutuid hulki isikuandmeid. Need andmed võivad sisaldada:

  • asukohti ja liikumismustreid – GPS ja mobiilsideandmed;
  • sirvimisajalugu ja otsinguid – milliseid lehti külastad, mida otsid;
  • ostuharjumusi ja finantstehinguid – mida ostad, kus ja kui sageli;
  • terviseandmeid – alates sammude arvust kuni geenitestide tulemusteni;
  • sotsiaalseid suhteid – kellega suhtled, kui tihti ja mis kontekstis.

Kogutud andmed koonduvad profiilideks, mis võivad kirjeldada inimest hämmastava detailsusega – millised on tema poliitilised vaated, harjumused, nõrkused ja isegi potentsiaalsed terviseriskid. Selliseid profiile kasutatakse sageli sihipäraseks reklaamiks, kuid neid võib rakendada ka palju problemaatilisematel eesmärkidel, nagu manipuleerimine või kontroll.

Näide:

2018. aasta Cambridge Analytica skandaal paljastas, kuidas miljonite Facebooki kasutajate isikuandmeid koguti ilma nende nõusolekuta ja kasutati poliitiliste reklaamide sihtimiseks. Analüüsides kasutajate eelistusi ja psühholoogilisi profiile, suunati neile täpselt koostatud sõnumeid, mille eesmärk oli mõjutada valimistulemusi. See juhtum raputas avalikkust ja tõi päevavalgele, kui haavatavad võivad olla demokraatlikud protsessid, kui andmeid kasutatakse massilise manipuleerimise tööriistana.

Sellised näited tekitavad olulise küsimuse: kas me kontrollime oma andmeid või kontrollivad andmed meid?

Andmete kuritarvitamine ja ohud autonoomiale

Massiliselt kogutud andmeid saab kasutada viisil, mis mõjutab otseselt meie isikuvabadusi ja autonoomiat – meie võimet teha teadlikke ja sõltumatuid otsuseid oma elu kohta. Kui andmeid kasutatakse läbipaistmatult ja ilma kontrollita, võib see viia olukorrani, kus meid suunatakse ja mõjutatakse viisil, mida me ei märka ega saa peatada.

Näited ohtudest:

  • Sihipärane reklaam ja manipuleerimine: Andmete põhjal koostatud profiilid võimaldavad reklaame ja sõnumeid kohandada nii täpselt, et need võivad mõjutada mitte ainult seda, mida me ostame, vaid ka seda, kuidas me mõtleme ja hääletame. Poliitilised kampaaniad on kasutanud neid tehnikaid, et sihtida valijaid sõnumitega, mis tuginevad nende hirmudele ja eelarvamustele.
  • Sotsiaalne skoorimine: Hiinas rakendatav sotsiaalse krediidi süsteem jälgib kodanike tegevust – maksekäitumist, liiklusrikkumisi, isegi sotsiaalmeedia postitusi – ja annab selle põhjal skoori, mis mõjutab kodanike võimalusi reisida, saada töökohti või pääseda teatud teenustele ligi. Selline süsteem kujutab endast suurt ohtu isikuvabadustele, sest see muudab kodanike käitumise pidevalt jälgitavaks ja hinnatavaks.
  • Valeinfo levitamine: Tehisintellektiga loodud süvavõltsingud (deepfakes) on muutunud nii realistlikuks, et eristada neid tõelisest materjalist on sageli keeruline isegi ekspertidel. Selliseid võltsinguid saab kasutada valeinfo levitamiseks, avalike arvamuste kujundamiseks või inimeste maine hävitamiseks. Kujutlege videot, mis näitab poliitikut tegemas või ütlemas midagi šokeerivat – isegi kui see on täiesti võlts, võib see enne ümberlükkamist tekitada pöördumatut kahju.
  • Identiteedivargus ja petuskeemid: Tehisintellekti abil saab luua väga isikupäraseid õngitsuskirju, mis tunduvad olevat pärit usaldusväärsetelt inimestelt või organisatsioonidelt. Need võivad veenda isegi kogenud kasutajaid andma välja paroole, finantsandmeid või tegema kahjulikke tehinguid.

Näide:

2020. aastal pettis kuritegelik rühmitus Ühendkuningriigi ettevõtte juhtkonda, kasutades süvavõltsinguga loodud häält, mis jäljendas täpselt emaettevõtte tegevjuhti. Petturid suutsid veenda kohalikku direktorit tegema rahaülekande “kiireloomulise tehingu” ettekäändel. Kahju ulatus sadadesse tuhandetesse eurodesse ja juhtum tõi teravalt esile, kui ohtlikuks võivad muutuda uued tehnoloogiad, kui neid kasutatakse kurjategijate poolt.

Sellised näited näitavad, et privaatsuse kaotus ja andmete kuritarvitamine ei ole ainult teoreetiline probleem – need mõjutavad juba praegu inimeste elu, ettevõtete turvalisust ja ühiskondlikku usaldust.

Andmete mürgitamine (Data Poisoning)

Lisaks andmete kogumise ja kuritarvitamise riskidele on üha tõsisemaks probleemiks saanud andmete mürgitamine. Andmete mürgitamine tähendab pahatahtlikku tegevust, kus ründajad muudavad või saastavad masinõppe treeningandmeid eesmärgiga kallutada tehisintellekti mudeli tulemusi. See on eriti ohtlik, kuna masinõppe mudelid sõltuvad tohututest andmehulkadest – kui andmete kvaliteet on kahjustatud, muutub kogu süsteem ebausaldusväärseks.

Mürgitamise eesmärgid võivad olla erinevad:

  • Süsteemi töö kahjustamine: panna mudel tegema kriitilisi vigu, näiteks turvakaamera süsteem, mis ei tuvasta sissetungijat, või isesõitev auto, mis ei tunne ära stoppmärki.
  • Väljundi kallutamine: muuta süsteemi otsused tahtlikult kallutatuks, näiteks investeerimisalgoritm, mis eelistab teatud ettevõtteid või poliitiline mudel, mis levitab kallutatud informatsiooni.
  • Varjatud tagauks (backdoor): andmetesse võib lisada varjatud mustri, mille ilmnemisel hakkab mudel käituma ootamatult (nt lubab pääseda süsteemi ilma autentimiseta).

Näide:

Kui pildituvastusmudeli treeningandmetesse lisatakse sihilikult valeandmeid (nt pilte, millel on valed sildid), võib mudel hakata tegema valesid otsuseid. Kujutlege lennujaama turvasüsteemi, mis on õpetatud tuvastama keelatud esemeid pagasis. Kui andmed on mürgitatud nii, et teatud esemeid ei märgita enam ohtlikeks, võib see põhjustada katastroofilisi tagajärgi. Samuti võib meditsiiniline mudel, mis põhineb mürgitatud andmetel, anda valesid diagnoose, ohustades patsientide tervist ja elu.

Andmete mürgitamine on eriti ohtlik, sest:

  • Avastamine on keeruline: suurtes andmekogumites on keeruline tuvastada sihipäraselt sisestatud valeandmeid. Ründajad võivad kasutada väga peeneid tehnikaid, mis ei paista silma isegi ekspertide kontrolli all.
  • See õõnestab usaldust: kui inimesed ei saa olla kindlad, et nende kasutatav süsteem on turvaline ja õiglane, võib kogu tehnoloogia maine langeda.
  • Potentsiaalne kahju on piiramatu: mürgitatud süsteem võib mõjutada kõike – alates finantsturgudest kuni elutähtsate infrastruktuurideni.

TI roll küberkaitses ja -rünnakutes

Tehisintellekti roll küberkaitses on kahe teraga mõõk – see võib olla nii võimas kaitsemehhanism kui ka ohtlik ründeinstrument.

TI küberkaitses

Tänu oma võimele töödelda tohutuid andmehulkasid reaalajas, saab TI:

  • Avastada anomaaliaid ja ohte: masinõppemudelid suudavad analüüsida võrgu liiklust ja tuvastada ebatavalisi mustreid, mis võivad viidata häkkimisele või pahatahtlikule tegevusele. Näiteks võib süsteem märgata, kui võrgu kaudu liigub ebatavaliselt suur andmehulk või kui tundlikke faile avatakse ebatavalistel aegadel.
  • Reageerida reaalajas: automaatsed küberkaitsesüsteemid võivad rünnakutele vastata koheselt, sulgedes ohustatud kontod, eraldades nakatunud seadmed võrgust või blokeerides rünnakute allika enne, kui see jõuab kahju tekitada.
  • Ennustada rünnakuid: ennustavad mudelid võivad tuvastada mustreid, mis viitavad tulevastele rünnakutele, pakkudes turvasüsteemidele aega ennetavaks tegevuseks.

Näide:

2022. aastal teatasid mitmed finantsasutused, et nad suutsid tänu TI-põhisele küberkaitsele peatada miljoneid pettuskatseid. Süsteem tuvastas ebatavalised tehingumustrid ja blokeeris need automaatselt, säästes kliente ja ettevõtteid märkimisväärsetest kahjudest.

TI rünnakutes

Samas muudab tehisintellekt ka ründajad nutikamaks ja efektiivsemaks:

  • Isikupärased ja raskesti tuvastatavad rünnakud: TI suudab luua ülimalt usutavaid õngitsuskirju (phishing), mis on kohandatud konkreetse inimese huvide ja harjumuste järgi. Selliseid rünnakuid on palju raskem märgata kui üldiseid, massiliselt saadetud petusõnumeid.
  • Autonoomsed ründesüsteemid: pahavara, mis kasutab masinõpet, suudab kohanduda keskkonna muutustega ja vältida traditsioonilisi turvameetmeid. Selline ründetarkvara võib varjata oma tegevust, muuta oma käitumist ja püsida süsteemides märkamatult väga pikka aega.
  • Sotsiaalne manipuleerimine ja valeinfo: TI saab kasutada valeinformatsiooni levitamiseks ja avaliku arvamuse kujundamiseks, kasutades sotsiaalmeedias võltskontosid ja automatiseeritud sisutootmist.

Näide:

2021. aastal teatas Microsoft, et TI-põhine pahavara Emotet kasutas masinõppe mudeleid, et muuta oma käitumist vastavalt ohvri turvasüsteemile. See tegi pahavara äärmiselt vastupidavaks traditsioonilistele turvatarkvaradele ja võimaldas sellel püsida ohvrite võrkudes kuude kaupa.

Need arengud näitavad, et tehisintellekt on korraga kilp ja mõõk: see võib aidata luua turvalisemaid süsteeme, kuid kui see satub valedesse kätesse, võib see muuta küberrünnakud keerukamaks, sihipärasemaks ja laastavamaks kui kunagi varem.

GDPR ja privaatsuse kaitse

Euroopa Liidus kehtiv GDPR (General Data Protection Regulation) on üks rangemaid ja mõjukamaid andmekaitseõigusakte maailmas, mille eesmärk on kaitsta üksikisikute õigusi ja anda neile suurem kontroll oma isikuandmete üle. See võeti kasutusele 2018. aastal vastusena kasvavatele probleemidele, mis olid seotud massilise andmekogumise, andmeleketega ja läbipaistmatute privaatsustavadega. GDPR ei ole ainult Euroopa Liidu sisene standard – selle mõju on globaalne, sest kõik ettevõtted, kes töötlevad EL-i kodanike andmeid, peavad järgima selle nõudeid, sõltumata sellest, kus nad asuvad.

GDPR põhineb ideel, et privaatsus on põhiõigus ning et inimesed peaksid teadma ja kontrollima, kuidas nende andmeid kasutatakse. Selle keskne eesmärk on tagada, et andmete kogumine ja töötlemine oleks:

  • läbipaistev – inimesed peavad olema teadlikud, milliseid andmeid kogutakse ja milleks;
  • piiratud eesmärgiga – andmeid võib koguda ainult selgelt määratletud ja õigustatud eesmärkidel;
  • turvaline – andmeid tuleb kaitsta lekete, väärkasutuse ja häkkimiste eest.

GDPR-i põhiõigused üksikisikutele:

  • Õigus teada ja ligipääsule: igaühel on õigus saada teavet selle kohta, milliseid isikuandmeid tema kohta kogutakse ja kuidas neid kasutatakse.
  • Õigus nõusolekule: andmete töötlemiseks peab isik andma selgesõnalise ja teadliku nõusoleku. “Vaikiv nõusolek” ei ole lubatud.
  • Õigus parandamisele ja kustutamisele: kui andmed on valed või inimene ei soovi enam nende kasutamist, peab tal olema võimalus neid parandada või kustutada (right to be forgotten).
  • Õigus andmete ülekandmisele: inimesed saavad oma andmed üle kanda ühest teenusepakkujast teise, suurendades konkurentsi ja kasutajate valikuvõimalusi.
  • Õigus piirata ja vaidlustada töötlemist: inimene saab takistada oma andmete kasutamist teatud eesmärkidel, näiteks otseturunduseks.

GDPR-i mõju ettevõtetele ja organisatsioonidele:

GDPR ei ole pelgalt deklaratsioon, vaid õiguslikult siduv kohustus, mille rikkumise eest võivad ettevõtted saada tohutuid trahve – kuni 20 miljonit eurot või 4% ettevõtte ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem. See on sundinud organisatsioone üle maailma:

  • looma selgemaid privaatsuspoliitikaid ja kasutajatingimusi;
  • parandama andmete turvameetmeid (nt krüpteerimine, mitmekihilised autentimissüsteemid);
  • kehtestama sisemisi protsesse andmete kaitsmiseks ja lekete teavitamiseks;
  • tagama, et iga töötleja ja kolmas osapool järgiks samu standardeid.

Näide:

2019. aastal määrati Google’ile 50 miljoni euro suurune trahv, kuna see ei olnud andnud kasutajatele piisavalt selget teavet selle kohta, kuidas nende andmeid kogutakse ja reklaami sihtimiseks kasutatakse. See juhtum näitas, et isegi maailma suurimad tehnoloogiaettevõtted peavad järgima läbipaistvuse ja kasutajakaitse põhimõtteid.

GDPR offering a cookie

GDPR-i mõju ulatub kaugemale seadusandlusest – see on muutnud avalikkuse ootusi ja tõstnud teadlikkust privaatsusest. Inimesed on hakanud rohkem tähelepanu pöörama sellele, milliseid andmeid nad jagavad, ning ettevõtted mõistavad üha enam, et privaatsus ja usaldus on konkurentsieelis.

Kokkuvõttes on GDPR loonud tugeva raamistiku, mis tagab, et privaatsus ei ole enam ainult soovitus või moraalne kohustus, vaid õiguslikult kaitstud põhiõigus. Selle roll muutub veelgi olulisemaks tulevikus, kus tehisintellekti ja massandmete kasutamine muutub järjest laialdasemaks ja keerukamaks.

Tehisintellekti regulatsioon Euroopas – EU AI Act

Kui GDPR keskendub isikuandmete kaitsele, siis EU AI Act (Euroopa Liidu Tehisintellekti määrus, jõustus 2024. aastal) on esimene terviklik seadusandlik raamistik maailmas, mis reguleerib tehisintellekti kasutamist Euroopas. See seab uued standardid, kuidas TI-süsteeme arendada, juurutada ja kasutada, mõjutades nii Euroopa ettevõtteid kui ka kõiki globaalseid teenusepakkujaid, kelle tehisintellekt jõuab Euroopa Liidu turule.

EL-i tehisintellekti määruse põhieesmärk on tagada, et TI-süsteemid oleksid:

  • turvalised – väldiksid riske inimeste turvalisusele ja õigustele;
  • läbipaistvad – kasutajad teaksid, millal nad suhtlevad TI-ga ja kuidas see töötab;
  • vastutustundlikud – arendajad ja kasutajad kannavad vastutust oma süsteemide mõju eest;
  • innovatsiooni soodustavad – luuakse selge raamistik, mis toetab ettevõtteid ja teadustööd.

Miks tehisintellekti määrus loodi?

Tehisintellekt areneb kiiresti ja mõjutab kõiki eluvaldkondi – alates tervishoiust ja haridusest kuni õigussüsteemi ja riikliku julgeolekuni. Kiire areng toob kaasa suuri võimalusi, kuid ka märke potentsiaalsest ohust:

  • diskrimineerivad algoritmid – TI võib tugevdada sotsiaalseid eelarvamusi (nt värbamistarkvara, mis diskrimineerib soo või etnilise tausta põhjal);
  • süvavõltsingud ja valeinfodeepfake-tehnoloogia võib õõnestada avalikku usaldust;
  • läbipaistmatu otsustamine – musta kasti (black-box) algoritmid võivad teha otsuseid, mida ei suudeta seletada;
  • kuritarvitamine autoritaarsetes režiimides – massjälgimine ja sotsiaalne ebavõrdsus võivad piirata põhiõigusi.

EU AI Act püüab ennetada neid riske enne, kui need muutuvad süsteemseks probleemiks, samas toetades innovatsiooni ja ettevõtlust Euroopas.

Riskipõhine lähenemine

Määrus põhineb riskitasemetel, mis määravad, millised nõuded TI-süsteemidele kehtivad:

  1. Lubamatu risk (keelatud)

    TI-süsteemid, mis ohustavad põhiõigusi ja demokraatiat, on täielikult keelatud.

Näiteks:

  • Teadlikult manipuleerivad tehnoloogiad (psühholoogilise käitumise peidetud mõjutamine);
  • Sotsiaalne hindamissüsteem (nagu Hiina krediidisüsteem);
  • Biomeetriline massjälgimine avalikus ruumis (teatud eranditega õiguskaitseorganitele).

  1. Kõrge risk

    TI-süsteemid, mis on kasutusel kriitilistes valdkondades, on lubatud ainult rangete tingimuste täitmisel:

  • töölevõtt ja töötajate hindamine;
  • haridus ja eksamite hindamine;
  • infrastruktuuri ja transpordi ohutus;
  • õiguskaitse, kohtusüsteem ja piirikontroll.

Nõuded:

  • riskihaldus ja testimine enne turuleviimist;
  • kõrge andmekvaliteet (vältimaks kallutatust);
  • dokumentatsioon ja läbipaistvus;
  • inimjärelevalve (inimene peab saama süsteemi otsuseid üle vaadata ja vajadusel tühistada);
  • pidev monitooring pärast turuletoomist.

  1. Piiratud risk

    TI-süsteemid, mis suhtlevad inimestega või võivad neid eksitada, peavad täitma läbipaistvusnõudeid:

  • kasutajale tuleb selgelt öelda, et nad suhtlevad tehisintellektiga (nt chatbotid);
  • deepfake-sisu peab olema märgistatud.

  1. Minimaalne risk

    Enamik igapäevaseid TI-rakendusi (nt spämmifiltrid, videomängude TI) ei vaja eraldi regulatsiooni, kuid peavad järgima üldisi seadusi.

Juhtimine ja järelevalve

EL-i TI määruse rakendamist juhib:

  • Euroopa Tehisintellekti Amet (European AI Office) – koordineerib ja jälgib määruse täitmist EL-i tasandil, eriti üldotstarbeliste (GPAI) mudelite puhul.
  • Rahvuslikud järelevalveasutused igas liikmesriigis.
  • Teadusnõukogu ja nõuandeforum – ekspertide ja sidusrühmade kaasamiseks.

Mõju ettevõtetele ja globaalne ulatus

ELi TI-määrus kohaldub kõikidele ettevõtetele, kes arendavad või turustavad TI-süsteeme, mida kasutatakse EL-is, olenemata nende asukohast. See tähendab, et kõik ettevõtted, kes tegutsevad EL-i turul, peavad järgima seda määrust, et vältida rikkumisi ja trahve.

Rahalised karistused on märkimisväärsed. Kui ettevõte rikub ELi TI-määrust, võib see tähendada trahvi kuni 35 miljonit eurot või 7% ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem. Lisaks võivad väiksemad trahvid olla ettenähtud dokumentatsiooni või läbipaistvusnõuete rikkumise eest.

See teeb TI-möörusest globaalse standardi, millele peavad vastama isegi USA ja Aasia tehnoloogiahiiglased, kui nad tahavad tegutseda Euroopa turul – sarnaselt GDPR-i mõjuga.

GDPR vs EU AI Act – kaks täiendavat sammast

AspektGDPREU AI Act
FookusIsikuandmete kaitseTehisintellekti ohutu ja eetiline kasutus
MõjuGlobaalne andmekaitse standardGlobaalne TI regulatsiooni standard
RakendusalaAndmete töötlemineTI-süsteemid ja nende elutsükkel
KaristusedKuni 20M € või 4% käibestKuni 35M € või 7% käibest

Koos moodustavad need kaks Euroopa digitaalse tuleviku alustala: üks kaitseb andmeid, teine tehnoloogiat ja selle mõju.

Näide

Kui ettevõte soovib tuua EL-i turule TI-põhise töölevõtusüsteemi, peab see:

  • hindama süsteemi võimalikke eelarvamusi ja riske;
  • looma mehhanismi, mis võimaldab inimese sekkumist ja otsuste ülevaatamist;
  • esitama tehnilise dokumentatsiooni ja läbima vastavushindamise;
  • tagama pideva monitooringu ja aruandluse pärast turuletoomist.

Ilma nende sammudeta ei tohi süsteemi EL-is kasutada.

Kokkuvõte

Tehisintellekti ajastul on privaatsus ja küberturvalisus muutunud kriitiliseks:

  • Massiline andmekogumine võib ohustada meie autonoomiat ja õigusi.
  • Andmete väärkasutamine (manipuleerimine, sotsiaalne hindamine, identiteedivargused) võib muuta inimesed haavatavaks.
  • Andmete mürgitamine ja TI-põhised rünnakud näitavad, et ohud ei piirdu ainult andmete kogumisega, vaid ka nende sihilikult kahjustamisega.
  • GDPR ja sarnased regulatsioonid on hädavajalikud, et kaitsta üksikisikute õigusi ja hoida tehnoloogia areng eetilises raamistikus.