Miten tekoäly vaikuttaa koneturvallisuuteen?

2023

Marinka Lanne & Katri Tytykoski

Tekoälyn hyödyntäminen yleistyy osana erilaisia järjestelmiä, ja sääntelyä tarvitaan kattamaan myös tekoälyyn liittyvät riskit ja haasteet. Komissio julkisti huhtikuussa 2021 asetusehdotuksen, jolla säädeltäisiin rajattua osaa tekoälyjärjestelmien käyttötapauksista. Tämän lisäksi meneillään on muitakin lainsäädännöllisiä uudistuksia, joiden piiriin kuuluvat esimerkiksi Euroopan Unionin alueella markkinoille saatettavien koneiden terveys- ja turvallisuusvaatimukset. Milloin tekoälyä hyödyntävä laite on tarpeeksi turvallinen markkinoille?

Tekoälyjärjestelmän hallittavuus

Eettisiä kysymyksiä liittyy kaikkeen tekniikan käyttöön, mutta erityisesti niitä liittyy tekoälyn hyödyntämiseen. Eettistä arviointia tehdään yleensä tapauskohtaisesti vallitsevien arvojen pohjalta, mutta tekoälyn eettiseen suunnitteluun ja hyödyntämiseen on tehty runsaasti myös yleistä ohjeistusta. Fjeld kollegoineen (2020) on analysoinut valtiollisten toimijoiden, yritysten ja järjestöjen antamien ohjeistusten sisältöä. Keskeisiksi teemoiksi ovat nousseet: yksityisyyden suoja, vastuullisuus, turvallisuus, läpinäkyvyys ja selitettävyys, reiluus ja syrjimättömyys, hallinta, ammattilaisvastuu sekä ihmisarvojen edistäminen.

Tekoälyn turvallisuutta voi tarkastella monilla eri tasoilla: teknisellä tasolla järjestelmän sisällä, tekoälykomponentteja suunnittelevien tahojen tai niitä järjestelmiin integroivien laitevalmistajien toimintaprosessien näkökulmista, laitteen käyttöönottajan, käyttäjän ja vaikutuskohteiden näkökulmista sekä tietenkin yhteiskunnan haavoittuvuuksien kannalta. Niin järjestelmän tekninen turvallisuus kuin käytön hyväksyttävyyskin on keskeistä arvioida ennalta.

Deyn ja Leen (2021) kirjallisuusanalyysin pohjalta turvallisen tekoälyn haasteena on erilaisten turvallisuutta tai haitallisuutta indikoivien artefaktien jäljitettävyys järjestelmä- ja komponenttitasolta. He ehdottavatkin koneoppimiskomponentin turvallisuusanalyysin virallista taksonomiaa (tieteellistä luokittelua). Traficomin raportti painottaa komponenttitason tarkastelun ohella myös systeemisten riskien tuntemusta. Tekoälyjärjestelmän käytännön hallittavuudessa on yleensä kyse vikasietoisuudesta (robustness, reliability, resilience), järjestelmän toiminnan läpinäkyvyydestä (transparency) ja tarkasteltavuudesta (observability). Hankala selitettävyys (explainability) tekee koneoppimista päätöksenteossa hyödyntävistä järjestelmistä tavallisia tietojärjestelmiä riskialttiimpia. Tekoälyjärjestelmä kun voi tehdä päätöksensä niin monien muuttujien ja ulottuvuuksien perusteella, ettei ihminen osaa tuota logiikkaa tulkita tai selittää. (Traficom, 2021.)

Ehdotus EU:n uudeksi konetuoteasetukseksi

Euroopan Unionin alueella markkinoille saatettavien koneiden terveys- ja turvallisuusvaatimuksista säädetään EU:n konedirektiivissä. Konedirektiivin nykyinen versio (2006/42/EY) on hyväksytty vuonna 2006. Vaikka direktiivi on suhteellisen joustava teknologisen kehityksen suhteen, on siihen kaivattu lisää oikeudellista selkeyttä ja parempaa johdonmukaisuutta. Myös uusien teknologioiden, kuten tekoälyn, aiheuttamien riskien parempi huomioiminen koneiden terveys- ja turvallisuusvaatimuksissa on nähty tarpeellisena. (Euroopan komissio, 2018.)

Ehdotus konedirektiivin korvaavaksi EU:n konetuoteasetukseksi julkaistiin 2021, ja asetuksen voimaantulo ajoittuu keväälle 2023. Ehdotus sisältää uusia olennaisia terveys- ja turvallisuusvaatimuksia tekoälyä hyödyntäville koneille: se määrittää turvallisuustason, joka tekoälyä hyödyntävän tuotteen on saavutettava päästäkseen markkinoille EU:n alueella. Kone ei saa aiheuttaa vaaraa tai haittaa käyttäjälleen, vaikka sen käyttäytyminen osittain tai kokonaan muuttuisi sen elinkaaren aikana tai silloin, kun kone toimii erilaisilla autonomian tasoilla. Turvallisuussuunnittelun perustana on riskienarviointiprosessi, jossa nämä elinkaarenaikaiset vaarat tulee tunnistaa ja huomioida. Asetusehdotuksen terveys- ja turvallisuusvaatimuksissa ei mainita sanaa tekoäly, vaan käytetään ilmaisua koneen täysin tai osittain itsestään kehittyvä käyttäytyminen tai logiikka sekä koneen toiminta erilaisilla autonomian tasoilla. (Euroopan komissio, 2021/1.)

Uudessa koneturvallisuussääntelyssä lähdetään myös siitä, että mikäli tekoälyä ja koneoppimismenetelmiä sisältäviä turvakomponentteja käytetään koneen turvatoimintojen toteutuksessa, tuote on suuririskinen. Tällaisen tuotteen vaatimustenmukaisuuden arviointiin tulee ottaa mukaan arviointiin päteväksi todettu tarkastuslaitos (eli ns. ilmoitettu laitos). Tuotetta ei tällöin voi saattaa markkinoille ennen kuin tarkastuslaitos näyttää sille vihreää valoa. Käytönaikaisen turvallisuuden nähdään riippuvan paljolti siitä, miten hyvin valmistaja on onnistunut riskienarvioinnissaan ennakoimaan turvatoimintojen käyttäytymisen muutokset sekä rajaamaan toimintoja siten, ettei koneen käyttäminen valmistajan tarkoittamalla tavalla ja tarkoittamissa käyttöolosuhteissa aiheuta vaaraa missään koneen elinkaaren vaiheessa.

Ehdotettua konetuoteasetusta vahvemmin tekoälyyn ottaa kantaa Euroopan komission ehdottama tekoälysäädös. Tämänhetkisessä tekoälyteknologioita sääntelevässä asetusehdotuksessa kielletään joitakin tekoälyn sovelluskohteita ja osa määritellään suuririskisiksi järjestelmiksi, jolloin niille vaaditaan tarkempi riskienhallintajärjestelmä. Tähän liittyy myös vaatimuksia datanhallinnalle, testaukselle, dokumentaatiolle, jäljitettävyydelle, läpinäkyvyydelle ja luotettavuudelle. (Euroopan komissio, 2021/2.) Kyseistä tekoälysäädösehdotusta on ruodittu tarkemmin aiemmassa ETAIROS-blogissa. Lisäksi on valmisteilla erilaisia kansainvälisiä standardeja, jotka koskevat tekoälyä (kts. Malm, 2023, kalvo 19). Näistä valmiina koneturvallisuuspuolella on vasta ISO/TR 22100-5:2021, joka käsittelee koneoppimisen vaikutuksia. Esimerkiksi terveydenhuollossa käytettäville lääkinnällisille laitteille on puolestaan omat standardinsa.

Mitä tulevaisuus tuo?

Tekoälyjärjestelmien riskejä on tärkeää lähestyä elinkaarianalyysin kautta siten, että myös opetusdatan keruu ja mallin opettaminen huomioidaan. Samoin on mietittävä, mitä tekoälytuotteelle tapahtuu, kun se tulee tiensä päähän. Erityisen kiinnostavaa on se, miten varmistetaan tekoälyjärjestelmän ”pysyminen” turvallisena aidossa käyttöympäristössä (ei vain koulutusdataympäristössä). Kun ympäröivä maailma muuttuu, mallin vastaavuus reaalimaailman ilmiöiden kanssa vanhentuu. (Traficom, 2021.) Tämä on otettava huomioon. Tarvitaanko markkinoille tuonnin tiukan seulan lisäksi siis myös jatkuvaa tarkastusta, ja jos tarvitaan, niin miten se toteutetaan?

Kokemusta tekoälyn hyödyntämisestä koneen turvatoiminnoissa ei vielä ole. Onnistuuko riskienhallinta tällaisessa tilanteessa? Valmistajien on pohdittava yhtä aikaa teknisiä ja eettisiä kysymyksiä. Voiko turvakomponentin tekoäly esimerkiksi päästä hyödyntämään rinnakkaisjärjestelmän dataa, jota sen ei tulisi turvallisuuspäätöksiä tehdessään hyödyntää, ja arvottaa tältä pohjalta ihmishengen tai vamman, ympäristö- tai omaisuusvahingon suuruutta sellaisella tavalla, jota ei tarkoitettu? Miten varmistutaan siitä, että turvatoiminto toimii vielä vuosienkin jälkeen ”oikein” ja tekee ratkaisut sille määritettyjen ”sääntöjen” mukaan eikä opi käytön aikana keräämästään datasta jotakin ”väärää”?

Vaatimuksia koneiden käytönaikaisten tarkastusten tekemisestä ei EU:n konesääntelyn uudistuksessa muuteta, sillä ne perustuvat eri direktiiviin. Kansallisesti tarkastuksia säädellään työturvallisuuslainsäädännössä ja sen nojalla annetuissa asetuksissa. Pitäisikö myös koneiden käytönaikaista tarkastamista koskevaa sääntelyä kuitenkin uudistaa? Työkäytössä olevien koneiden osalta työnantajan vastuu koneen turvallisesta toimintakunnosta on jo nyt hyvin laaja: koneet on pidettävä turvallisena koko niiden käyttöiän (VNa 403/2008). Lainsäätäjän ajatuksena on, että koneiden toimintakuntoa seurattaisiin jatkuvasti erilaisin tarkastuksin, mittauksin ja muilla keinoin. Ajatus istuu hyvin myös tekoälypohjaisiin turvatoimintoihin. Pelkkä turvatoimintojen testaus normaalissa käyttötilanteessa ei kuitenkaan välttämättä riitä, vaan on mentävä syvemmälle poikkeustilanteiden pohdintaan. Tekoälyjärjestelmien kohdalla vaikutukset eivät myöskään rajoitu vain työntekijään, vaan niillä voi olla laajempia vaikutuksia koko yhteiskuntajärjestelmän oikeudenmukaisuuteen. Löytyykö työpaikoilta tai ylipäätään mistään riittävästi osaamista ja aikaa tekoälyn käytönaikaisen turvallisuuden varmistamiseen? Ja jos ei löydy, niin miten ja mistä sellaista saadaan?

Jää nähtäväksi, millaisin ”tarkastuslistoin” tekoälyn turvallisuutta lopulta käydään läpi ja kuinka palaute käyttäjien huomioista kulkee takaisin laitteiden ja tekoälykomponenttien valmistajille. Isoja kysymyksiä on vielä ratkaisematta ennen kuin tekoäly voi meitä luotettavasti palvella.

Photo by DeepMind on Unsplash

Lähteet

Dey, S., & Lee, S. W. (2021). Multilayered review of safety approaches for machine learning-based systems in the days of AI. Journal of Systems and Software, 176, 110941.

Euroopan komissio. 2018. Commission staff working document – Evaluation of the Machinery Directive SWD(2018) 160 final. Saatavissa: https://ec.europa.eu/docsroom/documents/29232/attachments/1/translations/en/renditions/native

Europan komissio. 2021 (1). Ehdotus Euroopan parlamentin ja neuvoston asetukseksi konetuotteista. COM(2021) 202 final. Saatavissa: https://eur-lex.europa.eu/resource.html?uri=cellar:1f0f10ee-a364-11eb-9585-01aa75ed71a1.0013.02/DOC_1&format=PDF

Europan komissio. 2021 (2). Euroopan parlamentin ja neuvoston asetus tekoälyä koskevista yhdenmukaistetuista säännöistä (tekoälysäädös) ja tiettyjen unionin säädösten muuttamisesta https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:52021PC0206&from=EN

Fjeld, J., Achten, N., Hilligoss, H., Nagy, A., & Srikumar, M. (2020). Principled artificial intelligence: Mapping consensus in ethical and rights-based approaches to principles for AI. Berkman Klein Center Research Publication, (2020-1).

Malm, T. 2023. Itsekehittyvät järjestelmät – Ajatuksia tekoälyyn liittyvistä turvallisuusvaatimuksista. Turvallisuusjaos ASAF – Suomen Automaatioseura ry. 27.1.2023. Saatavissa: https://www.automaatioseura.fi/site/assets/files/2356/asaf_kahvit_itsekehittyvat_jarjestelmat_ajatuksia_tekoalyyn_liittyvista_turvallisuusvaatimuksista.pdf

Traficom. 2021. Tekoälyn soveltamisen kyberturvallisuus ja riskienhallinta. Saatavissa: https://www.traficom.fi/sites/default/files/media/publication/Teko%C3%A4lyn%20soveltamisen%20kyberturvallisuus%20ja%20riskienhallinta.pdf

Valtioneuvoston asetus työvälineiden turvallisesta käytöstä ja tarkastamisesta 403/2008. Saatavissa: https://finlex.fi/fi/laki/ajantasa/2008/20080403