La sicurezza dell'AI deve essere una priorità per i programmi di esperienza

La sicurezza dell'AI deve essere una priorità per i programmi di esperienza

Le tecnologie emergenti di intelligenza artificiale offrono grandi opportunità per trasformare il modo in cui le aziende possono offrire esperienze ai clienti e ai dipendenti, ma comportano anche seri problemi di sicurezza. In Medallia, le nostre priorità sono la privacy e la sicurezza dei dati dei nostri clienti e la garanzia di un uso responsabile di tali dati.

Medallia da oltre 15 anni forma e impiega modelli di intelligenza artificiale (AI) con Text Analytics e Speech Analytics - compresa la trascrizione speech-to-text - per le aziende di settori sensibili come i servizi finanziari, le assicurazioni e la sanità, oltre che per le agenzie governative. 

Oltre un milione di utenti attivi ogni settimana utilizza queste soluzioni basate sull'intelligenza artificiale in quasi tutti i settori per comprendere e offrire esperienze personalizzate a clienti e dipendenti. Oggi, in occasione di Experience '24, abbiamo annunciato quattro soluzioni innovative di IA generativa per accelerare questi sforzi. Poiché ci siamo concentrati sull'IA per tutto il tempo, le considerazioni sulla sicurezza sono e saranno sempre fondamentali per il modo in cui progettiamo e implementiamo i modelli di IA.

Quando si cerca di implementare i più recenti metodi di intelligenza artificiale nei propri programmi di esperienza, è fondamentale comprendere i rischi che un modello potrebbe comportare per la sicurezza dei dati gestiti dall'azienda. 

Illustriamo alcune delle domande che dovreste porre a voi stessi e al vostro potenziale fornitore di soluzioni di IA per darvi un'idea di come pensano alla sicurezza dell'IA.

Sicurezza dei dati: Dove vanno i miei dati? Chi li usa?

Alcuni modelli linguistici di grandi dimensioni (LLM) o altri modelli complessi possono richiedere che i dati escano dai vostri data center per essere analizzati e vengano trasferiti a quelli gestiti da chi possiede il modello. Quando i dati escono dal vostro data center per entrare in uno di terze parti, gli aggressori hanno la possibilità di intercettarli e la sicurezza dei vostri dati è soggetta ai controlli di sicurezza implementati dalle terze parti. 

Ma ci sono anche altri rischi di fuga di dati. I dati possono "trapelare" alla fonte o presso i subprocessori di terzi. Più la rete si espande, più aumenta il rischio di perdita di dati. Pertanto, il flusso dei dati - da dove provengono e dove vanno - e i controlli di sicurezza a riposo e in transito sono estremamente importanti quando si valuta la reale sicurezza dei dati quando si utilizzano modelli di intelligenza artificiale. 

Rischi del modello: Per cosa vengono utilizzati i miei dati? Come vengono utilizzati?

In un mondo idealmente sicuro per i dati, le aziende costruirebbero modelli proprietari interni, li addestrerebbero sui propri dati e impedirebbero che questi lascino i loro data center. Sfortunatamente, la creazione di modelli di intelligenza artificiale proprietari costruiti specificamente per i dati e i sistemi di una singola azienda è proibitiva in termini di tempo e di costi, soprattutto per coloro che sono all'inizio del loro percorso nell'intelligenza artificiale. 

Per mitigare questi rischi, molte organizzazioni possono scegliere di utilizzare modelli open-source interni, ovvero modelli open-source ospitati nei propri data center. Anche con pipeline di dati estremamente sicure, esistono comunque dei rischi: ad esempio, modelli formati su contenuti protetti da copyright, modelli non più supportati o aggiornati, modelli che utilizzano tecnologie obsolete e così via. Questi rischi sono legati a un altro tipo di rischio per la sicurezza: la stabilità dei modelli.

Come posso mitigare i rischi per la sicurezza dei miei dati posti dall'IA?

Cosa deve fare l'azienda per mitigare i rischi associati alla sicurezza dei modelli di intelligenza artificiale? La risposta è scegliere partner che siano consapevoli di questi rischi e che dedichino attivamente alle loro piattaforme la progettazione dei modelli, i contratti legali, la sicurezza dei dati, la conformità e altre risorse rilevanti per la sicurezza.

Ad esempio, i nostri standard elevati per l'archiviazione dei dati includono la crittografia a riposo, il controllo rigoroso degli accessi, le politiche di conservazione dei dati, il diritto di cancellazione e la conformità agli standard internazionali di sicurezza dei dati, come la norma ISO 27001. Cosa significa tutto questo? Significa che rispettiamo i più elevati standard di sicurezza, il che include la garanzia che i dati siano crittografati, conservati solo per un determinato periodo di tempo e possano essere cancellati su richiesta. 

Medallia mantiene inoltre la conformità a una serie di certificazioni e requisiti di sicurezza estremamente rigorosi, oltre a standard di sicurezza proprietari non coperti da normative. Quando utilizzano i nostri modelli di intelligenza artificiale (Text Analytics, Speech Analytics, speech to text e tutto ciò che viene alimentato da questi modelli), le aziende, le agenzie governative e i singoli individui sono protetti da molti livelli di sicurezza, fino al modo in cui progettiamo i nostri prodotti di intelligenza artificiale.

Oltre a ciò, affrontiamo questi problemi in molti modi, tra cui:

1. Implementazione di standard elevati per la sicurezza dell'archiviazione e della trasmissione dei dati, con allineamento ai migliori standard come ISO 27001 e SOC 2.

2. Allinearsi agli standard e alle best practice di sicurezza dell'IA, come raccomandato dal National Institute of Standards and Technology AI Risk Management Framework - noto anche come NIST AI RMF - e dall'ISO/IEC 23053 Framework for AI Systems Using Machine Learning (ML), alcuni dei più solidi standard globali.

3. Creazione di un Consiglio di moderazione dell'IA interno, responsabile della supervisione di tutto lo sviluppo di prodotti di IA all'indirizzo Medallia. 

4. Lancio di un comitato consultivo esterno sull'IA che includerà la partecipazione delle comunità di clienti e partner di Medallia , incentrato sull'uso responsabile ed etico dell'IA e sullo scambio di insegnamenti, sfide e best practice.

In secondo luogo, i fornitori devono sempre essere trasparenti nell'indicare come utilizzeranno i vostri dati nei contratti stipulati con loro. Dovrebbero chiedervi esplicitamente il consenso per i tipi di dati che utilizzeranno e per quale scopo. Medallia garantisce che i clienti diano un chiaro consenso nei contratti stipulati con loro. Quando cambiamo le modalità di utilizzo dei dati, avvisiamo i nostri clienti in anticipo. Non invieremo mai i vostri dati a un subprocessore ambiguo o a un luogo che non sia stato precedentemente autorizzato in base ai termini del contratto.

Il risultato di tutto ciò è una base solida e sicura per i modelli di intelligenza artificiale passati, presenti e futuri, nonché per la struttura complessiva della piattaforma di gestione dell'esperienza Medallia. La nostra dedizione alla creazione di analisi e reportistica democratizzata, personalizzata e sicura per le aziende su scala aziendale ci impone di essere all'avanguardia nei processi e nelle normative di sicurezza. Voi potrete raccogliere tutti i benefici di questo lavoro, sapendo di avere uno stakeholder responsabile che investe nel futuro dei vostri programmi di esperienza basati sull'intelligenza artificiale. 

La sicurezza dei dati deve essere fondamentale per il vostro fornitore di AI

La sicurezza dei dati è essenziale nella scelta di un fornitore di IA. Noi di Medallia lo abbiamo imparato lavorando negli ultimi vent'anni in settori sensibili. La salvaguardia dei dati è al centro del nostro approccio allo sviluppo e alla fornitura di software. Quando si prendono in considerazione le soluzioni di IA, è fondamentale sondare i potenziali fornitori sulle loro misure di sicurezza.

Le domande sulla privacy dei dati, sui rischi del modello e sulle considerazioni etiche dovrebbero guidare la vostra valutazione. È fondamentale capire dove vanno a finire i vostri dati e come vengono utilizzati. Per ridurre i rischi è necessario scegliere fornitori che diano priorità alla sicurezza, alla conformità e alla trasparenza. Medallia Il nostro fornitore, ad esempio, aderisce a rigorosi standard di protezione dei dati, rispetta le normative internazionali e garantisce il consenso esplicito dei clienti.

Incorporare l'IA nei vostri programmi di esperienza è una mossa potente, ma deve essere fatta con attenzione. Medallia non solo fornisce capacità di IA all'avanguardia, ma si impegna a considerare la privacy dei dati dei nostri clienti, la sicurezza e l'uso responsabile di tali dati come le nostre massime priorità.


Autore

Scot Gorman

Scot si occupa di sicurezza dell'IA per Medallia. Ha un background nello sviluppo di nuovi programmi per supportare problemi complessi di IT, SRE e sicurezza su scala. Scot partecipa anche a conversazioni esterne relative all'implementazione etica dell'IA. È membro del Consiglio di moderazione sull'intelligenza artificiale di Medallia, incaricato di supervisionare l'implementazione e il miglioramento continuo delle nostre iniziative basate sull'intelligenza artificiale. Essendo un allievo costante, cresciuto da educatori, ama condividere le sue conoscenze nel modo più ampio possibile per contribuire alla sicurezza e alla privacy di tutti.
POSTI COLLEGATI