Noderīgas saites

Meklētākās tēmas

IKT riska pārvaldība mākslīgā intelekta risinājumu izmantošanā

Mākslīgā intelekta (MI) modeļi kiberdrošības jomā tuvākajā nākotnē kļūs pieejami plašāk, sevišķu uzmanību pievēršot vispārīga lietojuma lielo valodas modeļu (general-purpose large language models) attīstībai. Ņemot vērā MI modeļu spējas un ātrumu ievainojamību atklāšanā, vērojami informācijas un komunikācijas tehnoloģiju (IKT) drošības izaicinājumi, kas liek identificēt ievainojamības, izstrādāt drošības ielāpus un pārvaldīt IKT izmaiņu vadības procesus daudz ātrāk, nekā tas darīts līdz šim.

Vienlaikus kiberdrošības MI modeļu attīstība nav saistīta tikai ar risku. Šos modeļus var izmantot arī preventīvi, lai uzlabotu IKT aktīvu drošību, tostarp atklātu ilgstoši neidentificētas ievainojamības, atbalstītu drošu programmatūras izstrādi un stiprinātu kritisko informācijas sistēmu drošību.

Latvijas Banka kopā ar Eiropas uzraudzības iestāžu (EBA, EIOPA un ESMA1) Apvienoto komiteju un Eiropas Centrālo banku uzrauga MI modeļu izmantošanas attīstību kiberdrošības jomā un koordinē darbu ar Eiropas Komisiju, ESRB2 un ENISA3.

Eiropas Savienības regulatīvais ietvars veido būtisku kiberdrošības risku pārvaldības pamatu, kurā īpaši nozīmīga ir IKT riska pārvaldības sistēmas ieviešana, drošības un noturības testēšana, incidentu un darbības atjaunošanas pārvaldība, kā arī trešo pušu IKT pakalpojumu sniedzēju riska pārvaldība.

Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību

Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību (DORA), kā arī ar to saistītie regulatīvie tehniskie standarti (RTS) un īstenošanas tehniskie standarti (ITS) nosaka vienotu pamata prasību kopumu visā finanšu sektorā attiecībā uz IKT aizsardzības pasākumiem, kas jāievieš finanšu tirgus dalībniekiem. Prasības IKT riska pārvaldībai MI izmantošanā:

  • IKT aktīvu aizsardzība un neatļautas piekļuves novēršana (DORA 9. pants);
  • anomālu darbību atklāšana, tostarp IKT tīkla veiktspējas problēmu un ar IKT saistītu incidentu atklāšana (DORA 10. pants);
  • IKT darbības nepārtrauktības politikas nodrošināšana (DORA 11. pants);
  • rezerves kopiju politikas un atjaunošanas procedūru nodrošināšana (DORA 12. pants);
  • organizāciju spēju un personāla kompetences pilnveide informācijas apkopošanai par ievainojamībām un kiberdraudiem (DORA 13. pants);
  • ievainojamību novērtējumu veikšana noturības testēšanas ietvaros (DORA 25. pants);
  • IKT darbības drošības nodrošināšana, tostarp ievainojamību un ielāpu pārvaldība.


Regula (ES) 2024/1689, ar ko nosaka saskaņotas normas mākslīgā intelekta jomā

Regula (ES) 2024/1689, ar ko nosaka saskaņotus noteikumus mākslīgā intelekta jomā (MI akts) paredz uzraudzības ietvaru vispārīga lietojuma MI modeļiem (general-purpose AI; GPAI) ar sistēmisku risku4. Ja vispārīga lietojuma MI modelis, pamatojoties uz Eiropas Komisijas lēmumu par tā sistēmisko risku novērtējumu, tiek klasificēts kā modelis ar sistēmisku risku, tā nodrošinātājam piemēro papildu pienākumus5. Tie ietver pārredzamības prasības, attiecīgās tehniskās dokumentācijas nodrošināšanu, kā arī pienākumus, kas saistīti ar kiberdrošības aspektiem.

Eiropas Komisija 2025. gada jūlijā publicēja pamatnostādnes par MI aktā noteikto pienākumu tvērumu vispārīga lietojuma MI modeļu nodrošinātājiem6. Pamatnostādnēs noteikts, ka no vispārīga lietojuma MI modeļu ar sistēmisku risku nodrošinātājiem tiek gaidīta sadarbība ar MI biroju, tostarp proaktīva būtiskas informācijas sniegšana par nopietniem incidentiem un kiberdrošības pārkāpumiem, kas saistīti ar modeli vai tā fizisko infrastruktūru.

Saskaņā ar MI akta 89. panta 2. punktu MI modeļu izmantotāji, piemēram, finanšu tirgus dalībnieki, kas izmanto MI modeļus kiberdrošības jomā, ir tiesīgi iesniegt sūdzību par iespējamu MI akta pārkāpumu, ko izdarījuši vispārīga lietojuma MI modeļu nodrošinātāji.

4 MI aktā vispārīga lietojuma MI modelis ir definēts kā "MI modelis, tostarp, ja šāds MI modelis ir apmācīts ar lielu datu apjomu, izmantojot plaša mēroga pašpārraudzību, kas ir ļoti vispārīgs un spēj kompetenti veikt plašu atšķirīgu uzdevumu klāstu neatkarīgi no tā, kā modelis tiek laists tirgū, un ko var integrēt dažādās lejupējās sistēmās vai lietojumos" (MI akta 3. panta 63. punkts).

5 MI aktā noteiktie pienākumi vispārīga lietojuma MI modeļu nodrošinātājiem ir piemērojami no 2025. gada 2. augusta, un Eiropas Komisijai ar MI biroja starpniecību ir uzticēta šo pienākumu uzraudzība, izmeklēšana, izpildes nodrošināšana un pārraudzība. MI akta izpildes nodrošināšanas pilnvaras ietver Eiropas Komisijas tiesības pieprasīt informāciju (MI akta 91. pants), veikt vispārīga lietojuma MI modeļu novērtējumus (MI akta 92. pants), pieprasīt nodrošinātājiem veikt pasākumus, tostarp īstenot riska mazināšanas pasākumus un atsaukt modeli no ES tirgus (MI akta 93. pants), kā arī piemērot naudas sodus, sākot ar 2026. gada 2. augustu (MI akta 101. pants).

6 https://digital-strategy.ec.europa.eu/en/library/guidelines-scope-obligations-providers-general-purpose-ai-models-under-ai-act

Identificētie riski ietver:

  • pieaugošu ievainojamību atklāšanas un izmantošanas risku pamatdarbības, mantotajās (legacy) u. c. informācijas sistēmās;
  • īsāku ievainojamību novēršanai pieejamo laiku, kas rada papildu slodzi drošības ielāpu ieviešanas, testēšanas un izmaiņu pārvaldības procesos;
  • nesamērīgu ietekmi uz mazākām iestādēm ar ierobežotu informācijas tehnoloģiju un kiberdrošības kapacitāti;
  • lielāku pakļautību riskiem, kas izriet no nepietiekamas kiberhigiēnas, tostarp neatbilstošas konfigurācijas un pārmērīgām piekļuves tiesībām;
  • pieaugošu trešo pušu IKT pakalpojumu sniedzēju un IKT koncentrācijas risku, ja programmatūra, mākoņpakalpojumi vai IKT pakalpojumu sniedzēju kiberdrošība kopumā tiek ietekmēta;
  • paaugstinātu piegādes ķēžu risku, tostarp atkarību no ierobežota skaita IKT pakalpojumu sniedzēju, programmatūras piegādātāju un MI modeļu nodrošinātāju;
  • paaugstinātu vienlaicīgu vai koordinētu incidentu risku vairākos finanšu tirgus dalībnieku pakalpojumos, sektoros vai tirgus infrastruktūrās.

Joma

Iespējamie riska mazināšanas pasākumi

IKT aktīvu pārvaldība
  • Identificēt IKT aktīvus, kas atbalsta kritiski svarīgas un svarīgas funkcijas.
  • Noteikt IKT aktīvu kritiskumu, īpašniekus un atkarības no trešo pušu pakalpojumu sniedzējiem.

Piekļuves tiesību pārvaldība
  • Nodrošināt regulāru lietotāju piekļuves tiesību pārskatīšanu.
  • Nodrošināt privileģēto piekļuves tiesību kontroli un neatkarīgu uzraudzību.
  • Nodrošināt piekļuves tiesību piešķiršanu, maiņu un anulēšanu atbilstoši mazāko privilēģiju principam.

Konfigurācijas pārvaldība
  • Noteikt drošas konfigurācijas prasības infrastruktūras komponentiem, mākoņpakalpojumiem, lietojumprogrammām un datubāzēm.
  • Nodrošināt konfigurācijas izmaiņu dokumentēšanu, apstiprināšanu un izsekojamību.

Darbinieku izmantoto MI rīku pārvaldība
  • Noteikt atļautos MI rīkus un to izmantošanas nosacījumus.
  • Nodrošināt darbinieku informēšanu par MI rīku izmantošanas ierobežojumiem un ar tiem saistītajiem riskiem.

Trešo pušu IKT pakalpojumu sniedzēju (TPPS) riska pārvaldība
  • Izstrādāt TPPS pārvaldības procedūru.
  • Veikt alternatīvu risinājumu un IKT koncentrācijas riska novērtējumu pirms būtisku TPPS izvēles.
  • Uzturēt informācijas reģistru, kas ietver visas līgumiskās vienošanās ar TPPS.
  • Izstrādāt atkāpšanās stratēģiju TPPS, kas atbalsta kritiski svarīgas vai svarīgas funkcijas.
  • Noteikt vadības līmeņa atbildību par līgumisko vienošanos ar TTPS un sadarbības uzraudzību.

Auditācijas pierakstu pārvaldība
  • Definēt auditācijas pierakstu tvērumu infrastruktūras komponentiem, lietojumprogrammām un datubāzēm, kā arī to glabāšanas biežumu.
  • Nodrošināt minimālā reģistrējamo notikumu kopuma noteikšanu, tostarp autentifikācijas, piekļuves, privileģēto darbību, konfigurācijas izmaiņu un drošības notikumu reģistrēšanu.
  • Nodrošināt auditācijas pierakstu aizsardzību pret manipulācijām, dzēšanu un nesankcionētu piekļuvi.

MI izmantošanas pārvaldība
  • Veicināt MI modeļu izmantošanu kiberdrošības jomā ievainojamību atklāšanai un novēršanai.
  • Pirms jebkura lēmuma par izmaiņu vai drošības ielāpu ieviešanu nodrošināt cilvēka veiktu pārbaudi un apstiprinājumu.

Drošības testēšanas pārvaldība
  • Nodrošināt regulāru kritiski svarīgās un svarīgās funkcijas atbalstošo IKT sistēmu un lietojumprogrammu testēšanu.
  • Nodrošināt, ka drošības testēšanu veic neatkarīgas personas vai funkcijas.
  • Ieviest drošības testos konstatēto trūkumu prioritizēšanas, novēršanas un validēšanas kārtību.
  • Aktualizēt ārkārtas drošības ielāpu ieviešanas procedūras.
  • Noteikt termiņus ievainojamību novēršanai un paātrinātu ielāpu ieviešanas procedūru.
  • Nodrošināt atcelšanas (rollback) procedūras un kapacitāti savlaicīgai darbības atjaunošanai gadījumos, kad ielāpu ieviešana rada incidentus.

Darbības nepārtrauktība un datu atjaunošana
  • Izstrādāt un dokumentēt rezerves kopiju pārvaldības politiku un procedūras.
  • Noteikt rezerves kopiju tvērumu, biežumu, saglabāšanas periodus un atjaunošanas prasības atbilstoši IKT sistēmu kritiskumam, RTO/RPO*.
  • Aizsargāt rezerves kopijas pret dzēšanu, šifrēšanu un nesankcionētām izmaiņām.
  • Testēt kritisko sistēmu atjaunošanu un dokumentēt faktisko atjaunošanas laiku, datu zudumu un konstatētās problēmas.

Incidentu pārvaldība
  • Noteikt incidentu identificēšanas, klasificēšanas, eskalācijas un izmeklēšanas kārtību.
  • Uzturēt incidentu reģistru un dokumentēt veiktos pasākumus.
  • Nodrošināt būtisku IKT incidentu ziņošanu Latvijas Bankai noteiktajos kanālos un termiņos.

Vadības struktūras atbildība
  • Piešķirt atbilstošu budžetu digitālās darbības noturības vajadzību nodrošināšanai attiecībā uz visu veidu resursiem.
  • Nodrošināt pietiekamus resursus un organizācijas spējas lietotāju aktivitāšu, IKT anomāliju un ar IKT saistītu incidentu uzraudzībai.

Komunikācijas pārvaldība
  • Uzraudzīt publiski pieejamo informāciju par ievainojamībām, kas ietekmē kritiski svarīgus pakalpojumu sniedzējus vai plaši izmantotu programmatūru.
  • Testēt krīzes komunikācijas procesu kopā ar darbības nepārtrauktības un katastrofu atjaunošanas testiem.
*Atjaunošanas laika mērķis/atjaunošanas punkta mērķis.

Papildu informācija

 

 

1 Eiropas Banku iestāde, Eiropas Apdrošināšanas un aroda pensiju iestāde, Eiropas Vērtspapīru un tirgu iestāde.

2 Eiropas Sistēmisko risku kolēģija.

3 Eiropas Savienības Kiberdrošības aģentūra.

Cik noderīga Tev bija šī informācija?
Nebija noderīga Ļoti noderīga
Kā mēs varam uzlabot Tavu pieredzi mūsu tīmekļvietnē?

Šī lapa ir aizsargāta ar Google reCAPTCHA, un tās apmeklētājiem jāņem vērā arī Google pakalpojumu sniegšanas noteikumi un Google konfidencialitātes politika