DEBATT | Kristoffer Brandt, AWS
Kunstig intelligens må styres – ikke bare utvikles
Kunstig intelligens har beveget seg fra forskningsmiljøene og inn i styrerom, kundeservice, logistikksystemer og samfunnskritiske funksjoner. Det handler ikke lenger om å eksperimentere. KI er nå en del av samfunnskritisk infrastruktur. Men holder styringen tritt med utviklingen?
Når språkmodeller kan generere tekst, kode, analyser eller avgjørelser på sekunder øker også risikoen for feil, skjevhet, datalekkasjer, diskriminering om omdømmetap. Det er ikke nok å stille seg spørsmålet om KI kan brukes til en spesifikk oppgave. Vi må også spørre om vi bør bruke det, og hvordan det kan brukes på en forsvarlig måte.
Det er her ISO/IEC 42001:2023 kommer inn i bildet. Den første globale ledeselsstandarden for kunstig intelligens. En standard som definerer hva ansvarlig KI-styring faktisk innebærer i praksis. Den krever at bedrifter etablerer styring gjennom hele KI-livssyklusen – fra idé og design til drift, reevaluering og utfasing.
Det handler ikke bare om teknologiske valg, men om å bygge inn risikohåndtering og etiske vurderinger i hver fase. Hvem har ansvar for modellen? Hvordan loggføres avgjørelser? Er systemet testet for diskriminerende utfall? Hvordan håndteres personvern og datasikkerhet
Hvor risiko oppstår
For å svare på denne type spørsmål, kreves både verktøy og struktur. ISO/IEC 420001 viser hvordan organisatorisk kontroll kombineres med tekniske tiltak. Inkludert konsekvensuverderinger, rolleavklaringer og bruken av trusselmodellering for å identifisere svakheter og sårbarheter. Verktøy som STRIDE, OWAS for KI og MITRE ATLAS er eksempler på metoder som gir innsyn i hvor risiko kan oppstå.
Skyen får med dette en stadig viktigere rolle. Både som infrastruktur og som styringsplattform. Konkrete eksempler er hvordan SageMaker Model Cards brukes til å dokumentere formål og begrensninger for modeller og hvordan SageMaker Clarify identifiserer skjevhet og bedrer forklarbarheten. Amazon Bedrock Guardrails gjør det mulig å sette sikkerhetsfiltre rundt generativ kunstig intelligens.
Integrert styring
Eksemplene er ikke verktøy som alene løser styringen. Men det viser hvordan teknologi, brukt bevisst, kan støtte bedrifter i å etterleve regulatoriske og etiske krav. Poenget er at det må bygges styring inn i systemene. Ikke i etterkant, men som en integrert del av utviklingsprosessen.
Behovet er reelt. Flere store språkmodeller har tidligere vist seg å kunne reprodusere sensitiv informasjon, og beslutningsstøttesystemer i offentlig sektor har fått kritikk for manglende sporbarhet og rettssikkerhet. Hvilket er en viktig påminnelse om at kunstig intelligens ikke bare er en teknisk utfordring. Det handler like mye om tillit, ansvar og kvalitet.
Standarder som ISO/IEC 42001 er derfor viktig for å profesjonalisere hvordan kunstig intelligens utvikles, kontrolleres og forvaltes. Ikke for å bremse innovasjonen, men for å gjøre den bærekraftig, ansvarlig og robust. Teknologien er her. Det store spørsmålet er om vi skal ta styringen, eller om den skal styre oss. Vi vet alle svaret.
