Akt o umjetnoj inteligenciji donosi nove izazove za operatere podatkovnih centara – a regulatorni "režim" će se nastaviti razvijati...
Izraz "umjetna inteligencija" (AI) prožima razgovore o tehnologiji, poslovanju i svakodnevnom životu. Njezin revolucionarni utjecaj na obradu podataka je neosporiv. Ono što se često zanemaruje jest da Akt o umjetnoj inteligenciji nameće obveze operaterima podatkovnih centara.
Akt o umjetnoj inteligenciji i podatkovni centri
S obzirom na val IT regulacije u Europskom gospodarskom prostoru (EGP), moglo bi se očekivati da će odnos između razvoja umjetne inteligencije i podatkovnih centara dovesti do specifičnih propisa za tržište podatkovnih centara. Iznenađujuće, zakonodavci EU nisu se u svojim planovima za umjetnu inteligenciju snažno i precizno usredotočili na podatkovne centre.
U početku se može činiti da Akt o umjetnoj inteligenciji, čije su prve odredbe stupile na snagu 2. veljače 2025., nije predvidio regulaciju podatkovnih centara. Međutim, Akt propisuje obveze – i za podatkovne centre koji interno koriste AI rješenja i za pružatelje i korisnike AI sustava koji se nalaze u vanjskim podatkovnim centrima.
Iako se Akt ne primjenjuje izravno na podatkovne centre umjetne inteligencije koji se nalaze u Ujedinjenom Kraljevstvu i drugim zemljama izvan EGP-a, važno je da operateri tih centara budu svjesni njegovih odredbi. Ako imaju sustave umjetne inteligencije koji se koriste unutar EGP-a, njihovi klijenti iz EGP-a očekivat će da se centrima upravlja na način koji olakšava usklađenost s AI Aktom i da njihovi ugovori to odražavaju te da budu usklađeni sa svim propisima.
Operateri podatkovnih centara s drugih teritorija također bi se trebali informirati o nadolazećem zakonodavstvu o umjetnoj inteligenciji u svojim zemljama, u slučaju da postoji utjecaj na njih. Na primjer, vlada Ujedinjenog Kraljevstva predlaže donošenje zakona specifičnog za umjetnu inteligenciju sljedeće godine, koji će se vjerojatno usredotočiti na sigurnost i zaštitu umjetne inteligencije te bi mogao imati implikacije na podatkovne centre u Ujedinjenom Kraljevstvu i drugdje.
Visokorizični sustavi umjetne inteligencije u podatkovnim centrima
Akt o umjetnoj inteligenciji kategorizira korištenje umjetne inteligencije u EGP-u u tri područja: zabranjeno, visokorizično i sve ostalo. Zabranjene prakse umjetne inteligencije uključuju prakse poput subliminalnih tehnika, socijalnog bodovanja, predviđanja rizika od kriminala i zaključivanja o emocijama. Ove zabrane imaju mali izravan utjecaj na podatkovne centre.
Visokorizični sustavi umjetne inteligencije, međutim, mogu biti značajni i podliježu strogim i skupim obvezama. Jedna relevantna kategorija za podatkovne centre uključuje sustave umjetne inteligencije koji se koriste kao sigurnosne komponente u upravljanju i radu kritične digitalne infrastrukture (članak 6(2) Akta o umjetnoj inteligenciji).
Nejasna i općenita formulacija zakonodavaca EU mogla bi obuhvatiti sve sustave umjetne inteligencije povezane sa sigurnošću podatkovnih centara, posebno za najveće centre. Akt ne definira kritičnu digitalnu infrastrukturu iako članak 3(62) definira „kritičnu infrastrukturu“ pozivanjem na Direktivu o otpornosti kritičnih subjekata 2022/2557.
Uvodna izjava 55. Akta pruža određenu jasnoću:
„Sustavi umjetne inteligencije klasificirani kao visokorizični za upravljanje i rad kritične infrastrukture uključuju one koji se koriste kao sigurnosno kritične komponente. Kvar ili neispravan rad tih komponenti mogao bi dovesti do rizika za fizički integritet kritične infrastrukture, zdravlje i sigurnost osoba i imovine. Komponente isključivo u svrhu kibernetičke sigurnosti ne kvalificiraju se kao sigurnosne komponente. Primjeri sigurnosnih komponenti takve kritične infrastrukture mogu uključivati sustave za praćenje tlaka vode ili sustave za kontrolu protupožarnog alarma u centrima za računalstvo u oblaku."
Iz ovoga proizlaze dva zaključka:
Podatkovni centri smatraju se kritičnom digitalnom infrastrukturom i na njih utječu propisi o visokorizičnim sustavima umjetne inteligencije.
Visokorizični sustavi umjetne inteligencije u podatkovnim centrima su oni koji se odnose na fizičku sigurnost, a ne na kibernetičku sigurnost ili umjetnu inteligenciju koja se koristi u uslugama u oblaku ili obradi podataka.
Proširujući uvodnu izjavu 55, podatkovni centri moraju klasificirati alate umjetne inteligencije koji prate ili kontroliraju tlak vode i protupožarne alarme kao visokorizične sustave umjetne inteligencije, a drugi primjeri mogu biti sustavi koji prate električne kvarove te oni koji kontroliraju temperaturu i pristup. Ova kategorija neće se primjenjivati na sustave umjetne inteligencije za upravljanje mrežom, izgradnju virtualnih strojeva, optimizaciju IT okruženja, praćenje potrošnje energije ili otkrivanje kibernetičkih napada.
Odgovornosti operatera
Dok će se neki sustavi praćenja i kontrole temeljiti na tradicionalnom softveru, vjerojatno je da će sve veći broj podatkovnih centara koristiti sustave koji uključuju element umjetne inteligencije. Visokorizični sustavi umjetne inteligencije donose opsežne odgovornosti za rad podatkovnih centara. Pružatelji ovih sustava (često sami podatkovni centri) moraju:
- Uspostaviti, dokumentirati i upravljati sustavom upravljanja rizicima.
- Zadovoljavati kriterije kvalitete za skupove podataka koji se koriste u životnom ciklusu umjetne inteligencije (upravljanje podacima).
- Izraditi i ažurirati tehničku dokumentaciju.
- Automatski bilježiti događaje u životnom ciklusu AI sustava.
- Osigurati transparentnost i odgovarajuće informacije za korisnike (uključujući upute za uporabu).
- Osigurati odgovarajući ljudski nadzor.
- Osigurati točnost, robusnost i kibernetičku sigurnost.
- Također moraju upravljati sustavom upravljanja kvalitetom i pridržavati se obveze registracije i izjave o usklađenosti.
Operateri podatkovnih centara ovih visokorizičnih AI sustava, uključujući podatkovne centre koji nabavljaju ove sustave od trećih dobavljača, moraju:
- Poduzeti tehničke i organizacijske mjere kako bi osigurali da se AI sustavi koriste u skladu s uputama za uporabu.
- Osigurati odgovarajući ljudski nadzor.
- Osigurati kvalitetu u pogledu upravljanja podacima (u mjeri u kojoj to ovisi o operateru).
- Pratiti rad AI sustava.
- Pohraniti automatski generirane zapisnike događaja.
- Adekvatno informirati zaposlenike podatkovnog centra o visokorizičnoj upotrebi AI.
AI sustavi niskog rizika
Popis visokorizičnih AI i zabranjenih AI sustava prilično je uzak, a većina AI sustava u podatkovnim centrima spada u kategoriju najnižeg rizika. To uključuje AI sustave koji rade, kontroliraju, prate performanse ili potrošnju resursa, podržavaju i osiguravaju sigurnost.
Akt o AI potiče korištenje standarda za AI sustave nižeg rizika sličnih onima za AI sustave visokog rizika, posebno ako AI sustav značajno utječe na organizacijsku stabilnost ili bitne procese. Preporučuje se pristup "zdravog razuma" temeljen na procjeni rizika, uz periodično praćenje rada sustava i potencijalnih promjena u klasifikaciji rizika prema Aktu o umjetnoj inteligenciji.
Uloga podatkovnih centara u osiguravanju usklađenosti
Podatkovni centri igraju ključnu ulogu u osiguravanju usklađenosti s Aktom o umjetnoj inteligenciji, ne samo za vlastite visokorizične sustave umjetne inteligencije, već i za korisnike centara. Iako nijedna od obveza pružatelja i korisnika sustava umjetne inteligencije nije specifična za podatkovne centre, mnoge neizravno utječu na njihov odnos.
Na primjer, kvarovi u visokorizičnim sustavima umjetne inteligencije mogu zahtijevati trenutačno mogućnosti odgovora, kao što je zaustavljanje sustava umjetne inteligencije, provedba zaobilaznih rješenja ili pokretanje sigurnosnih kopija. Kontinuitet poslovanja, redundancija i upravljanje sigurnosnim kopijama ključni su u ovom kontekstu.
Svojstva podatkovnih centara poput fizičke sigurnosti, kibernetičke sigurnosti i dostupnosti računalne snage mogu utjecati na otpornost sustava umjetne inteligencije na vanjske prijetnje, kao što su kibernetički napadi ili data poisonig (zlonamjerni napad u kojem se namjerno unose pogrešni, manipulirani ili pogrešno označeni podaci u skup za treniranje modela).
Rastuća važnost podatkovnih centara za visokorizične sustave umjetne inteligencije
Procjena treba li odnose s podatkovnim centrima uključiti u analizu rizika ključna je. Rad podatkovnih centara važan je za bilježenje incidenata koji utječu na AI sustave, kao i za osiguranje transparentnosti i odgovornosti, a pristup alatima podatkovnog centra može poboljšati učinkovitost ljudskog nadzora AI sustava.
Odabir sigurnog podatkovnog centra i odgovarajuće uređenje odnosa ključno je za osiguranje točnosti, robusnosti i kibernetičke sigurnosti AI sustava - ključnih zahtjeva za AI sustave visokog rizika. AI Akt propisuje planove redundancije i sigurnosnog kopiranja: podatkovni centri su sastavni dio toga, kao i provedbe mjera za sprječavanje napada na skupove podataka i povjerljivost podataka.
Pravilno strukturiranje usluga unutar resursa podatkovnog centra osigurava robustan rad AI sustava visokog rizika. Kvarovi koji uzrokuju štetu pojedincima mogu kršiti regulativu, što zahtijeva odgovarajuće sporazume za sprječavanje takvih problema.
Konačno, AI Akt iznenađujuće malo govori o energetskoj učinkovitosti i održivosti, osim obveza regulatora AI-a da olakšaju stvaranje dobrovoljnih kodeksa ponašanja koji reguliraju utjecaj AI sustava na održivost okoliša i energetski učinkovite tehnike za učinkovito dizajniranje, obuku i korištenje AI-a. Međutim, to su pitanja od velikog interesa za mnoge operatere i korisnike podatkovnih centara, iz etičkih i praktičnih razloga.
Operateri podatkovnih centara trebali bi implementirati mjere usklađenosti za sve svoje AI sustave koji se bave pitanjima fizičke sigurnosti i pripremiti se za rješavanje potreba kupaca koje proizlaze iz AI Akta, uključujući pregled ugovora s kupcima i dobavljačima kako bi odražavali te zahtjeve.
Ulaganja u podatkovne centre trebala bi uključivati mjere za osiguranje visoke usklađenosti. Iako trenutačne obveze nisu opsežne, očekuju se buduće promjene. Europska komisija može proširiti katalog AI sustava visokog rizika, a rastuća uloga podatkovnih centara bit će značajan čimbenik u ovoj analizi.
