Into Security

Tekoälyagentti ja kyberriskit – kuka kantaa vastuun?

Traficom on julkaissut kattavan ohjeistuksen tekoälyagenttien kyberturvallisuudesta. Opuksen ydinviesti tiivistyy yhteen lauseeseen → kun agentti tekee päätöksiä, ihmisen vastuu ei katoa.

Vaikka se kuulostaa itsestään selvältä, käytännössä asia ei ole niin yksinkertainen. Tekoälyagentit eroavat muista tekoälyratkaisuista siinä, että ne voivat käynnistää toimenpiteitä itsenäisesti ilman ihmisen hyväksyntää. Agentin voi päästää itsenäisesti mellastamaan eli hakemaan tietoa järjestelmistä, tekemään päätelmiä ja toteuttamaan ketjutettuja toimenpiteitä. 

Tätä kannattaa miettiä kaksi kertaa. Kun agentille annetaan autonomiaa ja pääsy järjestelmiin, organisaation riskiprofiili muuttuu. Traficom varoittaakin, että yksittäinen virhe, väärä lähtötieto tai ulkopuolinen manipulointi voi johtaa nopeasti laajoihin ja vaikeasti hallittaviin seurauksiin.

Tekoälyagentit ja ISO 27001:n tuttu logiikka

ISO 27001 -sertifioiduissa organisaatioissa agenttihaasteeseen on helpompi tarttua. Hallintajärjestelmän peruslogiikka lähtee aina siitä, että johto kantaa vastuun tietoturvallisuudesta ja sen resursoinnista. Johto määrittelee riskinottotason, hyväksyy politiikat ja varmistaa, että kontrollit toimivat.

Tekoälyagentit eivät muuta tätä logiikkaa, mutta ne laajentavat sitä.

Kun organisaatio ottaa käyttöön AI-agentteja, joilla on pääsy asiakastietoihin, taloushallinnon järjestelmiin tai tuotantoympäristöön, kyse on saman tasoisesta päätöksestä kuin minkä tahansa uuden järjestelmän tai prosessin kohdalla. On kysyttävä, mitä riskejä tämä synnyttää, miten niitä hallitaan ja kuka vastaa, jos jokin menee pieleen?

Millaisia riskejä tekoälyagentteihin liittyy?

Traficomin ohje nojaa OWASP:n hyviin listauksiin tekoälyagenttien ja kielimallien yleisimmistä haavoittuvuuksista. Niiden avulla on helpompi hahmotaa, miksi perinteinen tietoturva-ajattelu ei täysin sellaisenaan toimi.

Poimin neljä kyberriskien kulmasta kiinnostavaa kohtaa:  

  1. Yksi tyypillisimmistä virheistä on liiallinen toimivalta (LLM06)
    Agentille annetaan laajat oikeudet järjestelmiin, koska se tuntuu helpommalta kuin oikeuksien tarkka rajaaminen. Käytännössä tämä tarkoittaa, että agentti voi tehdä paljon enemmän kuin sen tehtävä edellyttäisi, ja jos jokin menee pieleen, vahingot ovat suuremmat kuin olisi tarpeen. 
  2. Toinen merkittävä riski on kehoteinjektio (LLM01)
    Hyökkääjä voi piilottaa haitallisia ohjeita esimerkiksi sähköpostiin tai asiakirjaan, jota agentti käsittelee. Agentti ei erota luotettavaa ohjetta haitallisesta samalla tavalla kuin ihminen. Se mennä porskuttaa. Tämä on täysin uudenlainen hyökkäysvektori, johon perinteiset palomuurit ja virustorjunta eivät auta. 
  3. Moniagenttijärjestelmissä riskit kertautuvat ketjureaktioina (ASI08)
    Jos yksi agentti tekee virheen tai saa väärää tietoa, se voi levitä muihin agentteihin. Toisin kuin ihminen, agentti ei pysähdy ihmettelemään, kun tilanne vaikuttaa oudolta – se jatkaa toimintaansa ja vie virheen eteenpäin.
  4. Huomioi toimitusketjuriskit (ASI04)
    Tekoälyagentit koostuvat usein kolmansien osapuolten malleista, työkaluista ja komponenteista. Näihin voi sisältyä haavoittuvuuksia, vinoumia tai pahimmillaan tahallisia takaportteja. Sama logiikka, jota ISO 27001 edellyttää toimittajahallinnassa, pätee myös tekoälykomponentteihin.

Nämä edelläkuvatut ovat vain pieni otos. Kannattaa lukea OWASP:n listaukset, jotka kattavat kymmenen agenttijärjestelmien uhkaa (ASI01–ASI10) sekä kymmenen kielimallien haavoittuvuutta (LLM01–LLM10). 

Traficomin ohje tulkkaa näitä suomeksi ja tarjoaa monia hyviä käytännön neuvoja. Suosittelen tutustumaan.

Mitä ISO 27001 -organisaation on hyvä tehdä käytännössä?

Ensimmäinen askel on selvittää, onko organisaatiossa jo käytössä tekoälyagentteja – ja jos on, millaisilla oikeuksilla ne toimivat. Myynti- ja markkinointiimit ovat innokkaita kokeilemaan ja tietoturva ei välttämättä käy heti mielessä. Agentteja voi tulla käyttöön pilvipalveluiden, toimittajien tai yksittäisten tiimien kautta ilman keskitettyä, hallittua päätöstä, jossa CISO on mukana.

Riskiarvioinnissa agentit on hyvä käsitellä omana kokonaisuutenaan. Traficomin ohje tarjoaa tähän hyvän kehikon. Arvioinnissa on syytä huomioida käyttötapauksen laajuus, käsiteltävän datan arkaluonteisuus sekä integraatiot muihin järjestelmiin. Mitä laajemmat oikeudet agentilla on, sitä tarkemmin sen toimintaa pitää rajata ja valvoa.

Käyttöoikeuksien hallinta nousee keskeiseksi. Agentille pitää soveltaa samaa vähimpien oikeuksien periaatetta kuin työntekijöille, eli pääsy vain siihen tietoon ja niihin toimintoihin, joita tehtävän suorittaminen vaatii. Tämä kuulostaa yksinkertaiselta, mutta käytännössä turhan moni organisaatio antaa agenteille laajat oikeudet varmuuden vuoksi – ja luo samalla merkittävän tietoturvariskin.

Lokitus ja valvonta ovat välttämättömiä. Toisin kuin ihminen, agentti ei pysähdy epäröimään, jos tilanne vaikuttaa oudolta. Se jatkaa toimintaansa myös silloin, kun suunta on väärä. Siksi agentin toiminnasta pitää jäädä jälki, ja poikkeamat pitää havaita ajoissa. Erityisesti kannattaa seurata, kutsuuko agentti yllättäen uusia työkaluja tai toimiiko se tavalla, joka poikkeaa sen alkuperäisestä tehtävästä. 

Työkaluja → uhkamallinnuspohja, hankintaohje ja riskimatriisi

Traficomin paketissa on mukana monia käytännön työkaluja, ja ne ovat todella käyttökelpoisia. 

Mukana on uhkamallinnuspohja, jolla tekoälyagentin riskit voi käydä systemaattisesti läpi. ISO 27001 -organisaatioissa uhkien ja riskien tunnistaminen on tuttu käytäntö, ja Traficomin pohja laajentaa sen tekoälyagenttien erityispiirteisiin.

Toinen hyödyllinen työkalu on hankintaohje. Kun organisaatio hankkii agentin ulkopuolelta, liitteen muistilista auttaa varmistamaan, että toimittajalta kysytään oikeat kysymykset eli esimerkiksi miten käyttöoikeudet hallitaan, missä data käsitellään, miten mallia päivitetään ja kuka vastaa mistäkin.

Lisäksi ohjeessa on riskimatriisi, joka auttaa arvioimaan agentin riskitasoa kolmella akselilla → vaikutus ydinliiketoimintaan, autonomian taso ja datan arkaluonteisuus. Yksinkertainen mutta toimiva tapa hahmottaa, kuinka kriittisestä järjestelmästä kulloinkin on kyse.

Johdon rooli ei muutu 

Traficomin ohjeessa korostetaan, että johdon tehtävänä on päättää kolmesta asiasta:  

  • Mihin agentteja käytetään ja mihin ei?  
  • Kuinka itsenäisesti ne saavat toimia? 
  • Missä kohdissa ihmisen on aina oltava mukana?

Tekoälyagentit eivät edellytä erillistä hallintamallia, vaan ne voidaan integroida olemassa olevaan malliin. ISO 27001 -sertifioidussa organisaatiossa päätökset dokumentoidaan ja katselmoidaan osana hallintajärjestelmää. 

Riskienhallinta, muutoksenhallinta, sisäiset auditoinnit ja johdon katselmukset kattavat myös agentit, kunhan ne on tunnistettu osaksi tietoturvan laajuutta.

Käytännössä tämä tarkoittaa, että seuraavassa johdon katselmuksessa kannattaa kysyä ainakin seuraavat kysymykset: 

  • Tiedämmekö, mitä tekoälyagentteja organisaatiossamme on käytössä? 
  • Onko niiden riskit arvioitu? 
  • Ja kuka tästä vastaa?

Vastaus viimeiseen kysymykseen on aina sama → johto.

Ville 

Traficomin aineisto löytyy täältä: 
https://traficom.fi/fi/julkaisut/tekoalyagenttien-kyberturvallisuus

kyberturvallisuus tekoäly