Tekoälyn tietoturva ja tietosuoja — Tekoälytiistai-blogisarja osa 6

Kirjoittaja: Christa Sairio, IT-asiantuntija, Humanistinen ammattikorkeakoulu, 06.6.2023

Tämä blogikirjoitus on kuudes osa Tekoälytiistai-blogisarjaa, jonka jokaisessa osassa esittelemme yhden näkökulman tekoälyn hyödyntämiseen koulutuksen kentällä.

Kutsumme tätä blogisarjaa Tekoälytiistaiksi, koska blogitekstejä julkaistaan joka tiistai 18.4. alkaen kevätlukukauden loppuun asti. Blogisarjan tuotantoa koordinoi Digioppimisen kehittämisryhmä Dingo. Sarjassa julkaistaan seuraavat blogit:

Suvi Tuominen: Muuttaako tekoäly opettajan työtä? (25.4.2023)
Arto Lindholm: Tekoälyn eettinen hyödyntäminen opiskelussa (2.5.2023)
Niila Tamminen: Tekoäly 2040 (9.5.2023)
Gyan Dookie: Tekoälyn olemuksesta -ajatteleeko tekoäly (16.5.2023)
Päivi Timonen & Pia Lundbom: Tekoäly ja yhteisöllisyys (30.5.2023)
Christa Sairio: Tekoälyn tietoturva ja tietosuoja (6.6.2023.2023)
Katri Karjula & Petteri Ruotsalainen: Tekoälyllä alkuun ja digiosaamisella maaliin (13.6.2023)

Tekoäly! Siunaus vai kirous tietosuojan ja -turvan kannalta?

Tekoäly, Tukiäly, Assari, Digisankari… sanonnan mukaan rakkaalla lapsella on monta nimeä. Vai onko tässä kyseessä sittenkään niin rakas lapsi?

Lyhyesti sanottuna tietosuoja tarkoittaa henkilötietojen suojaamista ja käsittelemistä asianmukaisesti ja lainmukaisesti. Tietoturva puolestaan liittyy henkilötietojen suojaamiseen luvattomalta käytöltä, muuttamiselta tai poistamiselta, ja tässä kirjoituksessa tarkastelen ja pohdin tekoälyn, tietoturvan ja tietosuojan välisiä suhteita ja haasteita.

Tekoäly on ollut mukana arjessa jo vuosikausia, ja nykyään datan määrä on niin massiivinen, ettemme pärjää ilman sitä. Tavallisille työntekijöille se tuo turvallisuutta ja ajansäästöä esimerkiksi sähköpostin haittaohjelmien ja muiden uhkien blokkaamiselta, konekäännöksinä, hakukoneina, itseohjautuvina autoina, mahdollisuutena hyödyntää biometristä tunnistautumista tai älylaitteella käytettävää digitaalista avustajaa. Siinä oli vain muutama esimerkki.

Kaksi tummiin pukeutunutta ja vakavaa miestä pohtivaisina shakkilaudan ääressä ja kuvassa teksti: Kun ymmärrät, että tekoäly voi sekä parantaa tietoturvaa että luoda uusia haavoittuvuuksia samanaikaisesti. — Text to memen luoma kuva tekoälyn ja tietoturvan yhteensopivuudesta.

Tekoäly kasvaa ja kehittyy huimaa vauhtia, ja sitä hyödynnetään vahvasti kyberturvassa ja kyberrikollisuudessa. Kaikkea tekniikkaa voidaan käyttää hyviin tai pahoihin tarkoituksiin, ja tekoäly on avainasemassa kyberhyökkäysten torjunnassa. Tekoälyjärjestelmiin pätee vähintään samat riskit kuin muihinkin tietojärjestelmiin ja Kyberturvallisuuskeskuksen mukaan tekoäly mahdollistaa uusia tapoja toteuttaa hyökkäyksiä, ja sitä tullaan käyttämään kyberhyökkäysten tukena (Kyberturvallisuuskeskus 2023).

Voidaanko ChatGPT:n käyttö kieltää Suomessa?

Otetaan esimerkiksi OpenAI:n luoma ChatGPT3-kielimalli, joka julkaistiin marraskuussa 2022. Se mullisti monen kansalaisen tietoisuuden tekoälyn olemassaolosta, ja Italia oli ensimmäinen EU-jäsenmaa, joka kielsi ChatGPT:n käytön. Italian tietosuojaviranomainen, Garante, vaati, että ChatGPT:n tekoälyä muutetaan GDPR-säädösten mukaiseksi, tai palvelua tuottavalla yrityksellä, OpenAI:lla, on edessään kovat sakot.

ChatGPT:n käyttö on kielletty alle 13-vuotiailta, mutta palvelussa käyttäjien ikää ei voida varmistaa, minkä vuoksi ChatGPT voi altistaa alaikäiset ikään ja kehitystasoon nähden vääränlaiseen tietoon. Lisäksi Italian tietosuojaviranomainen kritisoi oikeusperusteen puuttumista ja katsoi, että annetut tiedot rekisteröidylle henkilötietojen käsittelystä ovat riittämättömiä. Italian lisäksi myös muita EU-maita on pyytänyt EU:n tietosuojavalvontaviranomaista arvioimaan ChatGPT:hen liittyviä yksityisyyttä koskevia huolenaiheita. (Järvinen 2023).

OpenAI teki päätöksen itsenäisesti rajoittaa pääsyä palveluun Italian maaperältä. Myöhemmin OpenAI teki Italian tietosuojaviranomaisen pyytämiä muutoksia jatkaakseen toimintaansa Italiassa, ja palvelu avattiin uudelleen käyttöön. OpenAI kertoi Italian tietosuojaviranomaiselle olevansa avoimempi sen suhteen, kuinka se käyttää henkilötietoja ja parantavansa mekanismeja, joilla ihmiset voivat pyytää tietojensa korjaamista tai poistamista. (Reuters 2023).

Suomen tietosuojavaltuutetun huhtikuussa 23 julkaiseman tiedotteen mukaan EU:n tietosuojaneuvosto on perustanut työryhmän, jonka tehtävänä on edistää yhteistyötä ja tiedonvaihtoa koskien tietosuojaviranomaisten toimenpiteitä liittyen ChatGPT:hen. (Tietosuojavaltuutetun toimisto 2023). Tietääkseni Suomessa ei ole toistaiseksi tehty kansallisia linjauksia ChatGPT:n tietosuojan osalta ja todennäköisesti Suomi tekee yhteistyötä EU:n tietosuojaneuvoston perustaman työryhmän kanssa eikä tehdä kansallisia linjauksia.

Kysyin ChatGPT3-versiolta sen mielipidettä omasta tietosuojastaan ja tietoturvastaan, ja sain geneerisen vastauksen, jonka mukaan se ei omista tietosuojakäytäntöjä eikä henkilökohtaisia tietoja. ChatGPT on suunniteltu siten, että se ei tallenna tai muista käytyjä keskusteluja. Kuitenkin OpenAI raportoi tietoturvaloukkauksesta, joka tapahtui maaliskuussa, jossa joillakin käyttäjillä oli mahdollisuus nähdä osia toisten keskusteluhistoriasta, maksutietoja tai toisen aktiivisen käyttäjän henkilötietoja. (OpenAI 2023).

EU-maissa edistetään tekoälylakia, joka voi asettaa lisävaatimuksia tekoälypalveluita tuottaville yrityksille. Toisaalta lain voimaan astuminen voi kestää vuosia, ja tekoälyn kehittyessä lakivaatimukset saattavat jäädä jälkeen. Tekoäly tarjoaa tekniikkaa, jota lainsäädäntö ei välttämättä ole huomioinut. BBC:n artikkelin mukaan kansalaiset voivat kärsiä sääntelemättömästä tekniikasta, ja vakava huoli on herännyt siitä, kuinka ChatGPT:n kaltaiset tekoälyt voivat pettää ja manipuloida ihmisiä. (McCallum 2023).

Tekoälyn, tietosuojan ja -turvan tasapaino jatkossa

Tietosuojan, tietoturvan ja tekoälyn yhteensopivuus on suuri ja monimutkainen haaste, joka vaatii jatkuvaa tarkkailua ja parannuksia. Tekoälyä hyödynnetään monin eri tavoin, ja sen käyttö kasvaa nopeasti. Tekoälyn turvallinen ja haitallinen kehittyminen kulkevat käsi kädessä, ja niiden tasapainottaminen vaatii edelleen ihmisten tekemää työtä. On siis tärkeää olla kiinnostunut ja pysyä ajan tasalla tekoälyn kehityksestä uhkien torjunnassa ja yksityisyyden suojassa. Pyysin vielä Picsartin kuvapalvelua luomaan minulle kuvan tekoälyn ja turvallisuuden tasapainosta tulevaisuudessa surrealismin keinoin. Tulkinta jää katsojalle.

Ihmishahmoina kuvattuna turvallisuuden ja tekoälyn hahmot nauravina yhdessä. — Picsartin luoma kuva tekoälyn ja turvallisuuden onnellisesta yhteiselosta surrealismin keinoin.

Yhteenvetona voidaan todeta, että mm. ChatGPT on merkittävä ja kehittyvä läpimurto teknologian saralla. Se pystyy tuottamaan taitavasti kirjoitettua tekstiä, käyttämään sujuvaa suomea ja on muutenkin varsin idea- ja sanarikas myös virheellisen tiedon levittämisessä. Kehityksen myötä myös tietosuojaan ja tietoturvaan liittyvät haasteet tekoälyn kanssa ovat nyt ja tulevaisuudessa edelleen olemassa, vaikka työkalut ja toimenpiteet kehittyvät ja muuttuvat.

Viimeisenä käytin tämän blogisarjan ensimmäisessä osassa Suvi Tuomisen mainitsemaa Paraphrasetoolia tekstin tiivistämiseksi ja virheiden korjaamiseksi ja ChatGPT:ta antamaan lisävinkkejä sisältöön. Muutamia sanakorjauksia ja lauserakenteen muutoksia tein, mutta lisävinkit olivat niin geneerisiä, että en ottanut niitä mukaan.

Lähteet:

Kyberturvallisuuskeskus. 2023. Tekoäly tulee muuttamaan myös kyberhyökkäyksiä. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tekoaly-tulee-muuttamaan-myos-kyberhyokkayksia). Viitattu 15.5.2023.

Reuters. 2023. Spain asks EU data protection board to discuss OpenAI’s ChatGPT. (https://www.reuters.com/technology/spains-data-regulator-asks-eu-data-protection-committee-evaluate-chatgpt-issues-2023-04-11/. Viitattu 15.5.2023.

Järvinen, Petteri. 2023. Gdpr vs. tekoäly. https://www.tivi.fi/blogit/gdpr-vs-tekoaly/72c1197f-d733-412b-a95a-8d750ecefc84. Viitattu 15.5.2023.

OpenAI. 2023. ChatGPT outage: Here’s what happened. https://openai.com/blog/march-20-chatgpt-outage). Viitattu 15.5.2023.

McCallum, Shiona. 2023. BBC. ChatGPT banned in Italy over privacy concerns. https://www.bbc.com/news/technology-65139406). Viitattu 15.5.2023.

Tietosuojavaltuutetun toimisto. 2023. https://tietosuoja.fi/-/euroopan-tietosuojaneuvosto-antoi-metan-tiedonsiirtoja-koskevan-kiistanratkaisupaatoksen-ja-perusti-tyoryhman-chatgpt-lle. Viitattu 17.5.2023.

Cookie	Duration	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__cfruid	session	This cookie is set by the provider Cloudflare. This cookie is used for load balancing and for identifying trusted web traffic.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
AWSALBCORS	7 days	This cookie is used for load balancing services provded by Amazon inorder to optimize the user experience. Amazon has updated the ALB and CLB so that customers can continue to use the CORS request with stickness.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_vwo_uuid_v2	1 year	This cookie is set by Visual Website Optimiser and is used to measure the performance of different versions of web pages.
s_vi	2 years	This is an Adobe analytics cookie and is used to store the a unique visitor ID time/date stamp to identify a unique vistor to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duration	Description
_gat_UA-3557527-1	1 minute	No description
_hjAbsoluteSessionInProgress	30 minutes	No description
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	2 minutes	No description
_hjTLDTest	session	No description
CONSENT	16 years 8 months 18 days 15 hours 9 minutes	No description
zte2095	session	No description