Решения для управления идентификацией на базе ИИ часто преподносятся как зрелый ответ на современные требования к контролю доступа: более умная верификация, снижение трений, повышение безопасности, довольные пользователи. В принципе, это так. На практике же они тянут за собой изрядный багаж вопросов, связанных с комплаенсом, конфиденциальностью и этикой. Первая проблема — комплаенс. Идентификация не является второстепенным вопросом в корпоративной среде. Она находится в самом центре безопасности, управления, рисков и подотчетности. Как только ИИ начинает участвовать в принятии решений о том, кому предоставить доступ, кого подвергнуть дополнительной проверке, кого пометить как подозрительного или кому полностью отказать во входе, это перестает быть просто техническим контролем и быстро превращается в вопрос управления. Многие из этих решений опираются на большие объемы персональных данных, иногда включая биометрию, поведенческий анализ, данные об устройствах, информацию о местоположении и паттерны использования. Это означает, что организации должны быть абсолютно прозрачны в отношении законных оснований, необходимости, соразмерности, сроков хранения и надзора. Иными словами, им нужно знать не только то, что инструмент способен что-то сделать, но и то, стоит ли им это делать вообще. Подобно тому, как знание о том, что iPhone — это инструмент, не означает знание содержания разговора. Конфиденциальность — это область, где все становится несколько туманным. Системы идентификации на базе ИИ обычно продвигаются под тем предлогом, что они могут учитывать больше сигналов и, как следствие, принимать более обоснованные решения. Это звучит отлично, и иногда это действительно так. Но это также означает больше сбора данных, больше обработки и больше потенциального вторжения. Грань между интеллектуальной аутентификацией и чрезмерным вмешательством может очень быстро стать тонкой. Данные, собранные для подтверждения личности, могут легко превратиться в данные, используемые для мониторинга поведения, профилирования сотрудников, отслеживания привычек или поддержки более широкого надзора, если механизмы защиты слабы. Именно здесь доверие начинает давать сбой. Предприятиям необходимы конфиденциальность по умолчанию (privacy by design), надлежащие оценки воздействия, прозрачные уведомления и дисциплинированные границы использования данных об идентификации. То, что система может сделать больше выводов, не означает, что она должна это делать. Это потенциальное минное поле, которое следует преодолевать вдумчиво и добросовестно. Это подводит нас к этическому вопросу, где машина становится слишком самодовольной. Модели ИИ не являются нейтральными просто потому, что они математические. Если инструмент идентификации обучался на неполных или предвзятых данных, он может работать неравномерно в разных группах. Это может привести к более высокому числу ложных отказов, повторным проверкам для законных пользователей или решениям, которые непропорционально затрагивают определенных лиц. В деловой среде это не просто неудобство. Это может быть несправедливо, исключающе и потенциально дискриминационно. Организации не могут просто внедрить эти системы и надеяться, что алгоритм будет вести себя прилично. Это сродни волшебному мышлению. Объяснимость также имеет значение. Если кому-то отказано в доступе, заблокирован процесс или он помечен как высокорисковый, должен существовать способ объяснить это решение простым языком и оспорить его при необходимости. Решения по идентификации типа «черный ящик» плохо вписываются в любую организацию, стремящуюся заявить о сильном управлении. Человеческий обзор, маршруты эскалации и четкая подотчетность должны быть частью дизайна. Реальный вывод заключается в том, что решения по идентификации на базе ИИ никогда не следует рассматривать как блестящее дополнительное обновление безопасности. Это часть гораздо более широкой картины, включающей защиту данных, доверие пользователей, подотчетность и контроль. При правильном использовании они могут укрепить устойчивость и снизить мошенничество. При плохом использовании они могут создать именно тот непрозрачный, излишне усложненный риск, которому должно препятствовать надлежащее управление. Разумный подход заключается не в сопротивлении технологии, а в ее надлежащем управлении с самого начала. Потому что в вопросах идентификации, как и в большинстве вещей, ум без контроля — это просто хаос в более нарядном обличье.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ellie Hurst
