Οι 5 ερωτήσεις πριν από κάθε AI security audit

Προτού ανοίξει κανένα laptop ή διαβαστεί έστω ένα έγγραφο, ένα σωστό AI audit ξεκινά με πέντε απλές ερωτήσεις. Δεν είναι τεχνικές, είναι βασικές: τι κάνει στ' αλήθεια το σύστημα, ποιος λαμβάνει το αποτέλεσμά του και τι συμβαίνει αν κάνει λάθος.

Το «δεν ξέρω» είναι εύρημα

Τα πρώτα τριάντα λεπτά, προτού εμφανιστεί κανένα έγγραφο, αποκαλύπτουν σχεδόν όλα όσα έχουν σημασία. Όταν ο πελάτης δεν ξέρει αν το AI του αποθηκεύει προσωπικά δεδομένα, αυτό καταγράφεται επιτόπου ως κενό με προτεραιότητα. Το «δεν ξέρω», δηλαδή, δεν είναι αποτυχία αλλά πληροφορία, καθώς σημαίνει ότι λείπει κάτι, είτε μια διαδικασία είτε η εκπαίδευση είτε η λογοδοσία.

Οι πέντε κατηγορίες

Οι ερωτήσεις καλύπτουν πέντε κατηγορίες. Η πρώτη αφορά το σύστημα καθαυτό: τι μπαίνει, τι βγαίνει, ποιος το βλέπει και τι σπάει αν κάνει λάθος. Η δεύτερη αφορά τη λογοδοσία, δηλαδή ποιος το έφτιαξε, πότε, αν έχει αναθεωρηθεί ποτέ και ποιος είναι υπεύθυνος σήμερα. Η τρίτη είναι η διακυβέρνηση δεδομένων (data governance), με όλα τα ζητήματα προσωπικών, ιατρικών ή οικονομικών δεδομένων, ανωνυμοποίησης και GDPR. Η τέταρτη είναι η επίπτωση, δηλαδή το πώς εντοπίζονται τα λάθη και αν παρεμβαίνει άνθρωπος πριν παρθεί μια απόφαση. Και η πέμπτη είναι το ιστορικό, αν δηλαδή έχει συμβεί ποτέ κάτι απρόβλεπτο.

Μία και μόνο ερώτηση σε κάθε κατηγορία μπορεί να αναδείξει ένα κενό συμμόρφωσης που κανένας έλεγχος εγγράφων δεν θα έπιανε, για τον απλό λόγο ότι το έγγραφο δεν υπάρχει ακόμη. Αν ο πελάτης πει ότι «υπάρχει μόνο ανθρώπινη εποπτεία» χωρίς να μπορεί να κατονομάσει τίποτε άλλο, αυτό ακριβώς είναι το σημείο εκκίνησης: η δήλωση AI του Άρθρου 50, οι πολιτικές δεδομένων και τα incident logs. Η συνέντευξη είναι το θεμέλιο, και πάνω της χτίζεται στη συνέχεια η audit-ready τεκμηρίωση.