Sztuczna inteligencja w centrach danych i centra danych dla sztucznej inteligencji

Sztuczna inteligencja to hasło odmieniane przez wszystkie przypadki nie bez przypadku. To technologia, która na naszych oczach rewolucjonizuje IT, biznes i życie codzienne praktycznie każdego z nas. Nie może zatem dziwić, że ma ona kolosalny wpływ także na centra przetwarzania danych. Także z AI Act wynikają pewne obowiązki dla operatorów data center.

Wobec fali regulacji obszaru IT w Unii Europejskiej, wydawać się powinno, że z uwagi na opisywane wyżej związki między rozwojem sztucznej inteligencji i centrów przetwarzania danych, nieco regulacyjnego “przypływu” powinno objąć właśnie rynek data center. Wbrew temu intuicyjnemu odczuciu prawodawca unijny nie poświęcił wiele uwagi centrom danych w swoich planach dotyczących AI.

W sierpniu 2024 roku uchwalone zostało rozporządzenie ws. sztucznej inteligencji (AI Act). Jego pobieżna lektura mogłaby prowadzić do wniosku, że w ogóle nie porusza się tam kwestii data center. Jednakże uważniejsza analiza tego aktu prawnego prowadzi do wniosków, że chociaż pośrednio i wyrywkowo, to z AI Act wynikają pewne obowiązki – zarówno dla centrów danych korzystających z rozwiązań sztucznej inteligencji wewnętrznie, jak i dla dostawców i tzw. podmiotów stosujących systemy AI, które najczęściej będą przecież utrzymywane w ramach chmury obliczeniowej bądź z wykorzystaniem zewnętrznego hostingu – a więc zewnętrznych centrów przetwarzania danych.

Systemy AI wysokiego ryzyka w centrach przetwarzania danych

AI Act, w swojej głównej masie przepisów materialnych , dzieli sposoby wykorzystania sztucznej inteligencji
w Unii Europejskiej na trzy obszary: zakazane, wysokiego ryzyka i ryzyka niższego niż wysokie. Lista zakazów dot. AI, przede wszystkim wyłączająca możliwość eksploatowania AI w sposób manipulujący, stosujący techniki podprogowe, wykorzystujący ludzkie podatności, w ramach scoringu społecznego, masowego scrapingu wizerunków twarzy, dla przewidywania ryzyka popełnienia przestępstwa tylko ze względu na cechy osobiste, dla wyciągania wniosków o emocjach i zamiarach w miejscu pracy lub instytucjach edukacyjnych, dla kategoryzowania biometrycznego według wrażliwych cech oraz dla zdalnej identyfikacji biometrycznej w przestrzeni publicznej w celu ścigania przestępstw – właściwie w niewielkim zakresie może dotyczyć centrów przetwarzania danych jako takich (co jest dla nich dobrą wiadomością).

Nieco inaczej rzecz się ma w odniesieniu do systemów wysokiego ryzyka. To klasa metod wykorzystania AI, które są dozwolone, ale pod warunkiem spełnienia dość rygorystycznych (i kosztownych) obowiązków. Te systemy wymienia art. 6 AI Act. Katalog wynikający z tego przepisu jest szeroki, zatem tutaj wystarczy wskazanie jego pozycji, która istotnie może dotyczyć data center. Mianowicie, są to systemy AI stosowane w obszarze infrastruktury krytycznej jako systemy AI przeznaczone do wykorzystywania jako związane z bezpieczeństwem elementy procesów zarządzania krytyczną infrastrukturą cyfrową (art. 6 ust. 2 w zw. z punktem 2 Załącznika III do AI Act).

Zwrot, którym posłużył się prawodawca unijny jest tyleż niejasny, co ogólny. W jego zakres mogłyby wchodzić generalnie wszystkie systemy AI mające związek z bezpieczeństwem centrów danych – których może być potencjalnie dużo, zwłaszcza w tych największych. Załącznik III do AI Act nie definiuje czym jest krytyczna infrastruktura cyfrowa (art. 3 pkt 62 definiuje co prawda infrastrukturę krytyczną przez odesłanie do dyrektywy w sprawie odporności podmiotów krytycznych 2022/2557, ale niewiele to zmienia w kontekście interpretacyjnym).

W sukurs temu niejasnemu przepisowi przychodzi treść motywu (55) AI Act – czyli pewnego uzasadnienia bądź dyrektywy interpretacyjnej dot. przepisu. Przy czym nadal, motyw robi to w, eufemistycznie mówiąc, złożony sposób:

(55) W odniesieniu do zarządzania infrastrukturą krytyczną i jej działania jako systemy wysokiego ryzyka należy klasyfikować systemy AI, które są przeznaczone do wykorzystania jako związane z bezpieczeństwem elementy procesów zarządzania i działania w przypadku krytycznej infrastruktury cyfrowej wymienionej w pkt 8 załącznika do dyrektywy (UE) 2022/2557, (…), ponieważ ich awaria lub nieprawidłowe działanie mogą stworzyć ryzyko dla życia i zdrowia osób na dużą skalę i prowadzić do znacznych zakłóceń w zwykłym prowadzeniu działalności społecznej i gospodarczej. Związane z bezpieczeństwem elementy infrastruktury krytycznej, w tym krytycznej infrastruktury cyfrowej, to systemy, które są wykorzystywane do bezpośredniej ochrony fizycznej integralności infrastruktury krytycznej lub zdrowia i bezpieczeństwa osób i mienia, ale które nie są konieczne do funkcjonowania systemu. (…) Elementów przeznaczonych wyłącznie do celów cyberbezpieczeństwa nie należy kwalifikować jako związanych z bezpieczeństwem elementów. Przykładami związanych z bezpieczeństwem elementów takiej infrastruktury krytycznej są systemy monitorowania ciśnienia wody lub systemy sterowania alarmem przeciwpożarowym w centrach przetwarzania danych w chmurze (ang. cloud computing centres).

Z przywołanego motywu AI Act wynikają dwa istotne wnioski w kontekście centrów przetwarzania danych:

1. należą do kategorii krytycznej infrastruktury cyfrowej, więc dotyczy ich regulacja o systemach AI wysokiego ryzyka (pkt 8 załącznika dyrektywy wprost wymienia dostawców usług chmurowych oraz dostawców usług przetwarzania danych);

2. wykorzystywane przez nie systemy AI będą systemami wysokiego ryzyka tylko w zakresie w jakim odpowiadają za bezpieczeństwo fizyczne centrum – nie dotyczy to zatem ani AI chroniącej przez cyberzagrożeniami, ani AI odpowiadającej bezpośrednio za świadczenie usług cloud czy szerzej, przetwarza danych.

Rozwijając przykład z motywu 55 AI Act, centra przetwarzania danych będą zobowiązane kwalifikować jako systemy AI wysokiego ryzyka narzędzia AI monitorujące lub kontrolujące ciśnienie wody, alarmy przeciwpożarowe, kontrolę dostępu czy sterowanie temperaturą. Nie będą nimi za to systemy AI sterujące ruchem sieciowym, budujące maszyny wirtualne, optymalizujące środowiska IT, monitorujące zużycie energii elektrycznej czy też wykrywające próby cyberataków.

Zestaw obowiązków dla operatorów data center

Z systemami wysokiego ryzyka AI dla centrów przetwarzania danych będzie się więc wiązał rozległy zestaw obowiązków. Ich dostawcy (którymi będą w wielu wypadkach również same centra przetwarzania danych, w zakresie w jakim same będą rozwijać takie systemy AI) będą zobowiązani, m.in. [1] ustanowić, dokumentować i obsługiwać system zarządzania ryzykiem, [2] spełniać odpowiednie kryteria jakości dla zbiorów danych wykorzystywanych w cyklu życia AI (data governance), [3] sporządzać i aktualizować odpowiednią dokumentację techniczną, [4] w automatyczny sposób rejestrować zdarzeń w cyklu życiu systemu AI, [5] zapewniać wystarczającą przejrzystość systemów AI oraz poziom informacji dla ich użytkowników (w tym tworzyć instrukcje obsługi), [6] zapewniać odpowiedni nadzór ze strony człowieka, [7] zapewniać odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa (art. 8-15 AI Act). Do tego dostawcy systemów AI wysokiego ryzyka dla centrów przetwarzania danych będą zobowiązani prowadzić system zarządzania jakością oraz spełnić obowiązki rejestracyjne oraz w zakresie deklaracji zgodności (zob. art. 16 AI Act).

Biznesowi użytkownicy systemów AI wysokiego ryzyka, nazywani przez rozporządzenie podmiotami korzystającymi – w tym przypadku centra przetwarzania danych pozyskujące systemy AI wysokiego ryzyka od dostawców zewnętrznych – są na podstawie AI Act (art. 26) zobowiązani [1] podjąć odpowiednie środki techniczne i organizacyjne zapewniające wykorzystywanie systemów wysokiego ryzyka zgodnie z dołączoną do nich instrukcją obsługi, [2] zapewnić odpowiedni nadzór ze strony człowieka, [3] zapewnić odpowiednie elementy jakości dot. data governance (w zakresie w jakim zależy od podmiotu korzystającego), [4] monitorować działanie systemu AI, [5] przechowywać automatycznie generowane rejestry zdarzeń, [5] odpowiednio informować pracowników organizacji o wykorzystywaniu AI (jeśli to dotyczy ich miejsca pracy).

Co z systemami AI o skali ryzyka niższej niż wysokie, które wykorzystuje się centrach danych? Logicznie rzecz biorąc, skoro systemów AI dla data center w niewielkim stopniu dotykają zakazane praktyki, a katalog systemów wysokiego ryzyka AI jest wąski – to cała “reszta” systemów AI należy do najniższej kategorii ryzyka. Będą to wszelkie systemy AI operujące zasobami centrów danych, kontrolujące je, monitorujące (działanie, wydajność czy konsumpcję zasobów), wspierające czy zapewniające cyberbezpieczeństwo.

AI Act właściwie nie stawia konkretnych wymagań w tym zakresie. W miękki sposób zachęca jedynie do stosowania dla takich systemów standardów mających zastosowanie do systemów wysokiego ryzyka – zwłaszcza jeśli dany system AI ma istotną rolę dla stabilności danej organizacji lub jej istotnych procesów. W praktyce przyjmuje się zdroworozsądkowe podejście oparte właśnie o ocenę istotności i ryzyk związanych z danym systemem AI. Koniecznie jest też jego cykliczne monitorowanie pod kątem zarówno operacyjnym, jak i możliwości zmiany klasyfikacji ryzyka na tle AI Act (tym bardziej, że katalog systemów AI wysokiego ryzyka może być zmieniany przez Komisję Europejską!).

Rola centrów przetwarzania danych w zapewnieniu zgodności z AI Act

Rola centrów przetwarzania danych w kontekście AI Act nie kończy się na konieczności spełniania obowiązków co do systemów zapewniających im bezpieczeństwo, kwalifikowanych jako systemy AI wysokiego ryzyka. Centra przetwarzania danych mają niebagatelne znaczenie również dla zgodności z AI Act dla szeroko rozumianego rynku AI.

Co prawda żaden z obowiązków wynikających z AI Act dla dostawców i użytkowników systemów AI nie odnosi się wprost do centrów przetwarzania danych – ale część z nich bezpośrednio lub pośrednio wpływa na relacje z nimi.

W odniesieniu do zakazanych praktyk AI, cechą charakterystyczną AI Act jest to, że wskazuje on konkretne zabronione obszary, bez jakiejkolwiek regulacji w zakresie samego procesu prowadzącego do urzeczywistnienia zakazu (efekt, bez określenia drogi do niego). Płynie z tego logiczny wniosek, że każde wystąpienie zakazanej praktyki narusza AI Act, a im intensywniej i dłużej ona występuje, tym to naruszenie jest poważniejsze. W związku z tym oczywista staje się rola data center, zarówno dla dostawcy, jak i podmiotu korzystającego (użytkownika biznesowego) z systemu AI. Zasady współpracy z centrum przetwarzania danych, wynikające z umowy, muszą umożliwiać odpowiednie zareagowanie na incydent na tle zakazanych praktyk AI – doraźnie lub docelowo – tj. np. umożliwiać błyskawiczne zatrzymanie / wyłącznie systemu AI lub jego określonej funkcji, zaimplementowanie obejścia czy uruchomienie kopii zapasowej sprzed określonego czasu lub równoległej instancji. Zagadnienia, takie jak ciągłość działania, redundancja i zarządzanie backupem nabiera dużego znaczenia w kontekście AI.

Poza tym w wielu wypadkach zapewnienie określonych właściwości centrów przetwarzania danych, takich jak bezpieczeństwo fizyczne, zabezpieczenia z zakresu cybersecurity, czy dostępna moc obliczeniowa, może wpływać na odporność systemu AI pod kątem niedopuszczalnego ryzyka (np. przez zapobiegnięcie wycelowanemu atakowi, zatruciu danych, etc.).

Rola centrów przetwarzania danych rośnie w kontekście systemów AI wysokiego ryzyka

Pierwszym wyzwaniem z tym związanym jest ocena czy kwestie związane z relacją z centrum przetwarzania danych powinny być uwzględniane w analizach ryzyka. Jeśli tak, należy odpowiednio oszacować zidentyfikowane ryzyka i przyjąć dla nich adekwatne środki zapobiegawcze.

W pewnych wypadkach centra przetwarzania danych i ich możliwości mają również znaczenie dla spełnienia obowiązków dot. rejestrowania zdarzeń oraz przejrzystości i wyjaśnialności. Odpowiedni dostęp do narzędzi związanych z data center może także wpływać na efektywność nadzoru ze strony człowieka.

Wybór bezpiecznego data center i odpowiednie ułożenie relacji z nim ma za to z pewnością wielkie znaczenie dla zapewnienia dokładności, solidności i – przede wszystkim – cyberbezpieczeństwa systemu AI – co jest jednym z kluczowych wymagań dla systemów sztucznej inteligencji wysokiego ryzyka. AI Act wprost wspomina w tym zakresie o potrzebie gwarantowania redundancji i planów zakładających dostępność systemu zapasowego (ponownie ukazuje się tutaj istotność zasad backupu). W zakresie, w jakim może to zależeć od data center, konieczne jest również wdrożenie środków służących zapobieganiu atakom mającym na celu manipulowanie zbiorami danych wykorzystywanymi przez AI oraz atakom na poufność danych.

W praktyce istotne okazuje się także odpowiednie skonstruowanie zakresu usług w ramach zasobów uzyskiwanych od centrów przetwarzania danych – system AI wysokiego ryzyka musi mieć zapewnioną solidność pozwalającą mu na prawidłowe działanie. W sytuacji, w której nieprawidłowości w jego działaniu mogą pokrzywdzić osobę fizyczną, będziemy mieć do czynienia z naruszeniem AI Act. Można sobie swobodnie wyobrazić sytuacje, w których dany problem wynika z niedostatków usług świadczonych przez centrum przetwarzania danych. Trzeba temu zapobiec, w drodze odpowiedniej umowy.

AI Act zwraca również uwagę na konieczność rozwijania systemów AI w sposób efektywny energetycznie i zrównoważony środowiskowo, chociaż przewiduje w tym zakresie raczej “miękkie” i dość ogólne normy.

Podsumowanie

Aktualnie AI Act dotyka centrów przetwarzania danych (w aspekcie wykorzystywania systemów AI na ich własne potrzeby, jak i dostarczania zasobów dla systemów AI klientów) w sposób punktowy i w przeważającej mierze pośredni. Powoduje to, że centra przetwarzania danych na tę chwilę powinny wdrożyć środki compliance przede wszystkim w odniesieniu do systemów AI obsługujących kwestie bezpieczeństwa fizycznego. Natomiast powinny być również gotowe świadczyć usługi w sposób odpowiednio zabezpieczający potrzeby klientów wynikające z AI Act. Te z kolei, dla ich adekwatnego zaadresowania, powinny znaleźć odzwierciedlenie w kontraktach.

Skłania to do wniosku, że część wielkich inwestycji przeznaczanych dla centrów przetwarzania danych powinna być przeznaczana na środki zapewniające wysoki standard zgodności z AI Act. Tym bardziej, że chociaż w tej chwili obowiązki z niego wynikające nie są bardzo rozbudowane, to należy się spodziewać, że w przyszłości się to drastycznie zmienić. Zgodnie z art. 7 AI Act Komisja Europejska jest uprawniona samowładnie do rozszerzania katalogu systemów AI wysokiego ryzyka. Rozwój centrów danych i zwiększenie ich roli to będą czynniki niemożliwe do nieodnotowania w analizach Komisji.

Piotr Kaniewski, counsel Praktyki IT & Data kancelarii Osborne Clarke