Osaamispolku on uusi digitaalinen palvelu, joka hyödyntää keskustelevaa tekoälyä ja tarjoaa tukea koulutus- ja urasuunnitteluun laajalle käyttäjäryhmälle kansalaisista opettajiin. Näin innovatiivisen, tekoälyyn ja suuriin kielimalleihin pohjautuvan palvelun käyttöönottoon liittyy paljon vastuuta: sen turvallisuutta ja sääntelynmukaisuutta on arvioitava perusteellisesti erityisesti EU:n tekoälysäädöksen (AI Act) näkökulmasta. Kattavan arvioinnin toteuttivat VTT:n tekoäly- ja kyberturvallisuusasiantuntijat.
Osaamispolku-verkkosivulla käyttäjät voivat kuvailla toiveitaan ja kiinnostuksenkohteitaan tekoälylle omin sanoin ilman raskaita valikkoja. Koska palvelu kuuluu EU:n uuden tekoälysäädöksen piiriin, sille katsottiin tarpeelliseksi tehdä riippumaton auditointi. Tarkan ja luotettavan arvioinnin toteutti VTT, jolla on paljon kokemusta uusien teknologioiden turvallisuudesta sekä tekoälyn hyödyntämisestä.
”Osaamispolku tuottaa tekoälyn avulla suosituksia koulutus- ja uramahdollisuuksista käyttäjän mieltymysten ja taustan pohjalta. Tavoitteenamme oli auditoida tekoälykomponenttien luotettavuutta ja sitä, kuinka hyvin ne vastaavat tekoälysäädöksen vaatimuksiin”, kertoo VTT:n tekoälyyn keskittyvän kyberturvallisuuden tutkimusprofessori ja arvioinnin vetäjä Samuel Marchal.
Digitaalisia polkuja elinikäisen oppimisen tueksi
EU:n elpymis- ja palautumistukivälineen (RRF) rahoittama Osaamispolku kehitettiin laajassa poikkihallinnollisessa yhteistyössä ministeriöiden ja julkisten toimijoiden kanssa. Opetus- ja kulttuuriministeriön erityisasiantuntija Jenni Larjomaan vastuulla oli tekoälyauditoinnin koordinointi.
Hänen mukaansa digitaaliset palvelut voivat tarjota arvokkaita mahdollisuuksia koulutus- ja uravaihtoehtojen tarkasteluun, mutta ne eivät voi koskaan täysin korvata ihmisen ohjausta.
Larjomaa kehuu tekoälyauditointia:
”Arviointi tarjosi arvokasta tukea kehitystyöllemme. Olimme jo aiemmin tehneet erillisen tietoturva-arvioinnin, mutta tämä prosessi toi uusia näkökulmia. Se oli sekä tarpeellinen että aidosti hyödyllinen.”
Arvioinnin kuusi osa-aluetta
EU:n tekoälysäädös asettaa tekoälyjärjestelmille tiukat läpinäkyvyysvaatimukset niiden riskiluokan mukaan. Käytännössä tämä tarkoittaa sitä, että käyttäjien tulee ymmärtää, milloin he ovat vuorovaikutuksessa tekoälyn kanssa ja missä tarkoituksessa. Ihmisen on aina tiedettävä, milloin tekoäly on mukana vuorovaikutuksessa.
Vaikka tekoälysäädös määrittelee laajan joukon vaatimuksia, kaikkia niitä ei ole realistista soveltaa samalla laajuudella jokaisessa järjestelmässä. Vaatimuksia on priorisoitava sen mukaan, miten järjestelmää käytetään ja millaisia riskejä siihen liittyy.
Marchalin mukaan keskeinen osa laadukasta arviointia on ymmärtää, mitkä näkökulmat ovat missäkin tilanteessa kriittisimpiä. Tämä on myös edellytys käytännöllisten ja toteuttamiskelpoisten suositusten antamiselle.
VTT arvioi palvelua kuudesta näkökulmasta käsin:
- eettiset näkökohdat
- tekoälyn käytön vastuullisuus
- turvallisuus, toimintavarmuus ja luotettavuus
- tietosuoja ja datan laatu
- läpinäkyvyys käyttäjille
- EU-sääntelyn noudattaminen
Nämä näkökulmat muodostavat yhdessä VTT:n arviointimallin perustan ja tukevat vastuullisen tekoälyn käytön suosituksia.
”Meillä on vakiintunut toimintamalli tällaisiin arviointeihin, ja pystymme tarjoamaan perusteltuja ja luotettavia suosituksia. Tässä vaiheessa kyse ei ole sertifioinnista, vaan ohjauksesta ja säädösten noudattamisen varmistamisesta. Niillä uusilla alueilla, joilla ei ole vielä vakiintuneita menetelmiä tai teknisiä standardeja, keskitymme tunnistamaan ja suosittelemaan parhaita käytäntöjä”, Marchal sanoo.
Turvallisuus, toimintavarmuus ja luotettavuus keskiössä
Marchalin mukaan turvallisuus, toimintavarmuus ja luotettavuus ovat tekoälyjärjestelmien arvioinnin haastavimpia osa-alueita. Ne eivät usein ole kehitystyön ensisijainen painopiste, sillä niiden parantaminen voi olla kallista, eivätkä ne tuo välittömästi näkyvää arvoa käyttäjille.
”Nämä osa-alueet ovat kriittisiä, sillä tekoälyjärjestelmiä voidaan väärinkäyttää tai manipuloida monin eri tavoin, kuten syöttämällä piilokehotteita (prompt injection). Tekoälyjärjestelmien kehittyessä syntyy myös uudenlaisia uhkia, jotka edellyttävät jatkuvaa seurantaa, puolustuskeinojen päivittämistä ja säännöllisiä turvallisuusarviointeja”, Marchal muistuttaa.
Toinen keskeinen havainto liittyy arvioinnin ajoitukseen. Usein arvioinnit tehdään vasta kehitysprosessin lopussa, mikä heikentää niiden vaikuttavuutta. Tällöin arviointi kuvaa lähinnä järjestelmän senhetkistä tilaa eikä ohjaa suunnittelua.
Marchalin mukaan tehokkaampi lähestymistapa olisi kaksivaiheinen: ensin alustava arviointi järjestelmän suunnitteluvaiheessa ja myöhemmin lopullinen yhteenveto toteutetusta ratkaisusta. Näin mahdolliset ongelmat voidaan tunnistaa varhaisessa vaiheessa ja ratkaista järjestelmällisesti.
Osaamispolun kehittämisestä vastasi Jatkuvan oppimisen digitalisaatio -ohjelma, joka oli opetus- ja kulttuuriministeriön sekä työ- ja elinkeinoministeriön yhteinen projekti vuosina 2021–2025. Kehitystyöhön osallistuivat tiiviisti Opetushallitus, KEHA-keskus, korkeakoulut Digivisio 2030 -hankkeen kautta sekä Jatkuvan oppimisen ja työllisyyden palvelukeskus. Hanke rahoitettiin EU:n elpymis- ja palautumistukivälineen (RRF) avulla.
Mikä EU:n tekoälyasetus? EU:n tekoälyasetus (AI Act) on maailman ensimmäinen kattava tekoälyn sääntelykokonaisuus. Se luo riskiperusteisen viitekehyksen, jonka tavoitteena on suojata perusoikeuksia, lisätä turvallisuutta sekä samalla tukea innovointia.
Miten se toimii? Tekoälyjärjestelmät jaotellaan neljään riskiluokkaan. Kiellettyihin käytäntöihin (esim. manipuloivat järjestelmät tai biometrinen valvonta) ja suuririskisiin järjestelmiin (esim. rekrytoinnissa tai terveydenhuollossa) kohdistuu tiukat läpinäkyvyys- ja valvontavaatimukset. Rajallisen riskin järjestelmiin sovelletaan läpinäkyvyysvelvoitteita ja vähäisen riskin järjestelmiä säännellään vain vähän tai ei lainkaan.
Keitä se koskee? Kaikkia EU:ssa tai EU:n ulkopuolella toimivia organisaatioita, jotka saattavat tekoälyjärjestelmiä EU-markkinoille tai joiden tekoälyn tuottamia tuloksia käytetään EU:ssa.
Aikataulu? Asetus on ollut voimassa elokuusta 2024 lähtien. Kiellettyjä tekoälykäytäntöjä koskevat kiellot tulivat voimaan helmikuusta 2025 alkaen, yleiskäyttöisiä tekoälymalleja koskevat velvoitteet elokuusta 2025 alkaen. Valtaosa suuririskisiä järjestelmiä koskevista vaatimuksista tulee voimaan elokuussa 2026. Vanhoihin säänneltyihin tuotteisiin liittyville järjestelmille siirtymäaikaa on vuoteen 2027 asti.
Miksi sillä on merkitystä? EU:n tekoälyasetus asettaa uudet odotukset hallinnalle, läpinäkyvyydelle ja vastuullisuudelle. Se on merkittävyydeltään verrattavissa GDPR:n vaikutukseen tietosuojassa.
Tutustu asiantuntijaamme
Samuel Marchal toimii VTT:llä tekoälyyn keskittyvän kyberturvallisuuden tutkimusprofessorina. Hänellä on tohtorin tutkinto verkko- ja järjestelmäturvallisuudesta, ja hän on ollut edelläkävijä koneoppimisen hyödyntämisessä tietojenkalastelun tunnistamiseen, verkkohuijausten vähentämiseen sekä verkkoturvallisuuden parantamiseen. Samuel toimi tutkijatohtorina ja sittemmin research fellow -tutkijana Aalto-yliopistossa sekä vanhempana datatieteilijänä F-Securella. Nykyisessä tehtävässään VTT:llä hän keskittyy tutkimuksessaan AI-pohjaiseen turvallisuusautomaatioon, AI:n toimitusketjujen varmistukseen ja uusien agenttisten tekoälyjärjestelmien suojaamiseen. Hän harrastaa kesäisin kilpapurjehdusta ja talvisin metsästystä: molemmissa vaaditaan samanlaista strategista ja analyyttistä ajattelutapaa, jota tarvitaan myös kyberhyökkääjien pysäyttämiseen.
Jatka lukemista
Palvelu:
Kyberturvallisuus
Asiakastarina:
Case: SemiQon – Täysi potentiaali irti kvanttiteknologiasta
Jaa
