Organisaatiot ovat huolissaan tietoturva- ja yksityisyysriskeistä. Ja viime aikoina ne ovat kiinnittäneet huomiota tekoälyyn liittyviin riskeihin. Mutta kuinka usein ne ajattelevat kaikkia kolmea samassa keskustelussa?
Yhä selvemmäksi käy, että heidän pitäisi. Tietosuojaa, kyberturvallisuutta ja tekoälyä koskevat lait ovat... nelinkertaistunut vuodesta 2016 kaikkialla Yhdysvalloissa, EU:ssa, Isossa-Britanniassa ja Kiinassa.
SEC on jo osoittanut suhtautuvansa kyberturvallisuuteen vakavasti. Sen joulukuussa 2023 voimaan tulleet kyberturvallisuussäännöt muokkaavat jo nyt sitä, miten julkiset yhtiöt käsittelevät tietomurtojen julkistamista. Lomake 8-K, kohta 1.05 nyt. Vaatii yritysten on julkistettava olennaiset kyberturvallisuuspoikkeamat neljän arkipäivän kuluessa olennaisuuden määrittämisestä, ei siitä hetkestä, kun poikkeus löydettiin. Lomakkeen 10-K kohta 106 edellyttää riskienhallintaprosessien ja hallituksen valvontarakenteiden vuosittaista julkistamista.
Komissio ei pelkää rangaista yrityksiä, joiden se uskoo vähätelleen tietoturvapoikkeamien merkitystä. Hieman yli vuosi sitten lokakuussa 2024 SEC sopi neljää julkista yhtiötä (Unisys, Avaya, Check Point ja Mimecast) vastaan nostetuista täytäntöönpanotoimista, jotka koskivat sijoittajien harhaanjohtamista vuoden 2020 SolarWinds-kyberhyökkäyksen vaikutuksista. Yhdistetyt rangaistukset lähentelivät 7 miljoonaa dollaria. Pelkästään Unisys maksoi 4 miljoonaa dollaria siitä, että se kuvaili kyberriskejä "hypoteettisina" ilmoituksissaan, vaikka sisäiset tiimit tiesivät todellisista tunkeutumisista.
Joulukuun 2023 ja tammikuun 2025 välisenä aikana lomakkeella 8-K ilmoitettiin 55 kyberturvallisuuspoikkeamaa. SolarWindsiin liittyvien toimien lisäksi Flagstar maksoi joulukuussa 2024 3.55 miljoonaa dollaria siitä, että se kuvaili 1.5 miljoonaan ihmiseen vaikuttanutta tietomurtoa pelkkänä "pääsynä tietoihin", vaikka tietoja oli todellisuudessa vuotanut.
Nämä rangaistukset osoittavat tarpeen yhdistää kyberturvallisuuden julkistaminen laajempaan yritysriskienhallintaan. SEC:n perustama uusi kyber- ja kehittyvien teknologioiden yksikkö helmikuussa 2025 viestii, että tämä tarkastelu jatkuu. Tämä yksikkö korvasi kryptovarojen ja kyberyksikön. CETU vihjaa myös tekoälyn huomioon ottamisen tärkeydestä näissä riskeissä, sillä se sisällyttää nimenomaisesti sekä tekoälyn että kyberturvallisuuskäytännöt toimeksiantoonsa.
Hajanaisesta hallinnosta syntyy korkoa korolle
Euroopassa toimiviin amerikkalaisiin yrityksiin kohdistuu myös lisäpaineita elokuussa 2024 voimaan tulleen EU:n tekoälylain vuoksi. Laki, jonka noudattamisen määräajat ovat porrastettuja vuoteen 2027, on voimassa myös maan ulkopuolella. Yhdysvaltalaisten yritysten, jotka saattavat tekoälyjärjestelmiä EU:n markkinoille tai ottavat käyttöön tekoälyä, jonka tuotokset vaikuttavat EU:n käyttäjiin, on noudatettava sitä.
Panokset ovat huomattavat. Kiellettyjen tekoälykäytäntöjen rangaistukset ovat 35 miljoonaa euroa tai 7 prosenttia maailmanlaajuisista vuosituloista, sen mukaan kumpi on suurempi. Korkean riskin luokat, kuten työhönottopäätöksissä, luottoluokituksessa ja terveydenhuollon diagnostiikassa käytettävä tekoäly, edellyttävät vaatimustenmukaisuuden arviointeja, teknistä dokumentaatiota ja ihmisen suorittamia valvontamekanismeja. Kohtuuttoman riskin tekoälyjärjestelmiä koskevat kiellot tulivat voimaan helmikuussa 2025.
Tekoäly näkyy julkistamisasiakirjoissa
Sijoittajien odotukset muuttuvat näiden riskien kehittyessä. Sääntelyviranomaiset ja osakkeenomistajat tekevät selväksi, että vanha malli, jossa erilliset tiimit hallinnoivat kyberturvallisuutta, yksityisyyttä ja tekoälyä erillisinä osa-alueina, ei enää toimi.
Tekoäly on siirtynyt johtokuntien keskusteluista riskitekijöitä käsittelevään osaan vuosikertomuksissa huomattavan nopeasti. S&P 500 -yrityksistä 72 prosenttia nyt paljastaa olennaiset tekoälyriskit, nousua vain 12 prosentista vuonna 2023. Useimmin heidän mainitsemiaan huolenaiheita ovat mainehaitta (38 prosenttia tiedonantavista yrityksistä), kyberturvallisuusvaikutukset ja sääntelyn epävarmuus.
Hallituksen valvonta on seurannut. ISS-yritys31.6 prosenttia S&P 500 -yrityksistä ilmoitti vuoden 2024 valtakirjalausunnoissaan tekoälyn hallituksen valvonnasta. Tämä on 84 prosentin kasvu edellisvuoteen verrattuna.
Ne, jotka eivät valvo tällaista toimintaa, riskeeraavat merkittävän vahingon osakkeenomistajille, mikä voi johtaa mahdollisiin kielteisiin äänestyssuosituksiin. Viime vuonna Glass Lewis, valtakirjaneuvontayritys, joka neuvoo institutionaalisia osakkeenomistajia äänestysasioissa, julkaisi uudet vertailuohjeet, jotka käsittelevät suoraan tekoälyn hallintoa.
Kyberturvallisuuden, yksityisyyden ja tekoälyn erillisessä hallinnassa ongelmana on, että kaikkiin näihin liittyvät tapaukset heijastuvat muihin. Yksittäinen tietomurto voi samanaikaisesti laukaista SEC:n tiedonantovelvollisuudet, GDPR:n ilmoitusvaatimukset, osavaltioiden yksityisyydensuojalait ja (jos henkilötietoja on koulutettu tekoälyjärjestelmässä) uudet tekoälysäännökset.
On siis tullut aika yhdistää näiden riskialueiden tarkastelu, mutta mikään tästä ei ole helppoa. Mukaan National Association of Corporate Directors -järjestön heinäkuun 2025 hallintokatsauksen mukaan tekoäly on nyt rutiininomainen aihe 61 prosentille hallituksista, mutta harvat ovat integroineet sen asianmukaisesti hallintorakenteisiin.
Miksi? Kulttuuriset erot ovat yksi syy. Tietoturva-, yksityisyys- ja tekoälytiimit ovat perinteisesti toimineet erilaisilla sanastoilla, riskienhallintakehyksillä ja raportointirakenteilla.
Teknologian integrointi lisää haasteita entisestään; erilliset GRC-työkalut luovat hajanaisia lähestymistapoja riskienarviointiin, auditointidokumentaatioon ja todisteiden keräämiseen. Budjettirajoitteet pakottavat tekemään tuskallisia kompromisseja integroidun infrastruktuurin rakentamisen ja välittömien määräaikojen noudattamisen välillä.
Standardien viitekehykset tarjoavat polun eteenpäin
Hyvä uutinen on se, että suuret standardointielimet ennustivat tätä lähentymistä. ISO:n korkean tason rakenne tarkoittaa, että ISO 27001 (tietoturva), ISO 27701 (yksityisyys) ja uudempi ISO 42001 (tekoälyn hallintajärjestelmät) jakavat yhteensopivia arkkitehtuureja, mikä mahdollistaa organisaatioille yhtenäisten hallintajärjestelmien rakentamisen rinnakkaisten byrokratioiden sijaan.
Käytännön integraatio alkaa tyypillisesti toimintojen välisistä ohjauskomiteoista, joihin kuuluu yksityisyyden, kyberturvallisuuden, lakiasioiden ja tekoälyn edustajia. Tämän jälkeen organisaatiot kehittävät yhteisiä riskiluokituksia ja (budjettien salliessa) yhtenäisiä GRC-alustoja, jotka poistavat päällekkäiset arvioinnit. Roolijaot ovat jo hämärtymässä: IAPP:n ja EY:n tekemän kyselyn mukaan 69 prosenttia yksityisyyden suojasta vastaavista on saanut tekoälyn hallintaan liittyviä vastuita.
Organisaatiot, jotka eivät kehitä käytäntöjään tällä tavoin, altistuvat sääntelylle. Niitä, jotka tekevät niin, odottavat pienempi sääntelykitka, pienempi tilintarkastustaakka ja vahvempi sijoittajien luottamus.
