Tekoälyn hallintoaukon kurominen umpeen ISO 42001 -standardin avulla

Kirjoittanut Phil Muncaster • 20 tammikuu 2026

Isossa-Britanniassa on tekoälyn hallintaongelma. Tämä ei ehkä ollut ongelma muutama vuosi sitten, kun projektit olivat useimmissa organisaatioissa hajanaisia. Mutta nykyajan yritykset omaksuvat teknologian kasvavalla innolla. BSI:n mukaanLähes kaksi kolmasosaa (62 %) yritysjohtajista Isossa-Britanniassa ja muualla aikoo lisätä tekoälyinvestointeja tulevana vuonna parantaakseen tuottavuutta, tehokkuutta ja vähentääkseen kustannuksia. Yli puolet (59 %) pitää näitä ratkaisevan tärkeinä kasvusuunnitelmien kannalta.

Standardointielin varoittaa kuitenkin, että samat organisaatiot "unissakävelevät" tekoälyn hallintakriisiin. Se väittää, että vain neljänneksellä (24 %) on tekoälyn hallintaohjelma käytössä, mukaan lukien vain kolmanneksella (34 %) suurista yrityksistä. Tässä kohtaa ISO 42001 -standardin pitäisi olla itsestäänselvyys.

Mitä BSI sanoo

BSI:n tutkimus perustuu 850:n kahdeksassa maassa toimivan yritysjohtajan haastatteluihin ja tekoälyavusteiseen yli sadan monikansallisen yrityksen liiketoimintaraportin analyysiin. Tutkimuksessa havaittiin, että vain neljännes (24 %) yrityksistä seuraa työntekijöiden tekoälytyökalujen käyttöä ja vain 30 prosentilla on prosesseja tekoälyriskien ja niiden lieventämiseksi. Vain viidennes (22 %) estää työntekijöitä käyttämästä luvattomia tekoälytyökaluja.

Hallintoaukkojen piiriin kuuluvat myös varjo-IT-riskit. Vain 28 % vastaajista sanoo tietävänsä, mitä tietolähteitä he käyttävät tekoälyn kouluttamiseen ja käyttöönottoon. Luku on itse asiassa laskenut vuoden alun 35 prosentista. Vain 40 prosentilla on prosesseja, joilla hallitaan arkaluonteisten/luottamuksellisten tietojen käyttöä tekoälykoulutuksessa.

Organisaatiot ovat yhtä huonosti valmistautuneita mahdollisiin ongelmiin. Vain kolmannes ilmoittaa huolenaiheista tai epätarkkuuksista ja 29 prosentilla on prosesseja tekoälytapahtumien hallintaan ja niihin reagoimiseen. Vain 30 prosentilla on virallinen riskinarviointiprosessi, jolla tarkastellaan, aiheuttaako tekoäly uusia haavoittuvuuksia. Tämä lisää vakavan käyttökatkoksen tai -häiriön riskiä. Silti viidennes vastaajista myöntää, että generatiivisesta tekoälystä (GenAI) on tullut niin liiketoimintakriittistä, etteivät he usko organisaation voivan toimia pitkään ilman sitä.

Itsetyytyväisyys voi olla osa ongelmaa. Yli puolet globaaleista yritysjohtajista (56 %) sanoo olevansa varma, että heidän aloitustason henkilöstöllään on tekoälyn käyttöön tarvittavat taidot, ja vastaava osuus sanoo samaa koko organisaatiosta. Yli puolet (55 %) on varma, että he voivat kouluttaa henkilöstöä käyttämään GenAI:ta "kriittisesti, strategisesti ja analyyttisesti". Silti vain kolmanneksella on oma oppimis- ja kehitysohjelma. Ja koulutuksella pääsee vain tiettyyn pisteeseen asti.

Onko sillä väliä?

Tekoälyn vaatimustenmukaisuus näyttää itse asiassa hiipuvan. Nykyään puolet (49 %) globaaleista organisaatioista sisällyttää tekoälyyn liittyviä riskejä laajempiin vaatimustenmukaisuusohjelmiin, kun luku oli kuusi kuukautta sitten 60 %. Mutta tätä laskua ei selitä se, kuinka moni on ottanut käyttöön erillisiä ohjelmia teknologian hallintaan.

Miksi sillä on väliä? Koska tekoälyyn liittyvät riskit ovat jo läsnä liiketoimintaympäristössä. Esimerkkejä ovat:

Arkaluonteisten tietojen vahingossa tapahtuvat vuodot kaupallisten chatbottien kautta
Puolueelliset koulutustiedot/mallit, jotka johtavat tuotoksiin, jotka voivat vaikuttaa brändin maineeseen
Varjotekoäly, joka johtaa datan paljastumiseen tai virheellisen koodin luomiseen
Huonolaatuinen tai saastunut data, joka johtaa takaportteihin ja epätarkkaan tuotokseen
Tietosuoja-, kyberturvallisuus- ja immateriaalioikeuslakien noudattamatta jättäminen
Tekoälyn toimitusketjun haavoittuvuudet, joihin ei puututa, altistavat organisaation tietomurroille

Nämä riskit vain kasvavat agenttisen tekoälyn yleistyessä – ja sillä voi olla merkittävä vaikutus tulokseen ja yrityksen maineeseen. Erään mukaan EY:n tuore tutkimusLähes kaikki (98 %) Yhdistyneen kuningaskunnan vastaajista ilmoittivat tekoälyyn liittyvien riskien aiheuttamista tappioista kuluneen vuoden aikana. Yli puolet (55 %) väitti, että se maksoi heille yli miljoona dollaria (1 750,000 puntaa), kun taas keskimääräiseksi tappioksi arvioitiin 3.9 miljoonaa dollaria (2.9 miljoonaa puntaa) organisaatiota kohden. Yleisimmät riskit olivat sääntelyn noudattamatta jättäminen, epätarkat tai heikkolaatuiset koulutustiedot ja korkea energiankulutus, joka vaikuttaa kestävyystavoitteisiin.

Mind the Gap

BSI-raportissa oli joitakin valoisia puolia. Avainsana-analyysi osoitti, että "hallinto" ja "sääntely" olivat keskeisempiä Isossa-Britanniassa toimivien yritysten raporteissa. Ne esiintyivät 80 % useammin kuin Intiassa toimivien yritysten raporteissa ja 73 % useammin kuin Kiinassa toimivien yritysten raporteissa. IO:n (entinen ISMS.online) toimitusjohtaja Chris Newton-Smith väittää, että riski- ja vaatimustenmukaisuustoiminnot "toimivat edelleen rajoitetun ja kehittyvän käsikirjan mukaisesti" Isossa-Britanniassa.

”Suurin ongelma, jonka näemme, ei ole tarkoituksen puute, vaan rakenteen puute. Yrityksillä ei yksinkertaisesti vielä ole puitteita, käytäntöjä tai toimintojen välistä omistajuutta, joita tarvitaan tekoälyn hallintaan samalla tavalla kuin tietoturvaa tai yksityisyyttä”, hän kertoo IO:lle.

”Mielestäni suurin este tällä hetkellä on se, että monet johtoryhmät aliarvioivat edelleen riskejä, koska tekoälyä pidetään ensisijaisesti innovaatiotyökaluna eikä teknologiana, joka voi ja muokkaa perustavanlaatuisesti organisaation uhkapintaa.”

Ilman virallista hallintomallia tietoturvatiimien esiin nostamat huolenaiheet jäävät siiloihin tai ne sivuutetaan kasvun esteenä. Vasta kun tekoälyriskiä käsitellään hallitustason ongelmana, käyttöönoton ja valvonnan välinen kuilu alkaa kaventua, Newton-Smith lisää.

Hyvä uutinen on, että ISO 42001 -standardi kehitettiin juuri tätä tarkoitusta varten, väittää Mark Thirlwell, BSI:n globaali digitaalinen johtaja.

”Se tarjoaa käytännöllisen viitekehyksen virallisen tekoälynhallintajärjestelmän luomiseen, siirtäen organisaatioita epämääräisistä periaatteista konkreettisiin toimiin. Standardi edellyttää johtajilta tekoälyyn liittyvien riskien muodollista arviointia ja käsittelyä, selkeän vastuuvelvollisuuden määrittämistä ja turvallisten prosessien varmistamista koko tekoälyn elinkaaren ajan”, hän kertoo IO:lle.

”Tämän jäsennellyn lähestymistavan omaksuminen ei tarkoita innovaatioiden hidastamista, vaan niiden vastuullista ja turvallista mahdollistamista. Se antaa johdolle työkalut siirtyä reaktiivisesta asennosta strategiseen kontrolliin ja varmistaa, että tekoälystä tulee turvallinen ja luotettava pitkän aikavälin kasvun ajuri.”

IO:n Newton-Smith on samaa mieltä ja selittää, että standardi selkeyttää rooleja, riskinarviointia, mallin elinkaaren hallintaa, toimittajien valvontaa ja seurantaa.

”Se on myös luonnollisesti linjassa olemassa olevien standardien, kuten ISO 27001 ja ISO 27701, kanssa, mikä tarkoittaa, että yritykset voivat laajentaa hallinto- ja riskirakenteita, joihin ne todennäköisesti jo luottavat turvallisuuden ja yksityisyyden osalta”, hän lisää.

Päästä alkuun

Miten organisaatioiden tulisi aloittaa ISO 42001 -standardin noudattamisen tie? Newton-Smithin neuvon mukaan tekoälyn hallinta tulisi upottaa olemassa olevaan tietoturvan hallintajärjestelmään sen sijaan, että sitä käsiteltäisiin erillisenä projektina.

”Pohjimmiltaan se tarkoittaa tekoälyn käyttötapausten kartoittamista riskeihin; selkeän vastuuvelvollisuuden luomista johdon, suunnittelun, lakiasioiden ja vaatimustenmukaisuuden osalta; toistettavien prosessien luomista mallien seurantaa ja tapausten hallintaa varten; ja sen varmistamista, että toimitusketju noudattaa samaa standardia”, hän sanoo.

”Keskitetyn ohjausjärjestelmän käyttöönotto tällä tavoin helpottaa ohjelman mittaamista, skaalaamista ja auditointia ensimmäisestä päivästä lähtien. ISO 42001 ei ole vaatimustenmukaisuus vaatimustenmukaisuuden itsensä vuoksi, vaan pikemminkin perusta luotettavalle ja kaupallisesti kannattavalle tekoälyn käyttöönotolle.”

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 3 helmikuu 2026

WEF-raporttien mukainen petos on nyt toimitusjohtajan suurin kyberhuolenaihe, mutta se ei ole ainoa.

WEF-raportti: Petos on nyt toimitusjohtajien suurin kyberhuolenaihe, mutta ei ainoa

Viisi vuotta on pitkä aika kyberturvallisuudessa. Silti Maailman talousfoorumi (WEF) on tehnyt toimitusjohtajille kyselyjä globaalia kyberturvallisuusraporttiaan varten juuri niin kauan...

Phil Muncaster

tietoverkkoturvallisuus 27 tammikuu 2026

yksityisyys on tärkeää, mitä vaatimustenmukaisuustiimit voivat odottaa vuonna 2026 banneri

Tietosuoja-asiat: Mitä vaatimustenmukaisuustiimit voivat odottaa vuonna 2026

Tammikuun 28. päivä on maailmanlaajuinen yksityisyyden suojan päivä – tilaisuus juhlistaa oikeutta tietosuojaan ja -suojaan, jota monet meistä pitävät nykyään itsestäänselvyytenä. Se oli...

Phil Muncaster

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster