Примечание редакции Mobile-review.com. Мы подбираем материалы в раздел «Мнение», чтобы показать то как воспринимают рынок, компании в других странах. Мнения в таких материалах зачастую не совпадает с взглядами нашей редакции, но дают понимание рынка, его медийной составляющей.
По материалам Forbes
Пара ремарок, которые необходимо сделать, прежде чем вы начали читать текст ниже. Автор статьи Баптист Парравичини – техинвестор, сооснователь и управляющий apidays, одной из лидирующих серий конференций по вопросам API. Мероприятия объединяют разработчиков, архитекторов, ИТ-директоров и представителей бизнеса для обсуждения стратегий автоматизации, цифровой трансформации и искусственного интеллекта.
Согласно «Википедии», комплаенс – «часть системы управления/контроля в организации, связанная с комплаенс-рисками — рисками несоответствия, несоблюдения требований законодательства, нормативных документов, правил и стандартов надзорных органов, отраслевых ассоциаций и саморегулируемых организаций, кодексов поведения и так далее. Комплаенс-риски в конечном итоге могут проявляться в форме применения юридических санкций или санкций регулирующих органов, финансовых или репутационных потерь как результат несоответствия законам, правилам и стандартам в сфере комплаенса». Также к комплаенсу относятся вопросы защиты персональных данных и кибербезопасности. Именно этот аспект находится во главе угла автора статьи.
В течение долгих лет комплаенс рассматривался как второстепенная функция. Создайте продукт. Выпустите API. Запустите платформу. Затем наложите на все это требования комплаенса — посредством правил, аудита и ручной проверки. Но теперь привычная модель рушится. Мы наблюдаем структурный сдвиг: комплаенс становится системой, управляемой искусственным интеллектом и встроенной непосредственно в работу платформ. И большинство организаций не готовы к таким переменам.
Конец традиционного подхода
Традиционные системы контроля основаны на классификации. Транзакция помечается. Контент проверяется. Вход в систему оценивается. Каждый инцидент рассматривается независимо по заранее определенным правилам. Но в современных системах такой подход не работает.
Вход в систему из нового места не вызывает подозрений, также как смена пароля или редактирование профиля. Однако когда эти события происходят одновременно, они могут свидетельствовать о взломе учетной записи. Проблема заключается в понимании закономерностей в сигналах. В этом суть ключевого сдвига: комплаенс переходит от изолированной классификации к поведенческому анализу.
Теперь системы рассматривают последовательность событий во времени, то есть принимают решение, одновременно оценивая активность пользователей, сетевые закономерности (устойчивые характеристики сетевого трафика и обмена данными) и контекстные сигналы (сопутствующие данные об окружении и предыстории, например, кто, что и когда делал на устройстве). Это совершенно другой тип системы.
Обучение с подкреплением и экономика
Одно из важнейших — и недооцененных — достижений — это роль обучения с подкреплением. Контролируемые системы зависят от размеченных данных, и все работает, когда задача неизменна. Но ломается, когда меняются правила и появляются новые паттерны нарушений.
Обучение с подкреплением работает иначе. Система учится посредством обратной связи, адаптируясь к результатам, а не полагаясь исключительно на заранее определенные правила. Недавние исследования показали, что оно обеспечивает до 100 раз более высокую эффективность данных, выполняя задачи по классификации нормативов (то есть ИИ требуется кратно меньше обучающих данных, чтобы понять новое правило). И это невероятно важно.
Реальные условия юридического контроля по своей природе бедны на размеченные данные. Нарушения неоднозначны, редки и постоянно меняются. И если ваша система основана на чистых, статичных наборах данных, она не сможет угнаться за изменениями. Вывод прост: статичные системы, скорее всего, окажутся в отстающих, в то время как комплаенс нового поколения вероятнее будут определять адаптивные системы.
Работа в реальном времени
Первые попытки внедрения систем на основе ИИ уже приносят результаты: выявляются тысячи ранее неизвестных попыток мошенничества, обнаруживается больше нарушений, чем могут найти проверяющие-люди, и значительно снижается количество ошибок. Однако комплаенс переживает изменения на уровне архитектуры ПО, превращаясь в непрерывную систему, встроенную на исполнительном уровне.
Вместо того, чтобы просто оценивать результат, эти системы могут в реальном времени отслеживать поведенческие паттерны в рамках сессий, связь между учетными записями и людьми, многомодальные входные данные (текст, изображения, URL-адреса, метаданные) и взаимодействие на сетевом уровне. Потенциально они способны принимать решения, которые не только точны, но также структурированы и могут отслеживаться и проверяться.
Регуляторы как катализатор перемен
Регулирование заставляет организации развиваться и стимулирует перемены. Такие нормативные акты, как «Закон о цифровых услугах ЕС» и «Закон об искусственном интеллекте», требуют подробных журналов аудита автоматизированных решений, структурированной отчетности в области прозрачности ИИ и контроля человека в ситуациях высокого риска.
Это полностью меняет требования к системам комплаенса, которые теперь должны быть контролируемыми, объяснимыми и воспроизводимыми. Нельзя внедрить эти свойства в устаревшие системы, построенные на разрозненных правилах и ручных рабочих процессах. Их следует закладывать в архитектуру с самого начала.
Проблемы разработки систем
Восприятие комплаенса как задачи машинного обучения – распространенная ошибка, ведь на самом деле это задача разработки системы. Комплаенс теперь охватывает API, конвейеры данных и механизмы принятия решений. Система получает сигналы от множества сервисов и выдает результаты, которые должны оставаться неизменными в разных средах. Это отражает процессы, происходящие в экономике API в более широком смысле. API превратились из инструментов интеграции в исполнительный слой для цифровых систем. Комплаенс следует тем же путем, становясь системой, которая управляет тем, как получаются результаты.
Гибридная реальность: ИИ и человеческая оценка
Несмотря на достижения автоматизации, полная автономность не является конечной целью. Наиболее эффективные системы — гибридные.
ИИ обрабатывает быстро совершенствующиеся модели атак, принимает решения в реальном времени и выполняет большой объем повторяющихся действий, обеспечивая соблюдение правил. Люди же сохраняют за собой право обжалования и разрешения споров, передачи вопросов на более высокий уровень и интерпретации политики в исключительных случаях.
Баптист Парравичини считает, что мы движемся к ограниченной автономии, где системы работают независимо в рамках определенных ограничений, но критически важные решения остаются под контролем человека.
Идти в ногу все сложнее
По наблюдениям автора, большинство компаний по-прежнему работают со статичными наборами правил и фрагментированными инструментами в условиях ограниченной наблюдаемости и слабой интеграции между механизмами контроля и базовыми системами. И пока организации пытаются решить динамически меняющуюся проблему с помощью статичных решений, этот разрыв будет расти.
По мере масштабирования систем ИИ нарушения, как правило, эволюционируют быстрее, а количество нормативно-правовых требований, как правило, растет. Вероятно, также возрастет и цена ошибки. И тем организациям, которые рассматривают комплаенс просто как функцию, скорее всего, будет трудно соответствовать новой реальности.
Что делать руководителям прямо сейчас
Руководителям следует переосмыслить подход к комплаенсу, выделив три приоритетных направления:
- Рассматривать комплаенс как инфраструктуру. Внедрять механизмы контроля непосредственно в API и рабочие процессы.
- Инвестировать в наблюдаемость и возможность аудита. Если невозможно отследить, как было принято решение, значит, комплаенс у вас отсутствует.
- Разрабатывать адаптивные системы. Статичные правила невозможно масштабировать. Системы должны постоянно обучаться и развиваться.
Заключение
Комплаенс требует создания систем, способных рассуждать, адаптироваться и масштабироваться, оставаясь при этом способными объяснять свои решения. Это принципиально иная задача, чем те, что сегодня решают большинство организаций.
Автор убежден, что компании, которые вовремя осознают этот сдвиг, скорее всего, создадут более устойчивые, масштабируемые и заслуживающие доверия системы. В то время как остальные, вероятно, будут наверстывать упущенное в следующее десятилетие.