Riskiarvio

Näin hyödynnät tekoälyä turvallisesti tilitoimistossa

2 min luku | 31.3.2025
Tekoälyn tietoturva tilitoimistossa.

Tekoälyn käyttö yleistyy maailmalla joka päivä ja myös useat tilitoimistot ovat jo löytäneet merkittäviä hyötyjä tekoälyn hyödyntämisestä osana päivittäistä arkea. Tekoälyn hyödyntäminen yhä laajemmin tarjoaa eri organisaatioille aivan uudenlaisia kasvumahdollisuuksia ja tässä aallossa kannattaa ehdottomasti olla mukana. 

Tilitoimistot käsittelevät asiakkaidensa luottamuksellista tietoa, kuten talouslukuja ja henkilötietoja, jatkuvasti erilaisissa kolmansien osapuolten toteuttamissa ohjelmistoissa. 

Tämän vuoksi tilitoimistoilla on entistä suurempi vastuu varmistua siitä, että nämä kolmannet osapuolet käsittelevät luottamuksellisia tietoja turvallisesti ja huolellisesti, kuten asiakkaiden kanssa tehdyissä sopimuksissa on määritelty.

Tekoälyä hyödyntävät järjestelmät ovat tietojärjestelmiä siinä missä mitkä tahansa muutkin järjestelmät, mutta niiden kanssa toimiessa on huomioitava tiettyjä erityispiirteitä.

Tämä blogiartikkeli keskittyy nostamaan näitä erityispiirteitä esille ja auttamaan lukijoita ymmärtämään mitä tekoälyä hyödyntävien järjestelmien turvallisessa käyttöönotossa kannattaa huomioida.

Miten tekoälyä hyödyntävä järjestelmä poikkeaa perinteisestä tietojärjestelmästä?

Valtaosa tämän päivän tekoälyä hyödyntävistä järjestelmistä pohjautuu suurten kielimallien (LLM, Large Language Model) käyttöön, mikä osaltaan mahdollistaa uudenlaisten toiminnallisuuksien toteuttamisen myös perinteisissä järjestelmissä. 

On hyvä huomioida, että suuret kielimallit ovat vain yksi osa tekoälyn ja koneoppimisen metodeita ja osa järjestelmistä hyödyntääkin taustalla näitä pidempään tunnettuja teknologioita omissa tekoälytoteutuksissaan.

Tärkeitä eroja perinteisen tietojärjestelmän ja tekoälyä hyödyntävän järjestelmän välillä ovat mm. se miten järjestelmä oppii uutta ja millaista tietoa järjestelmä pystyy käyttäjilleen tuottamaan.

Ihmiskielellä tapahtuva interaktio käyttäjän ja järjestelmän välillä on mullistanut tekoälyn käytön

Kielimalleihin pohjautuvat järjestelmät pystyvät usein oppimaan niille annetuista kysymyksistä ja tehtävistä ja hyödyntämään näitä oppeja tulevissa tehtävissä. 

Tekoälypohjainen järjestelmä pystyy hyödyntämään tietoa laajemmin eri tavoin ja esimerkiksi tuottamaan raportteja lennosta ilman, että niitä on ennakkoon täytynyt jonkun järjestelmään erikseen määritellä.

Myös ihmiskielellä tapahtuva interaktio käyttäjän ja järjestelmän välillä on mullistunut erityisesti suurten kielimallien avulla toteutettujen järjestelmien kautta.

Blogi: Miten tekoäly auttaa tilitoimiston asiantuntijatyössä?

Mitä uusien järjestelmien käyttöönotossa on huomioitava?

Kolmannen osapuolen toteuttamien ja tarjoamien palveluiden käyttöönotossa täytyy aina huomioida monia eri asioita, mutta turvallisuuden näkökulmasta ne kiteytyvät näihin kohtiin:

  • Lainsäädännön asettamat vaatimukset ja rajoitukset
  • Asiakkaiden ja kumppaneiden kanssa luodut sopimukset
  • Organisaation omat tarpeet, turvallisuuskäytännöt ja tekoäly-ohjeistukset
  • Turvallisen järjestelmän perusedellytykset (luottamuksellisuus, eheys, saatavuus)

Lainsäädännön osalta oleellisimmat huomioitavat vaatimukset liittyvät tietosuojalainsäädäntöön sekä tuoreisiin EU:n tekoälyasetukseen sekä NIS2-direktiiviin ja sen suomalaiseen versioon eli Kyberturvallisuuslakiin. Jokainen organisaatio vastaa itse siitä, että he noudattavat heihin soveltuvaa lainsäädäntöä.  

GDPR on huomioitava myös tekoälyä hyödyntävissä järjestelmissä aivan kuten muissakin organisaatioiden käyttämissä järjestelmissä, joissa käsitellään henkilötietoja.

Tulevaisuudessa hyvä käytäntö olisi sopimustasolla linjata myös se, miten tekoälyä voi yhteistyössä hyödyntää

Asiakkaiden ja kumppaneiden kanssa luoduissa sopimuksissa usein kuvataan sekä tietosuojanäkökulmaa että miten asiakkaan tai kumppanin tietoja tulee käsitellä. Lisäksi sopimuksissa on usein kuvattu miten palveluiden tuottamisessa saa käyttää alihankkijoita. 

Sopimuksissa voi olla myös erikseen määritelty rajoitteita esimerkiksi datan fyysiselle sijainnille. Tulevaisuudessa hyvä käytäntö olisi sopimustasolla linjata myös se, miten tekoälyä voi yhteistyössä hyödyntää.

Eniten organisaation järjestelmähankintoja ohjaavat kuitenkin sisäiset tarpeet ja käytännöt. Esimerkiksi halu parantaa organisaation työn tuottavuutta on varmasti suuri ajuri tällä hetkellä tekoälypohjaisten järjestelmien käyttöönottoon. Lisäksi organisaation turvallisuuteen ja tekoälyyn liittyvät sisäiset linjaukset ja ohjeistukset rajaavat usein myös paljon järjestelmien käyttöä. 

Miten varmistua tekoälyjärjestelmän turvallisuudesta ja lainmukaisuudesta?

Hyvä tapa varmistua tekoälyjärjestelmän turvallisuudesta ja lainmukaisuudesta on tehdä järjestelmän käyttöönotto huolella. 

Kaikki lopulta pohjautuu varsinaiseen käyttötarkoitukseen, johon kyseinen järjestelmä ollaan hankkimassa. Kun on selvillä, mitkä ovat organisaation tarpeet ja mitä hankinnalla tavoitellaan, voit aloittaa varsinaisen teknologian hankinnan.

Meillä Vismalla suositaan paljon kokeilevaa kulttuuria eli teemme pieniä, hyvin määriteltyjä kokeiluja esimerkiksi erilaisten tekoälyteknologioiden kanssa, jotta ymmärrämme, mikä voisi toimia meillä tietyssä käyttötarkoituksessa ja mikä taas ei. 

Tällaisia kokeiluja, experimenttejä, voi hyvin tehdä esimerkiksi kuvitteellisella datalla (vinkki: tätä saa luotua tekoälyllä), jolloin kokeilua varten ei vielä yleensä tarvitse ostaa uutta järjestelmää, vaan voi hyödyntää esimerkiksi kokeilujaksoja. 

Siitähän tässä on loppujen lopuksi kyse, että voiko oma organisaatiosi luottaa kyseiseen tekoälyjärjestelmään ja sen toimittajaan

Kun organisaatio on hankkimassa uutta tietojärjestelmää, yleensä tietoturvaan liittyen tulisi selvittää vähintään kyseisen järjestelmän teknisen toteutuksen turvallisuus, järjestelmän tunnistautumiseen ja käyttöoikeuksiin liittyvät toiminnallisuudet sekä se, miten kyseinen järjestelmä täyttää palvelua hankkivan organisaation omat tietoturvavaatimukset. 

Tekoälyjärjestelmien osalta nämä samat asiat ovat myös oleellisia, mutta lisäksi tekoälyjärjestelmän toimittajalta kannattaa tiedustella seuraavia asioita:

  • Onko järjestelmän taustalla palveluntarjoajan oma vai jonkin toisen toimijan tekoälyteknologia?
  • Käyttääkö järjestelmä yleistä vai asiakaskohtaista tekoälymallia?
  • Mikäli järjestelmä käyttää yleistä tekoälymallia, hyödyntääkö järjestelmä asiakkaiden omistamaa dataa kyseisen tekoälymallin opettamiseen?
  • Mitä asiakkaan omistamaa dataa tekoälyjärjestelmä käsittelee? Onko käsittelyssä mukana henkilötietoja?
  • Missä tekoälyn käsittelemät tiedot fyysisesti sijaitsevat?
  • Kuka omistaa tekoälyn tuottamien lopputulosten tekijänoikeudet?

Kun olet saanut oheisiin kysymyksiin vastaukset, on sinun hieman helpompaa tehdä päätöksiä siitä, voiko oma organisaatio luottaa kyseiseen tekoälyjärjestelmään ja sen toimittajaan. Siitähän tässä on lopulta kyse, luottamuksesta.

Riku Tarkiainen

Riku Tarkiainen on Visma Solutionsin Director of Information Security and Data Privacy. Tietoturvasta ja tekniikasta innostuva Riku pitää yhdessä tiimiemme kanssa huolen, että yrityksemme asiakkaat, tuotteet ja työntekijät pysyvät turvassa.