Buildrya
Tagasi AI-RADARisse
EL-i AI ja küberturbeplaanid jõuavad Mythose piirangute varjus uude faasi
Regulatsioon9 min lugemistKristjan

EL-i AI ja küberturbeplaanid jõuavad Mythose piirangute varjus uude faasi

EL-i AI ja küberturbeplaanid liiguvad edasi Mythos 5 piirangute, AI Acti muudatuste, digimaksu vaidluse ja Eesti NIS2 uute kohustuste taustal.

FacebookXLinkedIn

Lühidalt

Euroopa Liit valmistab ette tehisaru ja küberturbe tegevusi ajal, mil kübervõimekad mudelid nagu Claude Mythos 5 on muutunud julgeolekupoliitika küsimuseks.

Anthropic peatas juunis Fable 5 ja Mythos 5 ligipääsu pärast USA ekspordikontrolli korraldust ning taastas selle osaliselt pärast uute kaitsemeetmete lisamist.

AI Acti muudatused lisavad keelu süsteemidele, mis loovad nõusolekuta intiimsisu või laste seksuaalse väärkohtlemise materjali, kuid osa kõrge riskiga süsteemide kohustusi nihkub edasi.

Eesti vaates põimub teema NIS2 nõuete, RIA järelevalve ja ettevõtete praktilise valmisolekuga hinnata nii mudeli-, tarnija- kui ka küberriski.

EL-i AI ja küberturbeplaanid liiguvad korraga kolmel rajal: Euroopa tahab kiirendada tehisaru kasutuselevõttu, tugevdada küberkaitset ja vähendada sõltuvust välismaistest taristutest. Claude Mythos 5 ümber tekkinud piirangud näitasid, et need eesmärgid võivad kiiresti kokku põrgata. Kui kõige võimekamad kübermudelid jäävad poliitiliste või ekspordikontrolli otsuste tõttu osaliselt kättesaamatuks, muutub tehisaru ligipääs samasuguseks strateegiliseks küsimuseks nagu kiibid, pilv ja andmekeskused.

Lähtetekstis mainitud "THE HACK" viitab laiemale pingele, kus tehisaru võimekus küberkaitses ja ründetegevuses kasvab kiiremini kui avalik regulatiivne raamistik. Küsimus ei ole ainult selles, kas mudel suudab haavatavusi leida. Küsimus on ka selles, kes tohib mudelit kasutada, millistel tingimustel, kuidas hinnatakse selle riske ja kas Euroopa ametiasutustel on piisav sõltumatu võimekus neid süsteeme testida.

Miks EL-i AI ja küberturbeplaanid nüüd kokku põrkuvad

Euroopa Komisjon esitles 3. juunil 2026 tehnoloogilise suveräänsuse paketti, mille keskmes on muu hulgas Cloud and AI Development Act ja suurem arvutusvõimsus Euroopas. See seob tehisaru kasutuselevõtu andmekeskuste, pilveteenuste ja strateegilise sõltumatusega.

Samas näitas Anthropicuga seotud juhtum, et mudelite ligipääs ei sõltu ainult Euroopa enda taristust. Juunis peatas Anthropic Claude Fable 5 ja Mythos 5 kasutuse pärast USA ekspordikontrolli korraldust. Ettevõtte selgituse järgi ei olnud võimalik piisavalt kindlalt kontrollida kõigi kasutajate kodakondsust, mistõttu peatati ligipääs laiemalt.

30. juunil tühistati piirangud osaliselt. Fable 5 muutus alates 1. juulist taas globaalselt kättesaadavaks, kuid Mythos 5 jäi piiratud kasutusega mudeliks: ligipääs jäi valitud USA organisatsioonidele ja Project Glasswing partneritele. Euroopa jaoks on see oluline, sest just kõige võimekamad kübermudelid võivad jääda väljapoole tavapärast turu- või avaliku sektori ligipääsu.

Mythose juhtum näitas ligipääsu ja julgeoleku vahelist pinget

Claude Mythos 5 on Anthropicuga seotud küber- ja bioohutuse uurimismudel, mille ligipääs on piiratud. Ettevõtte kirjelduste järgi kasutatakse selliste mudelite puhul tugevdatud ohutusjärelevalvet, sealhulgas pikemat andmesäilitust turvaseire eesmärgil. See eristab Mythost tavalisest üldkasutatavast jutumudelist.

Anthropic kirjeldas 9. juunil, et Mythos 5 tugineb samale baasmudelile nagu Fable 5, kuid selle ohutuspiiranguid on valitud partnerite jaoks leevendatud, et toetada küberkaitset ja kriitilise taristu kaitset. Selline mudel võib aidata kaitsjatel haavatavusi leida, kuid sama võimekus tekitab ka küsimuse, kuidas vältida kuritarvitust.

USA samm seostus Amazonilt tulnud raportiga, mille järgi suudeti Fable 5 kaitsepiiranguid osaliselt mööda minna. Testides leiti haavatavusi ning ühel juhul loodi näitlik ekspluatatsioonikood. Anthropic lisas seejärel klassifikaatorid, mille väitel blokeeriti üle 99% probleemsetest katsetest.

Reuters kirjutas, et USA kaubandusministeerium tühistas piirangud, kuid jättis endale õiguse teema juurde naasta. Frontier Security Institute'i esindaja Isaac Harris rõhutas samas, et mudelistandardid peavad arvestama ka võimalike ohtlike Hiina mudelitega. See muudab Mythose juhtumi osaks laiemast rahvusvahelisest kontrollivaidlusest, mitte ainult ühe ettevõtte tootepoliitikast.

AI Act annab raami, kuid ei lahenda ligipääsuprobleemi üksi

AI Act jõustus 1. augustil 2024 ning selle üldine kohaldumine algab 2. augustil 2026. Osa nõudeid hakkas kehtima varem: keelatud praktikad ja tehisarupädevuse kohustus 2. veebruaril 2025 ning üldotstarbelise tehisaru mudelite kohustused 2. augustil 2025. Kõrge riskiga süsteemide osas on tähtaegu aga nihutatud.

Süsteemse riskiga üldotstarbelise tehisaru mudelite puhul nõuab AI Act riskide hindamist ja maandamist. Küsimus on, kuidas seda rakendada mudelitele, mille ligipääs on piiratud, mille võimekust ei avaldata täielikult ja mille üle toimub osa järelevalvest väljaspool Euroopa Liitu.

Risto Uuki vaates ei piisa sellest, et AI Office saaks lihtsalt Mythosele ligipääsu. Olulisem on, kas pakkuja suudab süsteemset riski päriselt maandada ja kas olemas on siduv sõltumatu hindamine. See on Euroopa regulatsiooni keskne proovikivi: kas järelevalve saab olla sisuline, kui kõige olulisemad tehnilised üksikasjad jäävad ettevõtte või välisriigi kontrolli alla.

CEPS märkis 17. juuni analüüsis, et AI Acti jõustamine muutub keeruliseks avatud kaalude, rahvusvaheliste platvormide ja piiriülese kasutuse tõttu. Ühendkuningriigi AI Safety Institute leidis samal ajal, et Mythos Preview suutis täita üle 70% eksperttasemel küberülesannetest. Sellised tulemused näitavad, miks mudelite hindamine ei saa jääda üldiste lubaduste tasemele.

Uued keelud CSAM-i ja nõusolekuta intiimsisu vastu

AI Acti muudatuste poliitiline kokkulepe 7. mail 2026 lisas keelu süsteemidele, mis loovad nõusolekuta seksuaalset või intiimset sisu ning laste seksuaalse väärkohtlemise materjali. See on oluline täpsustus, sest generatiivsed süsteemid võivad toota kahju ka siis, kui kasutaja ei saa otse ligipääsu mudeli sisemistele parameetritele.

Samal ajal nihkusid mõned kõrge riskiga süsteemide tähtajad. Eraldiseisvate kõrge riskiga süsteemide uus rakendustähtaeg on 2. detsember 2027 ning toodetesse põimitud kõrge riskiga süsteemide puhul 2. august 2028.

Euroopa Parlamendi LIBE kaasraportöör Michael McNamara tõi välja, et keelud puudutavad nii niinimetatud nudification-rakendusi kui ka tehisaruga loodud CSAM-i. See näitab, et EL täpsustab keelatud praktikaid valdkondades, kus pelgalt teenusetingimustest ei piisa.

Kübermudelite vaates on paralleel selge. Kui mudeli ettenähtav kasutus võib korduvalt võimaldada ebaseaduslikku või ühiskondlikult ohtlikku väljundit, ei saa vastutus jääda ainult kasutaja käitumise kirjeldamiseks. Teenusepakkuja peab näitama, kuidas risk on tehniliselt ja protsessiliselt maandatud.

ENISA, testiplatvormid ja küberkaitse kiirus

Euroopa Komisjon viitas 8. juuni G7 küberjulgeoleku deklaratsioonis tööle tehisaru ja küberturvalisuse tegevuskava kallal. Lubatud on konkreetsed sammud, mis seoksid tehisaru küberkaitse, standardid ja testimise.

Agence Europe kirjutas 4. juulil, et ENISA ja Euroopa Komisjoni Ühine Teaduskeskus kavandavad 2026. aasta neljandaks kvartaliks turvalist Euroopa testiplatvormi arenenud kübervõimekusega mudelite hindamiseks. Samuti peaks ENISA avaldama alates 2026. aasta kolmandast kvartalist juhiseid ja parimaid praktikaid.

Jaanuaris 2026 esitatud küberturvalisuse määruse muudatused annaksid ENISA-le tugevama rolli varajastes hoiatustes, lunavarajuhtumite reageerimises koos Europoli ja CSIRT-võrgustikuga ning Euroopa haavatavuste halduses. Kui see raamistik saab praktilise testivõimekuse, võib Euroopa liikuda mudelite vabatahtlikust hindamisest tugevama avaliku võimekuse poole.

Digimaks muudab tehnoloogiasuveräänsuse kaubandusvaidluseks

Reuters kirjutas 26. juunil, et Donald Trump ähvardas 100% tariifidega riike, kes kehtestavad USA ettevõtetele digiteenuste maksu. Euroopa Komisjoni vastus oli, et EL-il ja liikmesriikidel on suveräänne õigus reguleerida majandustegevust oma jurisdiktsioonis.

See seob digimaksu, pilvetaristu, tehisaru mudelid ja küberturbe üheks poliitiliseks paketiks. Kui Euroopa tahab maksustada, reguleerida ja samal ajal kasutada USA tehnoloogiaettevõtete mudeleid ning pilve, muutub iga reegel kaubanduspoliitiliseks küsimuseks.

Mythose juhtum näitab sama mustrit teise nurga alt. Isegi kui Euroopa reeglid on selged, võib ligipääs mudelile sõltuda USA ekspordikontrollist, ettevõtte riskipoliitikast või kahepoolsetest poliitilistest pingetest. Seetõttu ei ole tehnoloogiline suveräänsus ainult Euroopa serverite ehitamine, vaid ka sõltumatu testimise, hankimise ja kriitilise teenuse jätkuvuse küsimus.

Eesti vaade: NIS2 ja juhtide vastutus

RIA teatas 11. veebruaril 2026, et 1. jaanuaril 2026 jõustunud küberturvalisuse seaduse muudatused võtsid Eesti õigusesse üle NIS2 direktiivi. Kohustatud subjektide arv kasvas ligikaudu 3500-lt peaaegu 6500-ni.

NIS2 toob juhatuse liikmetele isikliku vastutuse ning võimalikud trahvid kuni 10 miljonit eurot või 2% aastakäibest. See muudab tehisaru kasutuse küberturbe küsimuseks ka ettevõtetes, kus AI-d ei käsitleta eraldi tootena.

Eesti ettevõtete jaoks tähendab see, et hinnata tuleb vähemalt nelja asja. Esiteks, milliseid andmeid mudelitesse saadetakse. Teiseks, kas tarnija ligipääs võib katkeda poliitilise või ekspordikontrolli otsuse tõttu. Kolmandaks, kas mudel aitab haavatavusi leida või loob uusi ründepindu. Neljandaks, kuidas mudeli kasutus sobib NIS2, AI Acti ja sisemise riskijuhtimisega.

Juhi jaoks ei ole piisav küsimus "kas tööriist on lubatud". Praktilisem küsimus on, kas organisatsioon suudab selgitada, miks mudelit kasutatakse, millised riskid on hinnatud, kes vastutab, kuidas intsident tuvastatakse ja milline on varuplaan, kui teenus muutub kättesaamatuks.

Riskid ja piirangud

Võimsa kübermudeli ligipääs ei tähenda automaatselt paremat kaitset. Kui organisatsioonil puudub pädevus mudeli väljundit kontrollida, võib tööriist anda vale kindlustunde. Küberkaitses on eriti ohtlik olukord, kus mudel leiab midagi usutavat, kuid inimene ei suuda hinnata, kas leid on tegelik, kriitiline või kasutuskõlbmatu.

Mythose juhtumi puhul on läbipaistvus samuti piiratud. Anthropic on avaldanud selgitusi, kuid kõik hindamised, kirjavahetus ja tehnilised testid ei ole avalikud. Avalikult saab kinnitada ajajoont ja põhilisi poliitikaotsuseid, kuid mitte kõiki mudeli võimekuse piire sõltumatult.

Euroopa põhiülesanne on seetõttu ehitada päris tehniline hindamisvõimekus, mis ei sõltu ainult müüja vabatahtlikust koostööst. Kui ENISA, JRC ja AI Office suudavad seda teha, muutub AI Act tugevamaks. Kui mitte, jääb regulatsioon suures osas deklaratiivseks seal, kus risk on kõige praktilisem.

Kokkuvõte: mida järgmisena jälgida

EL-i AI ja küberturbeplaanid liiguvad uude faasi ajal, mil mudelite ligipääs, ekspordikontroll, ohutusmeetmed ja sõltumatu hindamine muutuvad samaks poliitikaväljaks. Mythos 5 näitas, et Euroopa ei saa käsitleda võimsaid kübermudeleid lihtsalt järjekordse pilveteenusena.

Järgmisena tasub jälgida kolme asja: kas ENISA ja JRC testiplatvorm jõuab 2026. aasta neljandas kvartalis tegeliku võimekuseni, kuidas Digital Omnibus muudab AI Acti rakendustähtaegu ja keelatud praktikaid ning kas Euroopa tehnoloogilise suveräänsuse pakett peab vastu USA kaubandussurvele ja liikmesriikide killustatud poliitikale.

Korduma kippuvad küsimused

Mis juhtus EL-i AI ja küberturbeplaanidega?

EL liigub korraga edasi tehisaru kasutuselevõtu, küberkaitse ja tehnoloogilise sõltumatuse plaanidega. Teema muutus teravamaks pärast Claude Mythos 5 piiranguid, mis näitasid, et kõige võimekamad kübermudelid võivad jääda Euroopa ametiasutustele ja ettevõtetele piiratud ligipääsuga.

Mis on Claude Mythos 5?

Claude Mythos 5 on Anthropicuga seotud piiratud ligipääsuga küber- ja bioohutuse uurimismudel. Seda kirjeldatakse mudelina, millel on tugevad kübervõimekused ning mille kasutus on ette nähtud valitud kaitse-, uurimis- ja taristupartneritele.

Kuidas AI Act seda teemat mõjutab?

AI Act nõuab süsteemse riskiga üldotstarbelise tehisaru mudelite riskide hindamist ja maandamist. Mythose-sarnaste mudelite puhul on põhiküsimus, kas Euroopa järelevalve saab piisavalt ligipääsu ja sõltumatut hindamisvõimekust, et riskide maandamist päriselt kontrollida.

Mida tähendab uus CSAM-i ja intiimsisu keeld?

AI Acti muudatused keelavad süsteemid, mis loovad nõusolekuta seksuaalset või intiimset sisu või laste seksuaalse väärkohtlemise materjali. See täpsustab keelatud tehisaru praktikaid valdkonnas, kus kahju võib tekkida ka generatiivse väljundi kaudu.

Miks digimaks on selle loo osa?

Digimaks on selle loo osa, sest Euroopa tehnoloogiline suveräänsus sõltub samadest USA ettevõtetest, kelle tegevust EL ja liikmesriigid tahavad maksustada ja reguleerida. USA tariifiähvardused näitavad, et tehisaru, pilv, maksud ja kaubanduspoliitika on omavahel seotud.

Mida see tähendab Eesti ettevõtetele?

Eesti ettevõtted peavad NIS2 ja AI Acti valguses hindama, milliseid andmeid mudelitesse saadetakse, kas tarnija ligipääs võib katkeda, kas mudel loob uusi küberriske ning kuidas vastutus juhatuse ja riskijuhtimise tasandil dokumenteeritakse.

Mida peaks juht järgmisena jälgima?

Juht peaks jälgima ENISA ja JRC testiplatvormi arengut, AI Acti tähtaegade ja keelatud praktikate muudatusi ning seda, kuidas mudelipakkujad tõendavad süsteemsete riskide maandamist. Praktiliselt tuleb üle vaadata ka oma organisatsiooni AI kasutuse andme-, tarnija- ja intsidentide riskid.

MärksõnadtehisaruküberturvalisusAI ActEuroopa LiitAnthropicMythos 5NIS2ENISAdigimakstehnoloogiline suveräänsus

Jaga artiklit

Saada see lugu kolleegile või salvesta hilisemaks.

AI-RADARi uudiskiri

Saa järgmine AI-RADAR postkasti

Kui järgmine praktiline AI-signaal või tööriistamuutus avaldatakse, saad selle otse e-postile.

Arutelu

0 kommentaari

0/1500

Laen kommentaare...
Loe edasi

Seotud teemad AI-RADARis

Kõik uudised