Vil bygge bro mellom det tekniske perspektivet og cyber­sikkerhet

- Vi er på vei inn i en fase med mer menneskelig interaksjon med roboter. Er rettsreglene vi har tilstrekkelige og mulige å etterleve eller må regelverket endres eller ansvar klargjøres?

Jusprofessor Tobias Mahler. Foto: Tuva Bønke Grønning
Jusprofessor Tobias Mahler. Foto: Tuva Bønke Grønning

Det er jusprofessor Tobias Mahler ved Institutt for privatrett ved UiO som stiller spørsmålet. Sammen med syv andre forskere jobber han med å undersøke «utfordringene og løsningene for regulering av robotteknologi og AI-teknologi – både med hensyn på juss og teknologi.»

VIROS-prosjektet startet i 2018 og skal pågå frem til 2023. Så langt har Mahler blant annet sett på rettslige problemer rundt kunstig intelligens, regulering av kunstig intelligens og oversikt over rettsutviklingen i EU.

Han forteller at det finnes ulike regelverk for fysiske maskiner og data, direktiver for sikkerhet på leker, store maskiner og en rekke andre aktuelle områder, men at det i mange tilfeller er stor usikkerhet til hvilket regelverk som gjelder idet de fysiske gjenstandene kobles til nett.

- Vi er så opptatt av å lage roboter som skal utføre en oppgave at vi glemmer alt det andre. Vi trenger et regelverk som bygger bro mellom det tekniske perspektivet og cybersikkerheten, sier Mahler.

Fra fabrikk til sykehus

Mahler beskriver en bølge av roboter som er i ferd med å forlate fabrikkene og labene og innta for eksempel sykehus, barnehager, skoler og kanskje universiteter.

Roboter har for eksempel vært brukt for å hjelpe barn som ikke har mulighet til å komme seg til skolen, på grunn av sykdom eller annet, slik at de kan følge undervisningen fra et annet sted.

- Frem til nå har roboter interagert med mennesker på begrensede områder, som i en fabrikk eller en lab. Når de skal møte pasienter på et sykehus eller barn på en skole dukker det opp helt nye problemstillinger, sier Mahler.

Personvern, GDPR og sikkerhet er noen av utfordringene. Ifølge Mahler er mange av dagens roboter enkle å hacke. Han trekker frem et eksempel hvor teknologer demonstrerte dette ved å hacke en robot på et lagerbygg.

Roboten var programmert til å ikke kjøre på mennesker, men det eneste hackerne trengte for å endre på dette var tilgang til bedriftens trådløse nettverk.

- Det var selvfølgelig dukker som ble påkjørt under demonstrasjonen, men det var urovekkende å se. Det er så enkelt å lage roboter at mange glemmer sikkerheten og svakhetene, sier Mahler.

- Når man kommer fra et industrielt perspektiv er det en utfordring når man kommer på nett med disse tingene. Smartklokker, dukker for barn som avlyttes – «alt» er etter hvert på nett, og det er i mange tilfeller ingen sikkerhet.

Ansiktsgjenkjenning

Når de «smarte» robotene inntar sykehus og sykehjem og skal samhandle med sårbare mennesker dukker spesielt personvern, ansiktsgjenkjenning og hvordan ulike informasjon kobles sammen opp som aktuelle utfordringer.

- En robot har typisk mikrofon, kamera og en del sensorer. Samtidig vil ikke en robot ha nok batteri til å prosessere bilder, lyd og annet informasjon, så dette sendes til en sky. Når den da kan gjenkjenne at du er deg – hvilke andre opplysninger vil den knytte dette opp mot? spør Mahler.

- En rekke kommuner vil etter hvert ta i bruk helseroboter. Hvordan bygger vi et rammeverk for disse som tar hensyn til alt det juridiske? Det er det vi skal prøve å finne ut av, sier han.

Mens juristene i VIROS-prosjektet konsentrerer seg om lovverket og mulige konsekvenser jobber teknologene med hvordan utfordringene eventuelt kan løses. Er det for eksempel mulig å droppe kamera som gjenkjenner ansikter og erstatte med et infrarødt kamera?

- Hvis et produkt kan skade et menneske regnes det som usikkert, for eksempel hvis et barn kan sette en leke i halsen. Vi har tydelige regler for slike sikkerhetsspørsmål, men hva hvis samme gjenstand kan hackes eller avlyttes? Regnes den da som «utrygg»? sier Mahler.

Han mener det råder for stor usikkerhet om hvilke regelverk som gjelder i disse situasjonene.

- Hvis produktene skal sikres godt nok betyr det gjerne senere markedsadgang, så cybersikkerhet blir ofte nedprioritert. Hvis vi ikke har et tydelig regelverk vil det økonomiske insentivet nesten alltid være å ikke ta noe særlig hensyn til dette, mener han.