Rengeteg biztonsági termék létezik, de eljön-e valaha az a "csodafegyver", amely minden szervezetnél képes megvédeni az adatokat? Biztosan nem, ha az iparág nem hagy fel az elmúlt évtizedek viselkedésével - vélekedik Daniel Weitzner, az MIT számítástudományi és mesterségesintelligencia-kutatásokat végző laboratóriumának vezető kutatója.
"A vállalatok mindent megtesznek, amit csak tudnak, hogy a megfelelő megoldást válasszák ki az elérhető izgalmas technológiák közül, és körültekintően be is vezessék azt. Ám gyakran maguk sincsenek pontosan tisztában a biztonsági kockázatokkal, és nem rendelkeznek érdemi beruházási stratégiával a kiberfenyegetések elleni védekezés terén" - mutatott rá Weitzner a Fujitsu Laboratories Advanced Technology Symposium című rendezényen megtartott nyitóelőadásában, a Kalifornia állambeli Santa Clarában.
"Amikor sikerül őszinte beszélgetésre sort keríteni egy információbiztonsági vezetővel, és az ember arról kérdezi az illetőt, hogy mennyit költ biztonságra, és az vajon elegendő-e, általában a többi vállalatéval hasonlítják össze a saját ráfordításukat [ahelyett, hogy a megtérülésről beszélnének]. Senki nem tudja mérni a különböző kiberbiztonsági megközelítések beruházásmegtérülését" - tette hozzá.
Weitzner elmondása szerint a biztonsági költségvetés folyamatosan tovább nő, ahogy a vállalatok megpróbálják biztonsági innovációkkal erősíteni szervezetük védelmét. A JPMorgan Chase vezérigazgatóját, Jamie Dimont idézi, aki cége legutóbbi pénzügyi jelentésében elmondta, hogy évente közel 600 millió dollárt költenek internetes biztonságra, és 3000 munkatársuk dolgozik ezen a területen.
Az internetes intelligencia megosztása
Weitzner, aki egyben az MIT internetes házirendekkel kapcsolatos kutatási kezdeményezését is vezeti, nem csupán elméletben foglalkozik a problémával, hanem meg is próbálja oldani azt. Egy 10 nagyvállalat bevonásával végzett kísérletben biztonságos platformon keresztül megosztották egymással a cégek internetes védekezéssel kapcsolatos információt: hogy milyen támadásokat tapasztaltak, kudarcot vallott-e a védekezés, és ez mekkora költséggel járt. "Lassan eljutunk arra a pontra, ahol már formális, konkrét állításokat tudunk megfogalmazni a hatásos és a hatástalan védekezési mechanizmusokra vonatkozóan" - mutatott rá a Weitzner a vezető technológiai kutatók és cégvezetők előtt tartott előadásban.
A kutató megdöbbent azon, milyen ritkák az ilyen együttműködések, különösen azt figyelembe véve, mennyire ígéretesek az első eredmények. "Kezdjük felismerni, hogy vannak olyan biztonsági megoldáscsomagok, amelyek hatásosak, és olyanok is, amelyek nem. Túl kell lépnünk azon a szinten, ahol a vállalatok egymás hegyére-hátára halmozzák a különböző védekezési megoldásokat és új technológiákat, és meg kell értenünk, hogyan kell meghatározni a prioritásokat és a biztonsági befektetési stratégiákat - hogyan láthatjuk el a környezetet olyan eszközökkel, amelyek birtokában jobban fogjuk tudni, hogyan reagáljunk".
Globális adatvédelmi szabvány
Weitzner elmondása szerint a digitális adatvédelem is problémát jelent. Ez összecseng a Fujitsu Laboratories vezérigazgatója és a rendezvény házigazdája, dr. Hirotaka Hara véleményével.
Egy kilenc ország 900 üzleti vezetőjének részvételével, a Fujitsu megbízásából végzett kutatásban a megkérdezettek 82%-a tartotta fontosnak, hogy teljes körű ellenőrzéssel rendelkezzen személyes adatai felett. "Aggódnak amiatt, hogy vajon megfelelően kezelik-e az adataikat" - mutatott rá Hara. Potenciális megoldásként bemutatta a Fujitsu IDYX hitelesítési technológiáját, amellyel a felhasználók szabályozhatják online elérhető személyes adataik körét és azt, hogy közülük mi bocsátható más szolgáltatások rendelkezésére és mi nem.
Továbbra is vannak azonban kihívások. "Az adatvédelem azért annyira kemény dió, mert rendkívül sokféle dolgot jelent. Ha az ügyfelek úgy érzik, hogy túlságosan szorosan követik őket, az ilyen gyakorlatot folytató vállalatok nehéz helyzetbe kerülhetnek a piacon" - figyelmeztetett Weitzner.
"Még ma sem rendelkezünk olyan eszközökkel, amelyekkel rávehetnénk az adatok tárolóit, hogy valóban megfelelő szabályokat és ellenőrzést alkalmazzanak, és gondoskodjanak az eredeti adatgyűjtés kontextusának tiszteletben tartásáról" - tette hozzá.
Az Európai Unió általános adatvédelmi rendeletének (GDPR) megvannak a kritikusai, de Weitzner szerint a jogszabálynak mindenképpen van egy fontos erénye: más országokat és szervezeteket is rákényszerített arra, hogy felülvizsgálják az adatkezelési és adatvédelmi problémák kezelésekor folytatott gyakorlatukat.
Weitzner szerint szélesebb körű - ideálisan világszintű - egyetértésre lenne szükség az adatvédelemről. "Globális szemléletet kell alkalmaznunk az adatvédelem és [különösen] az MI irányítása terén" - fogalmazott.
Ki kell nyitni az MI "fekete dobozát"
A Fujitsu felmérésében a megkérdezettek többsége (52%) úgy nyilatkozott, hogy nem bízik a mesterséges intelligencián alapuló döntésekben. 63% ugyanakkor azt mondta, hogy megbízna az MI-ben, ha tudná, milyen úton jutott el az adott döntéshez.
"Az ügyfelek akkor kezdenek bízni az MI-ben, ha magyarázatot kapnak arra, mit csinál a rendszer" - hangsúlyozta Hara. Napjaink MI-rendszereire túlságosan is jellemző, hogy "fekete dobozként" kezelik a technológiát, amely pusztán a válaszokat adja meg, miközben a felhasználók többségének fogalma sincs arról, hogyan zajlik az MI-alapú döntéshozás, és vajon megbízhatnak-e a végeredményben.
Weitzner sürgette, hogy az iparág és a tudományos világ is fordítson nagyobb figyelmet az MI-rendszerek döntéshozatali folyamatainak feltárására. Arra is felhívta figyelmet, hogy magasabb szinten, az iparági szabványok területén is sok teendő lenne a technológia iránti bizalom megteremtése érdekében.
Példaként részletesen ismertette azt a MIT internetes házirendekkel kapcsolatos kutatási kezdeményezése keretében végzett vizsgálatot, amely az első arcfelismerő rendszerek alapvető hibáit azonosította. "A pontosság elég jó volt a fehér bőrű férfiak és elfogadható a fehér bőrű nők esetén, de színes bőrű alanyok esetében rendkívüli alacsony volt az azonosítás helyes találati aránya" - hangsúlyozta.
Ebben az esetben nem maga a mesterséges intelligencia, hanem az alapját képező adatok okozták a problémát. Weitzner elmagyarázta, hogy a korai arcfelismerő fotózási rendszerek fejlesztésekor fehér nők képeit használták, mivel az akkori technológiákkal ezeknél a képeknél lehetett a legjobb képtisztaságot elérni. "Az a fotózási technológia, amire az arcfelismerés épült, beépített torzítást hordozott."
Amikor kiderült a probléma, Weitzner elmondása szerint egyes cégek visszafogták az arcfelismerő technológia értékesítését. Károsnak tartja azonban, hogy mások továbbra is kínálják a gyenge minőségű technológiát, amely negatív színben tünteti fel az MI-t a vállalatok és a magánemberek szemében. "Politikai szinten is sokan próbálják korlátozni az arcfelismerő technológia használatát, különösen a rendvédelmi alkalmazásoknál, épp a torzítás problémája miatt. Számomra ez kiváló példája annak, hova vezet, ha az új technológia fejlesztésekor nem vesszük figyelembe az irányítási kérdéseket. Így lehet aláásni egy egyébként rendkívüli ígéretes szektor, az MI jövőjét, kétségbe vonva annak megbízhatóságát."
"Persze vissza lehet állítani a bizalmat, de sokkal jobb lenne, ha nem kellene megküzdeni a szkepticizmussal és a technológiával szembeni ellenállással. Az iparágnak kell kitalálnia, hogyan lehet ezen a területen sokkal hatékonyabb" - magyarázta.
"Az internet fejlődésének második szakaszában tartunk, ahol látjuk, mennyire áthatják ezek a [nagy hatású] technológiák az emberek életét, és ráébredünk, hogy az irányítás kérdését sokkal átfogóbban kell kezelnünk a bizalmi alapokon nyugvó környezet megteremtéséhez" - hangsúlyozta Daniel Weitzner.
• A Daniel Weitzner nyitóbeszédéről és a Fujitsu Laboratories Advanced Technology Symposium 2019 többi előadásáról készült teljes videó megtekintése
• A 2020 legfontosabb 12 kiberbiztonsági előrejelzéséről készült ingyenes jelentés letöltése