12 huhtikuuta 2019
Monissa tänä keväänä käymissäni keskusteluissa on ollut teemana tekoäly. Aihe on kiinnostava, mutta edelleen monelle uusi ja osin tuntematon.
Usein tekoälykeskelu pyörii käyttötapausten ja etiikan, joskus myös teknologian, ympärillä. Näiden rinnalle keskusteluun tulee kuitenkin nostaa turvallisuus.
Miksi turvallisuudelle on syytä uhrata muutama ajatus tekoälykeskusteluissa?
Lainsäädäntö ja asetukset asettavat vaatimuksia sekä tekoälyn käsittelemän syötetiedon että analyysin lopputuloksena syntyvän uuden tiedon suojaamiselle. GDPR toki asettaa omat vaatimuksensa henkilötiedon osalta, mutta erityisesti turvallisuussektorin sovelluksissa syntyvät lopputulokset voivat kiinnostaa ammattimaisesti tietoverkoissa toimivia tiedonhankkijoita. Yleensä et halua jakaa analyysisi lopputuloksia näiden tahojen kanssa.
Toisaalta turha tietoturva maksaa. Ylimitoittamalla kontrollit turvallisuuden varjolla voit olla varma siitä, että budjettisi loppuu kesken. Ylimitoitetun suojaamisen sijasta käyttäisit rahasi viisaammin parantamalla tekoälysi analysointikykyä, ja kehittämällä toimintaasi uuden tietosi pohjalta.
Kustannuksia suurempi ongelma kontrollien ylimitoittamisessa on, ettet saavuta ollenkaan tavoittelemiasi toiminnan parannuksia, koska tarpeeton tiedon epääminen estää sen hyötykäytön. Uudesta tekoälypalvelustasi tulee tarpeeton, jos kukaan ei pääse käyttämään sitä.
Mistä turvallisuushaasteet syntyvät?
Ongelmien juurisyynä ovat tekoälyratkaisuihin liittyvät ristiriitaiset vaatimukset.
Tekoäly vaatii piikinomaisesti paljon laskentatehoa. Sen ostaminen varastoon pölyttymään on turhaa ja kallista. Julkiset pilvipalvelut sopivat tällaiseen tarpeeseen paljon paremmin. Maksat vain siitä kapasiteetista, jota käytät ja silloin, kun sitä käytät.
Tekoälyn algoritmit, käsiteltävä tieto, ja lopputulokset ovat usein sellaisia, jotka vaativat suojaamista. Joko lain mukaan, esim. henkilötieto, tai siksi että ne ovat yrityksen toiminnan ytimessä olevia liikesalaisuuksia kuten toimintamalleja, ennusteita yms.
Perinteinen tiedon suojaamisen malli sopii yhtälöön huonosti. Se on perustunut staattisiin turvaluokituksiin ja suojaustasoihin, jotka todennetaan julkishallinnon hankkeissa auditoinneilla Katakri-kriteeristöä vasten. Nykymallissa pilvipalvelun auditointi ei onnistu, koska globaalit pilvipalvelutoimittajat eivät päästä auditoijaa tarkastamaan konesaleistaan lähtevää ja tulevaa liikennettä.
Joudutko siis ostamaan tekoälyn vaatiman huippukapasiteetin verran palvelimia konesaliisi pölyttymään muutaman sekunnin käyttöpiikkiä odottamaan, jotta voit käyttää tekoälyä turvallisesti?
Et välttämättä.
3+1 askelta tekoälyn turvalliseen käyttöön
1. askel – Ymmärrä millaista tietoa olet käsittelemässä, ja miksi
Tiedonhallintalain uudistuessa nykyiset turvaluokitukset korvautuvat kohdekohtaisella riskiarviolla. Käytännössä se tarkoittaa, että mietit tapauskohtaisesti mitä tietoa tarvitsee suojata, ja miten se tilanteeseen sopivimmalla tavalla hoidetaan. Tämä tuo joustavuutta ratkaisuvaihtoehtoihin.
Samalla tulee miettiä, millaista suojaamista tekoälylaskennan lopputuotokset vaativat. Lopputuotosten suojaustarve ei välttämättä ole sama kuin syötteiden vaatima suojaustarve.
2. askel – Kartoita soveltuvat ratkaisut ja arvioi riskit sekä kustannukset.
Nykyään on saatavilla sekä on-premise että pilvipohjaisia tekoälyratkaisuita, ja myös hybridimallit tekevät tuloaan. Mieti asioita ensimmäisestä kokeilustasi hiukan eteenpäin – jos joudut jatkossa toteuttamaan osan laskentaa suojatussa on-premise-ympäristössä, kannattaa valita teknologioita, jotka mahdollistavat laskentamallien, datan ja lopputulosten siirtämisen pilvi- ja on-premise-ympäristön välillä. Muuten joudut tekemään kaiken kahteen kertaan.
3. askel – Varmista pilottihankkeisiin moniammatillinen tiimi, joka toimii ketterällä projektimallilla
Kulunut neuvo, mutta toimiva. Ketterää projektimallia noudattamalla tiimi pystyy nopeasti palastelemaan projektia kohtaavat hallinnolliset ja tekniset haasteet, ja etsimään niihin ratkaisut.
Tarvitset mukaan ainakin tietoturvan, lakiteknisen luvituksen ja IT:n ja liiketoiminnan edustajat datatieteilijöiden lisäksi, jotta tarpeellinen osaaminen löytyy projektista.
Bonusaskel (se tärkein) – Muista aloittaa!
Tekoälyä sovelletaan jo tänä päivänä monella alalla. Myös turvallisuussektorin toimijoiden on syytä rohkeasti kokeilla, mitä hyötyjä tekoäly tuo omaan toimintaan.
Turvallisuusargumentteja voi käyttää kahdella tavalla: löytää tapoja tehdä asioita turvallisesti tai nostaa esille tekosyitä olla tekemättä mitään. Näistä jälkimmäinen on todella vaarallinen lähestymistapa, koska samalla unohdetaan se, ettei ympäröivä maailma jähmety paikoilleen. Minusta näyttää siltä, että tällä hetkellä turvasektori on jäämässä pahasti muun maailman jalkoihin.
Rohkaisen selvittämään ja kokeilemaan tekoälyä kaikilla toimialoilla!
Tuomas Korpilahti,
Senior Sales Manager, Tieto
Tuomas Korpilahti on diplomi-insinööri ja kauppatieteiden kandidaatti, joka työskentelee Tiedolla Senior Sales Managerina. Hän on työskennellyt turvallisuutta parantavien sovellusten ja viestintäratkaisuiden parissa vuodesta 2006, joista ensimmäiset 10 vuotta globaalisti ja nyt Suomessa. Hän keskittyy Tiedossa erityisesti julkishallinnon turvasektorin asiakkaisiin puolustuksen ja turvallisuuden saralla. Hänen työtään ajaa vahva halu pitää Suomi maailman turvallisimpana maana, jossa jokaisella on vapaus toteuttaa itseään ja unelmiaan.