Techniki cyberbezpieczeństwa, które chronią dane osobowe, mogą utrudniać ich wykorzystanie do analiz. Aby osiągnąć równowagę między ochroną prywatności a efektywnym użyciem danych, ważna jest ścisła współpraca między specjalistami ds. danych, właścicielami danych oraz zespołem IT. Dzięki temu można wypracować rozwiązania, które jednocześnie zabezpieczą informacje i umożliwią ich optymalne wykorzystanie w procesach analitycznych.

Jak możemy chronić prywatność danych naszych klientów, a jednocześnie bezpiecznie wykorzystywać je do analizy i trenowania sztucznej inteligencji? To pytanie odzwierciedla narastający dylemat, z którym borykają się firmy dążące do zaawansowanej analizy danych i wdrażania technologii sztucznej inteligencji (AI).

Coraz bardziej cyfrowe życie klientów generuje ogromne ilości danych, które stanowią cenne źródło informacji dla organizacji wykorzystujących zaawansowane narzędzia analityczne. Jednocześnie takie wykorzystywanie danych budzi poważne obawy wśród pracowników IT, którzy muszą sprostać zarówno rygorystycznym wymogom regulacyjnym, jak i rosnącym oczekiwaniom samych konsumentów w zakresie ochrony prywatności. Osiągnięcie równowagi między tymi priorytetami wymaga zmierzenia się z trudnym konfliktem. Zapewnienie większej prywatności w procesie analizy danych oraz wykorzystaniu sztucznej inteligencji często wiąże się z koniecznością zastosowania technik, które mogą ograniczyć ich użyteczność, w zależności od specyfiki zadania i wybranej metody ochrony.

Ten problem będzie dotyczył coraz większej liczby organizacji, ponieważ rozwój analizy danych i sztucznej inteligencji postępuje dynamicznie, umożliwiając firmom łatwiejszy dostęp do narzędzi i technologii (w tym rozwiązań chmurowych gotowych do użycia) niż kiedykolwiek wcześniej. Tymczasem klienci mają coraz wyższe oczekiwania w zakresie ochrony prywatności swoich danych osobowych, szczególnie w świetle licznych doniesień o poważnych naruszeniach bezpieczeństwa, które pojawiają się w mediach. Te oczekiwania są dodatkowo wzmacniane przez globalne regulacje dotyczące ochrony danych osobowych i sztucznej inteligencji, co oznacza, że firmy muszą ściśle przestrzegać zasad ochrony danych, aby zapewnić zgodność z przepisami i budować zaufanie swoich klientów.

Niezależnie od tego, czy to twoja organizacja tworzy oprogramowanie, czy tylko jest jego użytkownikiem, jest prawdopodobnie narażona na ryzyko związane z błędami ukrytymi głęboko w kodzie.

Jednym z kluczowych sposobów zwiększania wydajności przy tworzeniu oprogramowania jest korzystanie z bibliotek programistycznych podczas projektowania własnych produktów i usług. Pomaga to przyspieszyć innowacje cyfrowe, ale wiąże się również z pewnym kompromisem: organizacje akceptują, czasami nieświadomie, pewien stopień ryzyka, który może prowadzić do poważnych problemów z cyberbezpieczeństwem.

Takie ryzyko ujrzało światło dzienne w grudniu 2021 roku, kiedy wyszło na jaw, że szeroko stosowany framework oprogramowania open source o nazwie Log4j zawiera niebezpieczną lukę. Wiadomość ta trafiła na pierwsze strony gazet, ponieważ olbrzymia ilość oprogramowania wdrożonego w organizacjach, agencjach rządowych oraz na komputerach prywatnych używa tego kodu w języku Java do logowania. Eksperci bezpieczeństwa odkryli, że cyberataki wykorzystujące lukę Log4Shell, jak ją nazwano, mogą mieć katastrofalne skutki dla firm i osób prywatnych. Okazało się, że podatność na tę lukę jest niezwykle rozległa. Kod został wbudowany w wiele systemów, wprowadzając krytyczną lukę bezpieczeństwa w oprogramowaniu na całym świecie. Ujawnienie Log4j powinno być sygnałem ostrzegawczym dla kadry kierowniczej, aby lepiej przemyślała ponowne wykorzystanie oprogramowania oraz sposoby ograniczania ryzyka związanego z jego używaniem w swoich organizacjach.

Korzystanie z bibliotek programistycznych stanowiło środek zwiększający wydajność w dużych firmach technologicznych i było głównie przedsięwzięciem wewnętrznym, obejmującym komponenty tworzone własnymi siłami. Pojawienie się internetu i powszechność oprogramowania typu open source zmieniły tę praktykę. Obecnie większość oprogramowania jest przynajmniej częściowo zbudowana na funkcjonalności uzyskanej dzięki zewnętrznym komponentom. Komponenty te są udostępniane dla wszystkich na repozytoriach open source, takich jak PyPI dla Pythona, NPM dla Node.js czy Centralne Repozytorium Mavena dla Javy, wymieniając tylko kilka.

Niezależnie od tego, czy to twoja organizacja tworzy oprogramowanie, czy tylko jest jego użytkownikiem, jest prawdopodobnie narażona na ryzyko związane z błędami ukrytymi głęboko w kodzie.

Jednym z kluczowych sposobów zwiększania wydajności przy tworzeniu oprogramowania jest korzystanie z bibliotek podczas tworzenia własnych produktów i usług. Pomaga to przyspieszyć innowacje cyfrowe, ale wiąże się z kompromisem: organizacje akceptują, czasami nieświadomie, pewien stopień ryzyka, który może prowadzić do poważnych problemów z cyberbezpieczeństwem. Takie ryzyko ujawniło się w grudniu 2021 roku, kiedy wyszło na jaw, że szeroko stosowany framework oprogramowania open source o nazwie Log4j zawiera krytyczną lukę. Wiadomość ta trafiła na pierwsze strony gazet, ponieważ olbrzymia ilość oprogramowania wdrożonego w organizacjach, agencjach rządowych oraz na komputerach prywatnych używa tego kodu w języku Java do logowania. Eksperci bezpieczeństwa odkryli, że exploity oparte na luce w Log4Shell, jak ją nazwano, mogą mieć katastrofalne skutki dla firm i osób prywatnych. Okazało się, że podatność na tę lukę jest niezwykle rozległa. Kod został wbudowany w wiele systemów, wprowadzając krytyczną lukę w oprogramowaniu na całym świecie. Ujawnienie Log4j powinno być sygnałem ostrzegawczym dla kadry kierowniczej aby lepiej przemyślała ponowne wykorzystanie oprogramowania oraz sposoby ograniczania ryzyka związanego z jego używaniem w swoich organizacjach.

Korzystanie z bibliotek oprogramowania powstało jako środek zwiększający wydajność w dużych firmach programistycznych i było głównie przedsięwzięciem wewnętrznym, obejmującym komponenty tworzone własnymi siłami. Pojawienie się internetu i eksplozja oprogramowania typu open source zmieniły tę praktykę. Obecnie większość oprogramowania jest przynajmniej częściowo zbudowana na funkcjonalności uzyskanej dzięki zewnętrznym komponentom. Komponenty te są często udostępniane dla wszystkich na repozytoriach open source, takich jak PyPI dla Pythona, NPM dla Node.js czy Centralne Repozytorium Mavena dla Javy, by wymienić tylko kilka.

Wysiłki wkładane w rozwój sztucznej inteligencji (AI) spełzną na niczym, jeżeli organizacje nie zapewnią odpowiedniego dostępu do danych w procesie rozwoju i cyklu życia produktu.

BADANIE

W badaniu autorzy przyjęli metodę polegającą na analizie jakościowej wielu studiów przypadków. Przede wszystkim starali się znaleźć odpowiedź na pytanie, jak organizacje zarządzają inicjatywami AI – szczególnie procesem przeniesienia AI z etapu badawczo‑rozwojowego i warunków laboratoryjnych do środowiska produkcyjnego.

Autorzy przeprowadzili wywiady (częściowo scenariuszowe) z kluczowymi liderami technologii AI oraz pracownikami z sześciu północnoamerykańskich firm różnej wielkości, działających w różnych branżach: z trzema firmami konsultingowymi specjalizującymi się w AI oraz zajmującymi się analityką internetu rzeczy (100 pracowników), z jedną firmą sprzedającą gotowe rozwiązania AI dla sportowców (100 pracowników) oraz z jedną dużą instytucją finansową (zatrudniającą ponad 10 tys. pracowników).

Następnie autorzy przeprowadzili wywiady z innymi specjalistami ds. AI zatrudnionymi w różnych firmach oraz przedstawili im swoje wstępne wyniki badań. Dyskutowali na temat tych wyników również z członkami wiodącego konsorcjum, którego misja polega na budowaniu mostów między światem akademickim a partnerami biznesowymi w obszarze AI.

Jak administrować danymi, by stymulować  cyfrową innowacyjność, a jednocześnie dbać o bezpieczeństwo.

Respondent uczestniczący w jednym z naszych niedawnych projektów badawczych stwierdził, że „dane są pożywką dla sztucznej inteligencji. Dzięki nim AI się rozwija „. Ta prosta, ale sugestywna metafora pokazuje, że tworzenie wartości przy użyciu danych nie wynika z gromadzenia ich ogromnej ilości, ale z używania odpowiednich danych (bądź jak twierdzą niektórzy – we właściwym momencie), co wyjaśnia, dlaczego wielu firmom wciąż trudno przychodzi działanie w oparciu o dane.

Równocześnie naruszenia bezpieczeństwa danych, o których często słyszymy, zwracają uwagę na fakt, że gromadzenie danych sprowadza na firmy pewne ryzyko, co widać od razu, gdy spojrzy się na zapisy RODO[i]. Parafrazując komiksowego Spidermana, z dużymi zasobami danych wiąże się większa odpowiedzialność. Jak więc przedsiębiorstwa wykorzystują dane do tworzenia wartości, a równocześnie unikają problemów, które wynikają z ich generowania, zbierania i przetwarzania? Aby rzucić światło na tę kwestię, należy omówić znaczenie administrowania danymi w firmach, które w oparciu o nie działają.