Sikker Innsikt?

2018-11-02

Thomas Tømmernes IT-sikkerhetsekspert

AI + BI = INNSIKT + sikkerhet = GDPR og 11 årsverk i pluss.

Det første du tenker nå er kanskje hva f… betyr AI-BI og hva i alle dager mener de med Innsikt i denne sammenhengen? Det er ikke ofte, men for en gangs skyld er «sikkerhet» det mest håndgripelige begrepet. Din neste tanke er kanskje: nå kommer maskinene for å ta jobbene våre, det var det jeg visste. 

Jeg var faktisk selv relativt lunken til ligningen ovenfor grunnet begrepsforvirringen, enda jeg jobber i IT-bransjen og hører om dette til daglig. Men det var inntil jeg møtte Mohammed Benzaim og Eirik Gulbrandsen fra IT-sikkerhetsdistributøren Arrow. 

Under møtet falt brikkene hurtig på plass, og jeg ble sittende å tenke – dette må flere skjønne, dette er jo helt genialt og så enkelt. Så satser jeg på at når jeg har skjønt det, og prøver å sette forkortelsene og begrepene inn i en reell brukssituasjon som ALLE må forholde seg til (GDPR) så bør den generelle smarting også se sammenhengen, gevinsten, og at dette er fremtiden. 
 
Men, før vi begynner er det greit å skjønne de forskjellige begrepene:

1 – AI «Artificial Intelligence» eller kunstig intelligens, realiseres ofte gjennom det som kalles maskinlæring. Enkelt forklart gjør AI maskiner i stand til stadig å lære noe nytt innenfor feltet den opererer. Maskinen kan tolke, kognitivt «forstå» og behandle store mengder data, på kryss av plattformer og språk, og gjennom læring kommer maskinen stadig på et høyere nivå. På bakgrunn av dette kan maskinen foreslå svar på ulike utfordringer innenfor det aktuelle feltet. 

2 – BI «Business Intelligence"  er et samlebegrep for IT som fremskaffer mer eller mindre virksomhetskritisk informasjon. BI gir mulighet til å søke hurtig i store datamengder og gi kalkulerte råd og forslag om bedriftens veivalg, basert på reelt datagrunnlag. Dette kan være både økonomiske og strategiske beslutninger. 

3 - Innsikt er i utgangspunktet en kombinasjon av tjenester og produkter basert på AI og BI. Satt opp på riktig måte, med målepunkter og sensorer, gir «Innsikt» UNIK oversikt. Oversikten gjør at organisasjonen blir klar over meningsfulle sammenhenger som tidligere ikke var verdsatt, oppfattet eller tatt med i beregningene. På denne måten blir virksomheten i stand til å ta raskere, mer presise og klokere valg.

Store norske leksikon definerer " Innsikt" slik: Grundig forståelse, kyndighet; det å se sammenhenger man ikke har sett. 

Hvorfor ble jeg frelst på Innsikt?

Tilbake til møtet med Mohammed og Eirik. De drar oss igjennom behovet for å ha kontroll på personopplysninger, bøtene Datatilsynet kan ilegge, hva hvis en organisasjon blir kompromittert og persondata kommer på avveie…. Bla, bla, tenker jeg. Så kommer spørsmålet – hvor ligger dataene? Jeg tenker for et dustespørsmål, de ligger jo overalt Og da, i det øyeblikket, går det opp for meg – AI + BI =INNSIKT + SIKKERHET = GDPR  

Eureka! 

AI + BI = INNSIKT + sikkerhet = GDPR og 11 årsverk i pluss 

En viktig endring ved den nye personvernloven (GDPR) er at den tar hensyn til at våre data ikke lenger bare ligger strukturert i registre og databaser – i stadig større grad ligger den også i eposter og enkeltdokumenter, og de ligger «overalt». Du finner dem i innboksen din, på din egen maskin, på filservere, i Dropbox og i «skya» generelt. Stadig billigere lagring og kraftigere søketeknologi gjør informasjonen så tilgjengelig at vi ikke lenger trenger å organisere den i databaser Vi kan minst like raskt søke direkte i den ustrukturerte informasjonen. I tillegg kan vi langt enklere finne komplekse mønstre i informasjonen. Enkeltinformasjon kan kombineres slik at vi får fram så vel ordinær som sensitiv personinformasjon. På bakgrunn av dette har personvernloven derfor utvidet definisjonen på "persondata".

Samtidig opererer GDPR også med et viktig, nytt begrep når det gjelder konsekvensen av å ikke ha kontroll på denne informasjonen, og det er "ikke-materiell skade": 

Artikkel 82. Rett til erstatning og erstatningsansvar 

  1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden. https://lovdata.no/NL/lov/2018-06-15-38/gdpr/a82

 

Artikkel 82 innebærer at personer ikke trenger å henvise til direkte skade forårsaket av feil bruk av deres persondata, det holder at deres rettigheter er krenket på et mer generelt grunnlag.

Det begynner å gå opp for norske bedrifter, etater og institusjoner at ethvert dokument kan være en tikkende bombe. Personopplysningsloven betyr i utgangspunktet at du må kontrollere hvert eneste dokument i organisasjonen, fra alle datakilder. Deretter må du vurdere OM disse inneholder personopplysninger, samtidig må du vurdere juridisk hvorvidt informasjonen må slettes eller tas vare på, ikke bare knyttet opp mot GDPR, men også regnskapslover, arkivloven og en rekke bransjerelaterte lover og regler. Du må selvsagt også dokumentere – for hvert enkelt dokument – det rettslige grunnlaget for å behandle informasjonen. Vi snakker om samtykke, berettiget interesse, juridisk forpliktelse etc.

La oss ta en titt på OMFANGET, basert på analyser gjort av typiske dokumentmengder i en organisasjon: 

  1. Et gjennomsnittlig dokument er på 2 MB 
  2. Det tar gjennomsnittlig 2 minutter å lese ett dokument 
  3. 10 % av filene inneholder en eller annen form for persondata 
  4. Gjennomsnittlig tid for en juridisk vurdering om lovlig/rettslig grunnlag er 3 minutter 
  5. Gjennomsnittlig tid for å dokumentere en beslutning er 2 minutter

For en dokumentmengde på 1 terabyte betyr dette 2 604 arbeidsdager eller 11,84 årsverk. Tygg litt på den.  

Regnestykket over er generisk og gjelder på tvers av de fleste typer organisasjoner, inkludert kommuner. En gjennomsnittlig norsk kommune med 11 000 innbyggere lagrer trolig ca. 5 terabyte med data. De vil da ha behov for 50-60 årsverk for å håndtere omfanget. En forsvinnende liten del av dette er potensielle brudd på personvernloven, men det skal ikke mange tusen eller titusen dokumenter til for å skape en enorm risikoflate. Det kreves en enorm Innsikt i dine egne, ustrukturerte datamengder for å håndtere dette problemet. 

Dere tok den, ikke sagt? 

Hvordan kan vi så løse disse behovene for arbeidskapasitet? Skal vi ha IT-avdelinger på størrelse med middels store norske bedrifter?  

Nei, selvsagt ikke. En mulighet er å introdusere en løsningsplattform bygget på det beste IBM har å by på av avansert prosesseringskraft (Power AI), søketeknologi (StoredIQ) og evne til å kognitivt tolke dokumenter gjennom maskinlæring (Watson). Løsningen er spesifisert og eies av – ikke teknologer – men advokater fra det svenske selskapet Aigine. Den er designet og skrudd sammen av det finske ekspertselskapet innen kognitiv læring; Elinar. Løsningen tas nå ut i det norske markedet av Arrow sammen med det som jeg, i all beskjedenhet, vil si er i ferd med å bli en av spydspissene innen Innsikt; ATEA. 

Løsningen er en kombinasjon av lokale komponenter levert ferdigpakket i «svart boks»-format. Ingen installasjon eller kompleks konfigurasjon er nødvendig. Dette er ferdigpakkede virtuelle applikasjonspakker som automatisk kobler seg opp mot skykomponenten av løsningen; maskinlæringsdelen som krever store mengder spesialisert datakraft. Denne datakraften tilgjengeliggjøres via skytjenester og setter ikke krav til spesialisert datakraft lokalt.

Ved å bruke en slik løsning beholder virksomheten alle persondata på et kontrollert område. Ingen persondata forlater noensinne den lokale komponenten av løsningen. Det som sendes ut er såkalte «annoteringsdata», en type maskinkode som kun gir mening for den kunstige intelligensen i skya. 

Løsningen krever ingen egne lisenser eller teknologiinvesteringer; virksomheten betaler kun en fast sum pr. ansatt pr. måned, uavhengig av mengden data. Punktum. 

Løsningen har dessuten to komponenter som gjør den svært attraktiv for virksomheter som ønsker raske resultater:  

Først og fremst krever den ingen lokal, teknologisk kompetanse. Spesifikasjonsprosjekter for oppsett av statiske søkeprofiler, regex-regler og andre filtre er ikke nødvendig, da maskinlæringskomponenten genererer disse automatisk basert på menneskelige beslutninger gjennom faktisk bruk av systemet. For de ansatte fremstår løsningen som et webgrensesnitt og den begynner å produsere fra dag 1. Løsningen lærer rett og slett direkte av jobben organisasjonens egne ansatte gjør. For hvert dokument som blir vurdert, lærer løsningen noe nytt, slik inngår alle dokumenter i en kontinuerlig syklus og bidrar til å forbedre løsningens evne til å vurdere neste dokument. 

Den neste komponenten er unik på verdensbasis og har allerede blitt anerkjent i teknologikonkurranser og av universiteter; evnen til å benytte læring på tvers av kunder og organisasjoner – og språk! Løsningen fungerer like godt på bokmål som nynorsk, samisk, svensk, finsk – eller engelsk. Kjernen er en språkuavhengig annoteringskode.

Lund University: Challenges and opportunities with using cognitive computing for mapping personal data in order to help comply with the GDPR (http://lup.lub.lu.se/luur/download?func=downloadFile&recordOId=8949538&fileOId=8949546)

Vi har dermed en løsning som bruker AI, BI og kognitiv forståelse av personvernloven til å gjennomgå ustrukturerte datakilder på en ekstremt effektiv måte. 

  • Effektivisering av filtrering: 90 % 
  • Effektivisering av gjennomlesning: 90 % 
  • Effektivisering av vurdering/beslutning: 90 % 
  • Effektivisering av dokumentasjon: 90 % 

Total effektivisering: 97% 

De 11,84 dagsverkene pr Terabyte med data? De er redusert ned til 0,33 årsverk. 

Den «umulige» oppgaven er plutselig blitt mulig. Plattformen kan også læres opp til å forstå en virksomhets eller bransjes spesifikke ønsker og formål; på samme måte som den kan finne persondata, har den også potensialet for å finne alle typer informasjon; bedriftshemmeligheter, innsideinformasjon, sensitive kontrakter etc.

Det er stort potensial for å redusere både arbeidskostnader og sårbarhetsflater, samt uendelige muligheter for å skape store forretningsverdier. Lyst til å bli med dette? 

Atea kjøpte tidligere i år Iknow som er en viktig komenent i Ateas satsing innenfor fagfeltet Analyse og Innsikt. Vi besitter derfor høy kompetanse innenfor løsningene beskrevet over. 

Ønsker du mer info eller booke et møte med oss er det bare å ta kontakt med Mark Folkesson:

Marc.Folkesson@atea.no

Mobil: +47 41695986

Inntil skrivelysten tar meg igjen følg meg gjerne på Twitter @TTmmernes

//TT