Givet att information som kan vara skyddsvärd används för att realisera AI-lösningar väcks nygamla frågor avseende skyddsåtgärder till liv. Inte sällan har informationssäkerhet fått stå tillbaka en kortare tid för varje ny hype som moln, datalager, virtualisering med flera. Varje hype har också lett fram till nya säkerhetsåtgärder, ibland av nygammal karaktär, där anonymisering är ett exempel. Samtidigt kan en ny trend också skapa och lyfta fram nya säkerhetsåtgärder som exempelvis syntetisk data.
Vi har i flera krönikor belyst den ökade regleringen från EU avseende cybersäkerhet (AI, datadelning med mera). Till skillnad från i många andra delar av världen har vi inom EU redan en robust lagstiftning med avseende på personuppgiftsbehandling i form av GDPR. Vilket gör att exempelvis AI-regleringen inte behöver fokusera på det som GDPR redan reglerar. AI-akten kan koncentrera sig på att på att skydda individens rättigheter och säkerhet genom att säkerställa att AI används på ett etiskt och ansvarsfullt sätt. Det är alltså två av varandra olika perspektiv som GDPR och AI-akten reglerar, vilket är en styrka. Det innebär också att principerna som följer av GDPR i allra högsta grad är fortsatt gällande när personuppgifter behandlas genom AI-lösningar.
GDPR har bidragit till att förbättra informationssäkerheten hos de personuppgiftsansvariga även om det finns många exempel som har passerat genom tiderna som visat på motsatsen. Den allmänna uppfattningen är dock att exemplen blir färre, ju större medvetenheten kring regleringen blir. Även leverantörsledet är bidragande till informations- och cybersäkerhetsarbetet med ständigt förbättrade lösningar för att möta såväl reglering som det förändrade säkerhetsläget. Vad gäller innovationer så är det sällan informations- och cybersäkerheten är med från början utan innovationen har ofta inledningsvis uppmärksamheten på annat håll.
Vis av erfarenhet att de mest innovativa lösningarna sällan är de säkraste lösningar är det ånyo dags att syna korten. Vad gäller AI-lösningar är det långt från lika självklart hur korten ska synas. Alla kort kanske inte ens går att syna? Hur säkerställs exempelvis att ingen skyddsvärd information lämnar organisationen som utlovats i en AI-hybridlösning? Givet den snabba utvecklingen inom området kommer också själva lösningen i sig att förändras över tid. Dagens nulägesbild är sannolikt inte den samma över tid. Här krävs sannolikt helt ny förmåga att säkerställa och faktiskt kontrollera vilken information som lämnar organisationen och hur den hanteras.
Det finns även ny, och nygammal, innovation på informations- och cybersäkerhetsområdet för att fånga utmaningar likt dessa. Lösningar som kanske använts i andra syften har anpassats för att exempelvis studera informationen som lämnar organisationen i en hybridlösning. Med stöd av AI kan lösningen avgöra huruvida det är personuppgifter eller ej för att öka följsamhet mot regleringen.
Säkerhetsåtgärder som anonymisering omnämns ofta i AI-lösningar, inte sällan för att träna dem. Många lösningar har dessvärre inte helt anonymiserat uppgifterna utan snarare pseudonymiserat dem då det visar sig efter rimlig ansträngning att det går att reidentifiera uppgifterna. För uppgifter som går att reidentifiera ska GDPR tillämpas. Beaktandesats 26 i GDPR uttrycker att det är bara helt anonymiserade uppgifter som inte omfattas av förordningen.
I stället för att använda skarpa uppgifter för att exempelvis träna AI kan syntetiskt data användas. Syftet är att med stöd av AI skapa data som inte har någon direkt koppling till verkliga personuppgifter men som efterliknar dess struktur och egenskaper för att undvika att ett skarpt data som tvättats inte tvättats tillräckligt. Risker finns även med den syntetiska informationen, exempelvis att den kan bli partisk och diskriminerande vilket är i direkt i strid med AI-aktens syften.
Valet av vilka skyddsåtgärder som ska tillämpas är en balansakt och givet att fallhöjden för incidenter har ökat i och med AI så kan små misstag få ödesdigra konsekvenser. Vi ska självklart dra fördel av alla förbättringar som AI kan leda till. Det får dock inte innebära att vi i jakten på att uppnå våra mål med AI bidrar till att andra mål raseras.
Det är nu det systematiska och riskbaserade arbetet prövas. Släpp aldrig taget om den viktiga ledstången för att navigera rätt och korrekt!
