Sztuczna inteligencja. Jak pogodzić innowacje z bezpieczeństwem i prywatnością?

Jak należy rozumieć pojęcie suwerenności cyfrowej? Chyba trudno to określić zero-jedynkowo?

Tak, to prawda. Jeśli mówimy o usługach, szczególnie chmurowych, takich, gdzie przechowujemy i przetwarzamy dane, to zawsze pojawia się kwestia suwerenności cyfrowej. Żeby nie wpaść w króliczą norę, spróbujmy ująć rzecz krótko – jest to po prostu możliwość sprawowania kontroli nad miejscem i sposobem przechowywania oraz przetwarzania danych.

Jest to również kwestia osiągnięcia pewnego rodzaju niezależności technologicznej.

Jak należy to rozumieć?

Widzę tu dwa kluczowe aspekty, na które należy zwrócić uwagę. Po pierwsze, chodzi o to, aby zabezpieczyć się przed sytuacją, w której ktoś mógłby odciąć nam dostęp do technologii, na której w dużej mierze polegamy. To kwestia prewencji i minimalizowania ryzyka. Po drugie, równie ważne jest to, aby poradzić sobie w sytuacji, gdyby takie odcięcie faktycznie miało miejsce. To aspekt zarządzania kryzysowego i reagowania na już zaistniałe zdarzenia.

Jak suwerenność cyfrowa docelowo powinna wyglądać, w którym miejscu jesteśmy jako kraj i UE?

Niezaprzeczalnie obecnie obserwujemy w Europie bardzo wysoki poziom świadomości w zakresie ochrony danych i suwerenności cyfrowej. Klienci, zarówno komercyjni jak i publiczni, wymagają w tym obszarze coraz więcej od dostawców usług cyfrowych. Gdzie jesteśmy w tym procesie? W mojej ocenie zaszliśmy już naprawdę daleko. Jeśli cofnę się pamięcią pięć lat wstecz, kiedy startowały duże inicjatywy, takie jak Road to Cloud zapoczątkowany przez PKO BP, to był to czas pełen niewiadomych, pojawiało się sporo obaw, a jeszcze więcej pytań i domysłów.

Czytaj więcej

Opinie i komentarze

Polski menedżer Google'a w Krzemowej Dolinie: Ona jest nie do skopiowania

Z punktu widzenia osoby pracującej w branży nowych technologii jest to miejsce wyjątkowe. To tu d...

Czego one dotyczyły?

Przede wszystkim tego, czy zastosowanie technologii chmurowych nie spowoduje żadnych zawirowań związanych z wymaganiami prawnymi, regulacjami, czy z zasadami compliance. Zaczęliśmy bardzo uważnie przyglądać się temu, co było wtedy dostępne i jak można przełożyć konkretne technologie na ówczesne uwarunkowania rynkowe. Okazało się, że wcale nie było tak źle. W zdecydowanej większości przypadków byliśmy w stanie spełnić wymagania dotyczące suwerenności cyfrowej, bez konieczności sięgania po specyficzne czy niestandardowe rozwiązania technologiczne. Było to możliwe m.in. dzięki takim rozwiązaniom jak regiony (geograficznie odizolowane obszary, w których znajdują się centra danych – red.).

Kilka lat temu na terenie Polski pojawił się pierwszy region chmury publicznej, Google Cloud.

Tak, mieliśmy już więc możliwość zapewnienia rezydencji danych w Polsce. Jednak pojawiło się zaskoczenie – gdy region ruszył w Warszawie, okazało się, że dla wielu podmiotów lokalizacja nie była kluczowa. Wystarczała im rezydencja danych na terenie UE. Natomiast pojawienie się tego regionu w Polsce spowodowało, że firmy zainteresowane usługami chmurowymi zaczęły zwracać uwagę też na inne aspekty.

Na przykład jakie?

Chociażby związane z ceną. Jeśli jakaś usługa była tańsza na terenie innego kraju UE niż w Polsce, to dla wielu podmiotów nie stanowiło to problemu. Ważne było dla nich przede wszystkim, żeby dane znajdowały się na terenie Unii Europejskiej.

Jakie były kolejne kroki w rozwoju chmury w Polsce?

Rozwój usług chmurowych jest mocno powiązany z regulacjami. Spójrzmy na przykład, jak przebiegało wdrożenie rozwiązań chmurowych w sektorach, które były najbardziej regulowane i najbardziej konserwatywne w korzystaniu z takich usług. To właśnie tam widać wyraźnie, jak silny wpływ miały ówczesne regulacje prawne. Weźmy pod uwagę pierwszy komunikat Komisji Nadzoru Finansowego dotyczący chmury. Wiele elementów nie było tam jednoznacznie zabronionych, lecz pozostawiono je do oceny na zasadzie analizy ryzyka. To był etap, kiedy instytucje mówiły: „Mamy zerową akceptację ryzyka. Nie dopuszczamy żadnych niepewności. Musimy mieć pełną gwarancję, że wszystko, co robimy, jest absolutnie zgodnie z regulacjami.” Teraz klienci, decydując się na rozwiązania chmurowe, są świadomi, że zarówno pod względem kontraktowym, jak i technologicznym mogą zapewnić sobie suwerenność cyfrową. Choć oczywiście istnieją obszary, dla których chmura publiczna nie będzie odpowiednia.

Jakie?

Na przykład związane ze zbrojeniami, wojskiem czy wywiadem.

Jakie tam są rozwiązania?

W takich przypadkach jesteśmy w stanie dostarczyć rozwiązania całkowicie odłączone od sieci publicznych, w tym także od operatorów takich jak Google, a jednocześnie umożliwiamy pełne korzystanie z technologii chmurowej. Określamy tego typu rozwiązania mianem „air-gapped”

Jak znaleźć złoty środek pomiędzy regulacjami, bezpieczeństwem danych i ochroną prywatności a wolnością gospodarczą i rozwojem technologii? Europa jest pod tym względem bardziej restrykcyjna niż USA czy Chiny. Jakie są tego implikacje, czy to nie hamuje rozwoju innowacji?

To bardzo ciekawe zagadnienie. Odpowiadając na nie, mam zawsze założone trzy „czapki”. Pierwsza to perspektywa obywatela. Druga – pracownika big techu. I trzecia – inżyniera. Muszę je ze sobą pogodzić, aby nie dostać mentalnego paraliżu, a patrząc szerzej, podobna zgoda jest konieczna dla znalezienia złotego środka w Europie – zachować adekwatny, wysoki poziom ochrony danych i prywatności, który jako obywatel uważam za duży postęp cywilizacyjny, ale z drugiej strony nie sparaliżować innowacyjności i nie zamknąć się na nowoczesne technologie, pozostając w tyle wobec krajów, które tych regulacji nie mają lub mają ich mniej.

Na przykład Chiny?

Tamtejsze podejście jest zupełnie inne. Pytanie jednak, czy na pewno chcemy konkurować w ten sposób? Osobiście wydaje mi się, że niekoniecznie. Natomiast ryzyko związane z nowymi technologiami jest bardzo duże i w wielu obszarach staje się coraz większym wyzwaniem. Weźmy na przykład AI i cyberbezpieczeństwo. My, jako dostawcy usług, stosujemy AI, aby wzmocnić nasze możliwości obronne. Jest to bardzo ważne, ponieważ istnieje coś takiego jak paradoks obrońcy.

Na czym on polega?

Gdy ktoś mnie atakuje, wystarczy, że będzie skuteczny tylko raz. Natomiast ja, jako obrońca, muszę być skuteczny cały czas, 24 godziny na dobę, przez siedem dni w tygodniu. Dlatego potrzebujemy AI. Z jednej strony mamy regulacje, z drugiej napastników, motywowanych finansowo lub wspieranych przez wrogie mocarstwa. Napastnicy tych ograniczeń nie mają. Jeśli znajdziemy się w sytuacji, w której regulacje uniemożliwią nam rozwijanie innowacji na poziomie porównywalnym z tym, którym dysponują nasi adwersarze, to pojawi się poważny problem.

Jak wyglądają statystyki, jeśli chodzi o cyberataki – czy ich liczba, skala i złożoność cały czas rosną?

Tak. Ten trend się utrzymuje. Cyberprzestępczość stała się sposobem na dywersyfikację źródeł dochodu przestępców. Do tego dochodzi szpiegostwo przemysłowe i działania dezinformacyjne prowadzone między innymi przez „wielką czwórkę” (Rosja, Chiny, Iran i Korea Północna – red.), czyli państwa aktywne po stronie ofensywnej.

Jakie trendy widać w zakresie wykorzystania AI w cyberatakach?

Przestępcy używają tej technologii, aby skalować swoje działania i podnosić ich skuteczność w obszarach takich jak np. phishing. Na razie nie obserwujemy przełomowych technik ataku, wykorzystujących modele z komponentem AI. Dzieje się tak między innymi dlatego, że wypuszczając nasze modele, integrujemy w nich wiele zabezpieczeń, mających na celu uniemożliwienie ich wykorzystania przez przestępców. Jeśli jednak takie próby zaobserwujemy (np. zauważyliśmy, że podmioty z Iranu wybrały Gemini jako narzędzie), natychmiast reagujemy, wyłapujemy je i blokujemy.

Spójrzmy jeszcze szeroko na rynek nowych technologii. Jakich trendów można się spodziewać, gdzie będziemy za kilka lat?

Sytuacja zmienia się tak szybko, że nie sposób przewidzieć, co będzie za kilka lat. Natomiast możemy mówić o tym, jakie są trendy teraz. Na pewno widzimy wzrost popularności wykorzystania agentów AI.

Na czym polega ta technologia?

Ujmując w uproszczeniu: mamy człowieka, który ma wykonać pewne zadanie i jest ono realizowane poprzez modele AI, które nie tylko ze sobą rozmawiają, ale mają też dostęp do narzędzi, którymi mogą delegować wykonanie tej pracy. Czyli na przykład zadaję pytanie, a dany model zna się na cyberbezpieczeństwie, ale nie zna się na taktykach związanych z dezinformacją. Pyta więc drugi model który specjalizuje się w takich taktykach. Drugi model przekazuje odpowiednią informację pierwszemu, a ten udziela nam odpowiedzi.

Rozwój tej technologii ma również istotne znaczenie w kontekście braków kadrowych i zmian, jakie obserwujemy na rynku pracy. Coraz bardziej przechodzimy od poszukiwania osób z konkretnymi umiejętnościami do takich, które mają odpowiedni „mindset” (sposób myślenia – red.).

W ostatnim czasie dużo się mówi o technologii kwantowej. Czy ona również jest wśród obserwowanych obecnie trendów, m.in. w cyberbezpieczeństwie?

Kryptografia postkwantowa (odporna na ataki kwantowe – red.) budzi dużo emocji. Jesteśmy na nią przygotowani. To również dobrze pokazuje, jakie są plusy technologii chmurowych. Jeśli siedzimy w swoich serwerowniach i pojawia się coś takiego jak kryptografia postkwantowa, to jesteśmy zdani tylko na siebie. Natomiast w chmurze kilkuset ekspertów Google pracuje nad tym, żeby zapewnić bezpieczeństwo mechanizmów kryptograficznych w sposób ciągły. Dla nas to nie jest przyszłość, ale rzeczywistość, z którą mierzymy się od co najmniej dwóch lat.

Wróćmy jeszcze do chmury. Czy firmy i instytucje nadal boją się chmury, czy jest już ona standardem? Zawsze było sporo pytań dotyczących tej technologii.

To nadal nie jest jednoznaczne. Część firm wciąż ma obawy, ale widać wyraźnie, że chmura stała się już standardem. Zarówno w rozwiązaniach on-premise, jak i w chmurze można popełniać błędy i doprowadzić do incydentu. Różnica polega na tym, że w chmurze do dyspozycji mamy duży potencjał intelektualny i technologiczny po stronie dostawcy. Wydaje się, że globalna dyskusja o tym, czy chmura się przyjmie, już się skończyła. Chmura po prostu jest. Stała się powszechnym narzędziem, a klienci wiedzą, po co i jak z niej skorzystać. Trudno wyobrazić sobie rozwój technologiczny bez chmury. Zastanówmy się nad tym, czy komukolwiek udało się zrobić duży projekt z elementami generatywnej AI w modelu on-premise? Nie. To chmura jest dziś fundamentem innowacji.