Podcast: RSA 2025 za hvatanje sa usaglašenjem AI, uredbom SAD-a i EU

Što mislite, što će biti ključne teme koje utječu na usklađenost i pohranu podataka, sigurnosnu kopiju itd. Na ovogodišnjem RSA događaju?

Uvijek se radujem odlasku u RSA da bih saznao o novim tehnologijama i da mi prstom na pulsima uhvatim ono što se događa u skladištenju i usklađenosti, te bilo kakvim povezanim temama za saglasnost. Ove godine se čini da ćemo vidjeti puno predmeta oko AI – AI tehnologije, ali sigurnost samog AI-a, za razliku od samo tehnologija koje su omogućile AI.

Puno je govora o kvantnom i post-kvantnom, tako da će biti zanimljivo vidjeti šta se tamo događa.

A iz perspektive skladištenja vidimo neke promjene zbog nove administracije u SAD-u, a na ono što se radi u EU s EU Zakonom o AI-u na AI koji utječe na klasifikaciju podataka i pohranu podataka.

Bit će zanimljivo vidjeti sve što se okuplja zajedno u RSA.

Mislim da ćemo imati nekoliko vrlo zanimljivih razgovora i očekujem da će neki novi dobavljači izaći iz šume, da tako govore.

Bušenje u neke od aspekata koje ste tamo spomenuli, šta mislite, što su ključna područja u kojima je AI prešao u protekloj godini u pogledu kako to utječe na poštivanje organizacija?

Moj pogled je da je AI bila buzzword prošle godine. Svi su trebali pogledati u AI da pokušaju razumjeti kako to može poboljšati svoje procese, poboljšati kako koriste podatke i tako dalje.

Godinu dana, vidimo da je puno organizacija provela vlastite verzije Chatgpt-a, a neke su od njih uložile u vlastite AI platforme kako bi ga mogli malo bolje kontrolirati.

I tako, viđamo da je usvajanje AI-a.

Ono što vidimo na tržištu su ljudi koji gledaju: “Kakve podatke mogu koristiti AI? Kako to utječe na moju klasifikaciju podataka, moju zaštitu podataka, upravljanje podacima?”

Vidimo i niz sigurnosnih udruženja koji započinju vlastitim radnim grupama AI. Zapravo, na Vigetrust, sa Globalnim savetodavnim odborom Vigetrust, imamo i radnu grupu AI Uprave u kojoj pokušavamo preslikati sve propise koji izlaze koji upravljaju Ai, da li ih upravljaju dobavljačima ili udruženjima ili čak vlade.

Bit će zanimljivo vidjeti koliko je ai upravljanja pokriveno na RSA. Ako želite raditi AI upravljanje, morate znati koji vrstu podataka koji upravljate, i vraćamo se na klasifikaciju podataka i zaštitu podataka.

Drugi problem sa AI je da stvara puno novih podataka, tako da imamo ovu eksploziju podataka. Gdje ćemo ga pohraniti? Kako ćemo ga pohraniti? I koliko će biti siguran da će to skladištenje biti? A onda, konačno, hoće li mi to omogućiti da pokažem u skladu sa važećim propisima i okvirima? Bit će zanimljivo shvatiti šta izlazi iz RSA na tom frontu.

Što mislite, što su utjecaji nove administracije u SAD-u o usklađenosti i skladištenju i sigurnosnim kopijama itd.?

Nova administracija u SAD-u, od početka, rekla je da će uložiti u AI i da je Ai vidio kao sjajnu priliku za SAD. I u smislu raspoređivanja svega toga, znamo da će se upravljački okviri koji se već navozi.

Mi viđamo organizacije poput NIST-a razvijajući više detaljnije AI okvire. Također vidimo i savez za sigurnost u oblaku koji se kreće prema vlastitim okvirima upravljanja AI. Čak smo vidjeli gradove koji razvijaju vlastiti AI okviri za pametne gradove i tako dalje. Trenutno razmišljam o gradu Bostonu, iz nekog razloga.

I tako, ako imate vladu koja gura organizacije da koriste Ai, oni će htjeti imati neko upravljanje o tome. I biće zanimljivo vidjeti koliko daleko odlaze. Hoće li odgovoriti s ekvivalentom AI AI-a? Vjerovatno je, jer ako pogledate GDPR [the General Data Protection Regulation] U Evropi, nekoliko godina kasnije imali smo CCPA [the California Consumer Privacy Act] I imali smo neke državne propise u ovoj fazi – mislim da 11 država u SAD-u koje imaju nešto slično GDPR-u.

Dakle, vrlo je vjerovatno da će to slijediti. Neće se dogoditi preko noći, ali mislim da će nekoliko daljnjih najava biti donesena 2025. godine po trenutnoj administraciji.

Šta je najnovije sa EU i poštivanjem? Posebno u vezi s najnovijim dostignućima oko AI, itd.?

Znate da je smiješno, u EU, AI se vidi kao prijetnja jednako koliko se vidi kao prilika, mnogo više nego u SAD-u, potencijalno jer je apetit za rizik malo manje vidljiv u Europi.

Vidimo svaku državu članicu kako gleda vlastiti AI uredbu pored EU okvira. Takođe gledamo kako se AI integrira sa GDPR-om. I tako, drugim riječima, ako implementirate AI rješenja, potpuno mijenjate upravljanje podacima.

Završavate podatke koji su u osnovi upravljaju sistem, a ne upravljaju različitim ljudima. Dakle, koncept kontrolera podataka i koji je zaista zadužen za podatke, ponovno postavlja upit.

Mislim da je zanimljivo vidjeti razne vlade koje gledaju: “Možemo li zaista rasporediti AI na način koji nas ne stavlja iz poštivanja GDPR-a?”

Vratim se na dva ključna aspekta – klasificiranje podataka i pohranu podataka.

Kao što znate, sa AI, imate to pitanje pristranosti na podacima. Jesu li podaci tretirani na pravi način? Da li su podaci koje ste stavili – onda se tretira AI, izlazi – da li vas to stavlja u skladu s drugim okvirima poput GDPR-a, pa čak i EU-a? I gdje trebate pohraniti taj podatke? Kakva bi zaštita trebala imati na njemu? Kako upravljate životnim ciklusom tih podataka u okviru AI? Kako štitite svoj llm [large language model]? Kako štitite algoritme koje koristite?

A onda napokon, kao što verovatno znate, AI je vrlo intenzivan za resurse. To također ima utjecaj na klimu, jer više koristite AI u ovom trenutku, što vam je potreban kapacitet, a veća moć postupka. I to ima utjecaj na zelenu i tako dalje.

Dakle, pozivao bih ljude da pogledaju vrstu podataka koje žele koristiti za AI, uraditi analizu rizika, a zatim pogledajte utjecaj u smislu: Gdje ćete pohraniti taj podatke? Ko će ga pohraniti za vas? Koliko će biti sigurno? I kako će to utjecati na vašu usklađenost, ne samo s Uredbom AI, već i sa GDPR i drugim okvirima privatnosti?