5G, kunstig intelligens og tingenes internett er fremtiden

Illustrasjonsbilde.

Når vi nå er i en ny industriell revolusjon må vi ta med oss prinsippene om forsvarbar IKT. Kunstig intelligens (AI), maskinlæring og automatisering byr på nye sikkerhetsmessige og etiske problemstillinger. Vi må forstå konsekvensene og muligheter, for AI, maskinlæring og automatisering kan ikke velges bort.

Omfanget, dynamikken, hastigheten og kompleksiteten i den nye digitale infrastrukturen som understøtter onlinesamfunnet er for stor til at vi kan klare oss uten hjelp av denne teknologien. Ny teknologi og automatisering vil være avgjørende både for å styre og levere elektronisk kommunikasjon til online-samfunnet, og for å understøtte sikring, sikkerhetsovervåking og hendelsesrespons på en måte som skalerer med endringstakt og volum.

5G

Selv om 5G bare er én av flere teknologikomponenter og bærere av elektronisk kommunikasjon, vil femte generasjon mobilnett være en svært viktig faktor for å muliggjøre og understøtte online-samfunnet. Selv om raskere og mer responsiv mobildata kan være noe av det første den enkelte merker fra introduksjonen av 5G, handler ikke teknologien bare om ”mer av det samme”. 5G gir oss helt nye muligheter til ressursstyring, integrasjon og tilpasning av mobilnettet for å kunne tilby online-samfunnet relevante og sikre tjenester. 

Det er stort fokus på sikkerheten i 5G-nettene. Det er en god ting. Det som imidlertid stimulerer til sikkerhetsdebatt i forbindelse med innføring av 5G-nett er ikke teknologien i seg selv, men den på sikt dramatisk mye bredere, omfattende og konsekvensbærende anvendelsen av teknologien. Anvendelsen av teknologien tar sikkerhetsbehovet – det vil si behovet for tilgjengelighet, integritet og konfidensialitet – til et helt nytt nivå. Som ved all ny teknologi vil vi over tid finne sårbarheter og sikkerhetsmessige utfordringer som må løses, men 5G-standarden gir oss en sikrere mobilteknologi enn vi noensinne har hatt. Det er et godt utgangspunkt for å understøtte online-samfunnet med nødvendig elektronisk kommunikasjon. 

Det er grunn til å mane til risikovurdering og ansvarlig bruk av elektronisk kommunikasjon. Enten du er privatperson, virksomhet eller offentlig etat, må du selv ta ansvar for hvilke risikoreduserende tiltak som er nødvendig. Redundans, failover, backup, alternative kommunikasjonsløsninger, handlingsplaner og uavhengig kryptering kan være relevante vurderingspunkter i så måte.

Digital Sikkerhet

Tingenes Internett (IoT)

De senere års utvikling i IoT-angrep, og angrep med utgangspunkt i kompromitterte IoT-enheter har blant annet vist at det er et misforhold mellom individets og samfunnets risikoappetitt, og et manglende sammenfall mellom den som tar beslutninger, risikoforståelse og risikoeierskap. For mange ble dette første gang tydelig gjennom Mirai-botnettet: Forbrukerne som fikk sine webkameraer og videoopptakere kompromittert hadde ingen incentiver til å ta aksjon, siden enheten fortsatt syntes å virke. 

Det er god sikkerhetspraksis å minimere eksponeringen av en datamaskin eller tjeneste. Da reduseres risikoen for at en sårbarhet blir funnet og utnyttet. Det er det vi på fagspråket kaller å «redusere angrepsflaten». 

Det er lett å henfalle til WiFi og eksponering på Internett, men er IoT-enheten synlig for alle på Internett, er det mange som kan finne den og utnytte eventuelle sårbarheter. Som privatperson har du kanskje allerede kjøpt IoT-enheter som er tilkoblet hjemmenettet. Det kan være lurt å sette IoT-enheter på et eget nett, adskilt fra de «vanlige» datamaskinene og hverandre. Telenor Norges rutere lar deg sette opp flere gjestenett som kan brukes til dette formålet, med mulighet for «station isolation» for å skille enheter på samme nett. Det kan også være lurt å skru av «Universal Plug and Play» (UPnP), som ellers lar enheter automatisk eksponere seg ut, gjennom ruteren. For virksomheter og tilbydere av IoT-tjenester gir mobilnettbasert maskinkommunikasjon over «NB-IoT» og «LTE-MTC» ikke bare mobilitet og den samme gode dekningen som i mobilnettet for øvrig, men også en mulighet til skjermet forbindelse mellom IoT-enhetene og sentrale systemer uten å eksponere mot Internett.

Når godt sikkerhetsdesign, herding og sikkerhetsmessig forvaltning gjennom livsløpet er ivaretatt, gjenstår sikkerhetsovervåking. Virksomheter som bruker IoT og tilbydere av IoT-baserte tjenester kan ikke se bort fra dette. Tradisjonelt baserer imidlertid sikkerhetsovervåkning av «vanlige» datamaskiner seg på både maskindata (logg), sikkerhetsprogramvare installert på maskinen og trafikkdata. Mange IoTenheter har begrensede muligheter til installasjon av tilleggsprogrammer eller intens logging. Da blir sikkerhetsovervåkning av trafikken desto viktigere.

Digital Sikkerhet

Selv om mange produsenter etter hvert vil ta inn over seg dette, tror vi likevel at litt hjelp fra myndighetene må til. I Europa danner den nylig vedtatte EU Cybersecurity Act et grunnlag for regulering, der det europeiske nett- og informasjonssikkerhetsbyrået ENISA er gitt i oppdrag å ta frem frivillige sertifiserings- og merkeordninger for konsument-IoT. Forutsatt at kundene foretrekker sertifiserte produkter, kan dette ha god effekt. 

I Norge har Nasjonal kommunikasjonsmyndighet (Nkom) relativt nylig publisert sin rapport «På vei mot et IoT-samfunn», der det blant annet fremgår at EU etter påtrykk fra medlemsstatene har satt i gang en reguleringsprosess med tanke på å sette krav for å styrke sikkerheten i utstyr som er koplet mot Internett. I rapporten heter det: «Foreløpig utredes problemområdet og grunnlaget for regulering. En ferdig konsekvensanalyse er forventet å foreligge i tredje kvartal 2019». 

Vi tror ikke at utfordringene knyttet til IoT-enheter med mangelfull sikkerhet kan løses ved å kriminalisere eller forsøke å hindre innførsel, tilvirkning og/eller besittelse av komponenter som kan koples til Internett uten dokumentert samsvar med sikkerhetskrav. Lovgivning på tilliggende områder har gjennom de siste årtier snarere beveget seg bort fra slike virkemidler, som uansett har vist seg ineffektive, og over mot å regulere og ansvarliggjøre for bruk og skadevirkning på tredjepart.

Digital Sikkerhet

Kunstig intelligens (AI)

Automatisert adaptiv dataanalyse for beslutningsstøtte plasseres gjerne under det vidtfavnende begrepet «kunstig intelligens» eller «AI», mens mange anvendelser i realiteten dreier seg om «maskinlæring» eller «ML». Enkelt forklart er dette systemer basert på nevrale nettverk som uten å avhenge av eksplisitte instruksjoner kan lære av eller trenes med et datasett, for selv å danne regler for databehandlingen og slik understøtte beslutninger. 

ML bidrar til å realisere datanalyse i en skala som ellers ville vært uhåndterbar, og til mer presis analyse av store og ustrukturerte datasett enn tidligere mulig. Det realiserer også et voldsomt potensiale for effektivisering. Dette skjer gjennom å gi input til automatiserte beslutninger som utøves i den fysiske verden. Selvkjørende biler er et illustrerende eksempel på et slikt system, der svært store og komplekse mengder sensorinformasjon behandles på kort tid og resulterer i styringssignaler til bilen, og der behandlingen dynamisk, på både kort og lang sikt, tilpasser seg eksterne faktorer som sjåførens kjørestil, vær, føreforhold, særlige stedbundne forhold med mer. 

I samspill med IoT, er ML og AI i ferd med å gjøre sitt inntog i absolutt alle deler av samfunnet og hverdagen vår. Ditt neste jobbintervju kan være med en AI-drevet robot og din neste lånesøknad blir trolig automatisk behandlet av en kunstig intelligens. 

Modellene som dannes av maskinlæring er så komplekse at det overstiger menneskelig kognitiv evne og mulighet for ressurseffektiv ettergåelse. Vår manglende evne til å knytte et utfall av en analyse til årsaker kan, avhengig av anvendelsen, blant annet gi etiske og rettssikkerhetsmessige utfordringer. Når virksomheter eller det offentlige treffer beslutninger som påvirker oss, for eksempel økonomisk, emosjonelt eller rettslig, forventer vi å kunne få forklart hvorfor utfallet ble som det ble og hva som var grunnlaget. For beslutninger tatt av selvlærende nevrale nettverk i et ML-system, basert på enorme mengder forskjelligartet informasjon i kontinuerlig endring etter hvert som nettverket lærer mer ut fra nye data, blir det vanskelig å gi gode svar på slike spørsmål. 

Det opprinnelige datagrunnlaget og treningen av ML-systemet kan manifestere skjevheter og fordommer som blir innarbeidet i systemets modell. Det finnes dokumenterte eksempler på slik skjevhet i AI-systemer for risikovurdering i det amerikanske rettssystemet, der maskingenererte risikovurderinger med avgjørende konsekvens for fengsling, straffeutmåling, prøveløslatelse og kausjon er påvist å ha rasistiske skjevheter. Da Microsoft lanserte den AI-drevne Twitter-kontoen «Tay» som skulle føre en sivilisert samtale basert på hva hun mottok av innkommende meldinger, tok det under et døgn før hun måtte tas av nett på grunn av stadig mer fordomsfulle og hatefulle ytringer – tillært på grunnlag av observasjonene hun gjorde. 

Fra et sikkerhetsperspektiv gir automatisering ved hjelp av maskinlæring også ny angrepsflate. I forhold til telekommunikasjon er det for eksempel demonstrert hvordan selvoptimaliserende funksjoner i mobilnett der signalrapportering fra telefonene er del av beslutningsgrunnlaget, kan angripes gjennom å sende manipulerte signalrapporter til nettet slik at det tilpasser basestasjonenes utstråling i tråd med angriperens ønsker. Dette omtales generelt som bevisst «poisoning» (forgiftning) av input, som både kan ha til mål å oppnå en kortsiktig direkte effekt gjennom automasjonen, eller mer langsiktig påvirke det selvlærende systemet til å endre sine beslutningsmodeller. Microsofts «Tay» ble utsatt for slik bevisst påvirkning.

Digital Sikkerhet

Det ligger også etiske utfordringer i kombinasjonen av komplekse, selvlærende og begrenset etterprøvbare modeller og automasjon. Tar vi igjen selvkjørende biler som eksempel, har flere problematisert scenarier der bilen må velge mellom tap av liv med tankeeksperimenter som:

«Hvis det er for kort avstand til at den selvkjørende bilen klarer å bremse og alternativene står mellom å kjøre på en fotgjenger med barnevogn eller styre bilen i en fjellvegg, begge med sannsynlig dødelig utgang for den som rammes, hva bør bilen velge?»
«Stiller det seg annerledes hvis fotgjengeren er aldrende?»
«Blir valget et annet hvis det er flere i bilen?»
Mange andre sannsynlige anvendelsesområder byr på lignende etiske dilemmaer.

Beslektet med utfordringene rundt hva som er etisk «riktig», har vi også juridiske utfordringer. Hvem er ansvarlig for utfallet og beslutningen som ble tatt av den selvkjørende bilen i eksempelet over? Føreren, til tross for at bilen reagerer før føreren ser situasjonen? Bilprodusenten? Leverandøren av den opprinnelige modellen og treningen?

Forskjellige verdisyn basert blant annet på forskjelligartet kultur, livssyn, religion, styresett, kompliserer dette ytterligere. Forskjellige verdisyn innebærer forskjellig vurdering av etiske dilemmaer og avveininger; kanskje spesielt i de mest alvorlige beslutningene som påvirker rettssikkerhet, personlig frihet og tap av menneskeliv. For et AI-system kan det være avgjørende hvilket verdisett som var gjeldende der og da systemet ble utviklet og trent opp, og hvilke input som understøtter den videre læringen, og derav lokale beslutninger.

AI, maskinlæring og automatisering fører til at vi i nær fremtid får både sikkerhetsmessige og etiske problemstillinger å hanskes med. Dette krever refleksjon og ansvarlighet i beslutninger om bruk, der også risiko for tredjepart og risiko på lengre sikt tas i betraktning. Det trengs også regulering som evner å ligge i forkant av teknologianvendelsen snarere enn i etterkant slik tilfellet er nå. Sist, men ikke minst, kreves god samhandling på tvers av myndigheter og virksomheter, nasjonalt så vel som globalt.

Les neste artikkel Slik angriper de