Jól költünk?

Kis pénz – kis foci. Nagy pénz – nagy foci?

Régi jó mondás, van is benne igazság, de az informatikai biztonság területén félrevezető. Rengeteg pénzt elköltő, mindenféle minősítésekkel büszkélkedő óriási cégeket és szervezeteket érnek nagyon komoly hatással járó támadások. Mi lehet a baj? Keressünk válaszokat!

Az IDC informatikai biztonsági konferenciáján (2019. március 28., Budapest, New York Palota) Bakk József (az IDC magyarországi vezetője) tartotta a nyitó előadást.

Jól felépített, informatív előadás volt, találtam benne fontos tényeket, állításokat. Lássunk néhányat!

Az első fontos szám: 2018-ban 1,5 billió (amerikaiul: trillion) dollár bevétel származott informatikai támadásokból. Ez nem a kár, hanem a bevétel összege! A kár ennek sokszorosa lehetett, hiszen a károsult üzleti vesztesége, a helyreállítás költsége nem jelenik meg a támadó bevételeként.

Fontos szempont, hogy új fókuszra van szükség. Ne a prevenció, a támadás megelőzése legyen az elsődleges cél, hanem az üzleti működés biztosítása. Úgy gondolom, hogy ez egy nagyon fontos megállapítás! Az informatikai biztonság – mint minden háttérterület – valódi feladata a cég üzleti céljainak támogatása, azok elérésének elősegítése. A megelőzés természetesen nagyon fontos, de tudjuk, hogy a 100%-os szintje elérhetetlen. Vagyis, számíthatunk arra, hogy lesz sikeres támadás. Ennek a hatását kell olyan szinten tartani, hogy az üzletmenet folytonos legyen. Az ezzel kapcsolatos követelmények iparáganként és üzleti területenként mások és mások, meghatározásuk az üzleti, a kockázatkezelési és az informatikai terület közös felelőssége. Nem akarom azt mondani, hogy a gyors észlelés, majd a gyors elhárítás nem nagyon fontos. DE: sajnos tény, hogy a támadások jelentős része esetében az észlelésig hónapok telnek el.

Verizon: 2018 Data Breach Investigations Report

Ebből az is következik, hogy másképp kell értékelni a célokat és az eredményeket, vagyis új üzleti mérőszámok, új KPI-ok kellenek! Üzleti szempontból nem annak van elsődleges fontossága, hogy mennyi idő alatt észlelünk és hárítunk el egy támadást, hanem a támadás és a védekezés együttes üzleti hatása számít. Természetesen, az észlelés és az elhárítás időigénye ebben szerepet játszik.

Az IDC sok kutatást végez. Ezek közül az egyikben azt is vizsgálták, hogy az informatikai biztonsági költések és az eredmények között milyen a kapcsolat. Ha többet költünk, csökken az incidensek száma? Nincs egyértelmű korreláció. Az igaz, hogy a ráfordítások növelése általában valamilyen mértékben javítja a biztonságot, de nagy a szórás (ahogy az ábrán is látható).

Most általában az előírásoknak való megfelelés az első szempont. A jogi megfelelőség (compliance) követelménye revolverezi a cég vezetőit és az informatikai biztonsági szakterületet.

Úgy gondolom, hogy ez nem tud megváltozni, amíg a büntetés az elsődleges megközelítés a hatóság részéről. A meg nem felelés majdnem biztosan üzleti kárt okoz, így el kell kerülni “minden áron”. Ez a minden ár most a GDPR (EU-s általános adatvédelmi rendelet) miatt sokkal-sokkal nagyobb lett, mert a büntetés mértéke és valószínűsége is megnőtt. A következő évek mutatják majd meg, hogy összességében javul-e a helyzet ennek hatására, vagy esetleg éppen romlik.

Az informatikai biztonságba való befektetésre mi készteti a cégeket? A kiváltó ok többnyire:

  • Külső kényszer (például hatósági előírás vagy vizsgálat)
  • Incidens történt

Mi lehet ennek az oka? Itt eszembe jutott a néhány évvel ezelőtt a bankszférából hallott megállapítás, panasz, hogy majdnem minden fejlesztési erőforrásukat elviszi az újabb és újabb előírásoknak való megfelelés (Braun Péter, CIO Hungary konferencia, 2014., és akkor még nem is volt GDPR és PSD2). Úgy vélem, hogy a helyzet mostanában is hasonló, és nem csak a pénzintézetekben. Jelentős mértékben jogszabályoknak való megfelelés a célja a fejlesztéseknek. Ezzel nem akarom azt mondani, hogy a GDPR vagy a PSD2 hibás vagy felesleges lenne, de az tény, hogy sok időt, pénzt és szakembert kötnek le. Így másra nem sok erő marad.

Amikor bekövetkezik egy súlyos probléma, hirtelen szükséges és indokolt lesz erőforrást biztosítani a helyzet kezelésére és az ismételt bekövetkezése megakadályozására. Ez jó és kötelező is. Mi vele a gond? Így mindig az események után kullogunk, valójában sose nyerhetünk.

Ideális esetben – ahogy fent írtam – a támadás előtt kell felkészülnünk arra, hogy az ne tudjon üzletileg súlyos problémát okozni. Ehhez “nyugodt” tervezési időszakok is kellenek.

Ahogy ezt tanítjuk is, az informatikai szolgáltatás biztonsága a tervezés során dől el. Utána már csak foltozgatunk, loholunk az események után. A gyakorlatban sajnos ez utóbbi történik, egyre-másra jönnek a foltozgató javítások, majd a foltokra teszünk foltokat. Ez az eredményt tekintve gyenge, a költsége viszont magas.

A való életben általában azzal a helyzettel találkozunk, hogy a cégnek meglévő, egymással bonyolult kapcsolatrendszerben lévő informatikai rendszerei vannak. Az alábbi táblázatban foglalja össze az IDC az informatikai szervezetnek szóló útmutatásait. Látszik, hogy vannak elkerülhetetlen fázisok, nem lehet a nulláról az optimális megoldásra ugrani egy lépésben. A mérőszámoknak üzleti alapon kell állniuk, és tükrözniük kell a cég kockázatvállalási hajlandóságát is. A tevékenységünk minőségének és eredményeinek megítélésénél figyelembe kell venni az iparág, az üzleti területek, igényeit, lehetőségeit és általános helyzetét is.

Megjegyzés: A cikket Bakk József előadása ösztönözte. A tőle átvett gondolatokat dőlt betűvel szedtem. Ahol az illusztráció forrását nem jelöltem meg, az is ebből az előadásból származik. Köszönöm a felhasználás lehetőségét!

Munkába állt az okos gép

Mit csinál a mesterséges intelligencia és a folyamatautomatizálás a munkahelyen?

man-vs-robotSokat hallunk a mesterséges intelligenciáról, jót is, rosszat is, biztatót is, aggasztót és fenyegetőt is. Az biztos, hogy a robotok és a mesterséges intelligencia terjedő alkalmazása meg fogja változtatni az életünket, de a hatásairól nagyon eltérő, sőt ellentétes véleményük van a szakértőknek. Én nem vagyok szakértő, ezért meg engedhetem magamnak azt a luxust, hogy magammal se értsek egyet.

A sok ellentétes vélemény mind a múlt példáin alapszik, csak éppen más és más módon alkalmazzák a történelmet a jövőre.

A mesterséges intelligencia bizonyos, nagyon korlátozott gyakorlati megvalósításai több évtizede léteznek már, de az utóbbi években hirtelen megsokszorozódott a számuk. Ehhez a számítási teljesítmény, a tárolási kapacitás és a hálózati sebességek növekedése is szükséges volt.

Mi mindent nevezünk manapság mesterséges intelligenciának? Elég sok mindent! A gyorsan keletkező, gyakran változó és óriási mennyiségű adatok villámgyors elemzése és annak alapján döntési javaslatok készítése az egyik ilyen terület. Itt valójában “csak” arról van szó, hogy az embernél sokkal-sokkal gyorsabban tudja a gép az információt feldolgozni, sőt olyan sok és sokrétű információval is megbirkózik, amire az ember sose lenne képes. Ezt még nem nevezném igazi intelligenciának, de nagy segítséget jelent az élet sok területén.

Ha a gép már tanulni is képes, akkor már közeledünk az intelligenciához. Mit jelent az, hogy tanulni képes? Nem mondjuk meg neki (programozzuk bele) az elvégzendő munka lépéseit, hanem megmutatjuk neki. Amikor a pénzügyi osztályon végzendő munkát veszi át, pontosan ez történik. A gép megfigyeli, hogy az emberek mit csinálnak a számlákkal, banki utalásokkal, hogyan készítenek kimutatásokat, és utánozza őket. A szokásos, ismétlődő feladatokat gyorsan elsajátítja, a szokatlan, kivételes esetekben a humán kollégákhoz fordul. Azután apránként azokat a helyzeteket is megtanulja kezelni. Van más módszer is. Jutalmazással is lehet tanítani a gépet. Kap megoldandó feladatokat, hozzájuk alapvető szabályokat, majd megoldja őket, és dicséretet kap, amikor sikeres. Így lehet olyan tevékenységekre megtanítani, amiket nem tudunk algoritmusokkal lépésről lépésre leírni. A GO játékot, ami a sakknál sokkal bonyolultabb, úgy tanulja meg a gép, hogy akár milliárdnyi játszmát is lejátszik saját maga ellen. A végén olyan ügyes lesz, hogy a világ legjobb bajnokait is legyőzi.

Mit jelent a tanulni képes gép megjelenése a munkaerő, az emberi munka számára? Azon a fázison már túl vagyunk, amikor az egyszerű, ismétlődő fizikai munka egy részét átveszi a gyári összeszerelő robot. Itt egészen másféle munkákról van szó. Egy oxfordi kutató (Shelly Palmer) szerint ez lesz az első 5 munkakör, amit teljes egészében el tudnak majd végezni a gépek (két évtizeden belül):

  • Középvezető
  • Eladó, kereskedő (commodity)
  • Jelentésíró, sportriporter, pénzügyi újságíró
  • Könyvelő
  • Orvos

Meglepetés? A harmadik és főleg a negyedik nem igazi meglepetés, a többin lehet csodálkozni (a cikkben vannak részletek és magyarázatok). Nem tudom, hogy igaza van-e, majd meglátjuk.

A közelmúlt statisztikái azt mutatják, hogy a “középen” elhelyezkedő munkakörök vannak a legnagyobb veszélyben. A szakmunkásokat erősebben érinti a gépesítés, mint a segédmunkásokat. Az egyszerűbb irodai munkák jelentős részét is el tudják végezni a gépek. A nagy tudást vagy ráadásul kreativitást igénylő tevékenységek megmaradnak nekünk. Az előrejelzések szerint ez a tendencia folytatódik a következő években, bár ezzel kapcsolatban kezdenek kétségeim lenni a legújabb fejlemények tükrében.

Az várható, hogy nem teljes munkakörök kerülnek a gépek kezébe, hanem inkább csak azok bizonyos részei, így kevesebb emberi munkaerő kell majd, de valamennyire még egy ideig szükség lesz (amíg a robot nem tudja 100%-osan átvenni a munkánkat).

Több területen láthatunk valódi, működő példákat “fehér galléros” munkák gépesítésére, és vannak komoly elemzéseken alakuló előrejelzések is. Mik ezek a területek? Jogi tanácsadás és beadványok elkészítése, szerződések kockázatelemzése, releváns bizonyítékok kiválogatása, egészségügyi alapellátás, orvosi diagnózis- és terápiajavaslat, kórházi sürgősségi osztályon első szintű döntések meghozatala (triage). Tapasztalatok és tudományos kutatások is alátámasztják azt, hogy a gép ezeken a területeken is képes lehet a legjobb szakemberekkel azonos minőségű munkát végezni – csak éppen sokkal gyorsabban.

Van egy olyan formája a gépek alkalmazásának, amit nem neveznék mesterséges intelligenciának, inkább szellemi betanított munka. Ez az RPA (robotic process automation, folyamatautomatizálás robotokkal), vagyis az a megoldás, amikor a robot (esetleg egy kis mesterséges intelligenciával megspékelve) átveszi az emberek helyét, de úgy, hogy közben nem kell megváltoztatni a vállalati folyamatokat. Ebben az a nagyszerű, hogy a bevezetése egyszerű, akár részlegesen is be lehet vezetni, vagyis ember és robot végezheti egymás mellett ugyanazt a tevékenységet. A “robot” (aminek nincs teste, hanem csak egy szoftver) ugyanaz előtt a képernyő előtt “ül”, ugyanazokat a mezőket olvassa és írja, ugyanazokra a gombokra bök az egérrel, mint a humán ügyintéző.

Az RPA már évek óta használatban van (és sikeres) bankokban és biztosítóknál (magyarországi példa az Allianz). Rengeteg munkaerőt tudnak felszabadítani érdekesebb, alkotó munkára. A jó tapasztalatok következtében sok új projekt is indul az RPA bevezetésére. Amikor megnéztem, az “RPA project manager” keresés 680 eredményt adott (csak Észak-Amerikában) a glassdoor platformon. (Egyes európai országokat is megnéztem, országonként valamivel húsz alatti találat volt.)

Ez a cikk jelentős mértékben azon a kutató munkámon alapszik, amit a 22. Projektmenedzsment Fórumra készülve végeztem 2019 elején, és erősen hasonlít a konferencia kiadványában megjelent írásomra, annak első harmadára.

A témát a jövő héten azzal folytatom, hogy mi lehet a szerepe az “okos” gépnek a projektekben.

Mesterségesen etikus

Mesterségesen etikus és humánus intelligencia. Ez a nagy közös cél. Megvalósul?

Tegnap én voltam az egyik fogás a Hitachi Data Systems üzleti reggelijén, és jó kedvvel, jó étvággyal fogyasztottak a jelenlévők. Szuper társaság jött össze, és inkább beszélgetés, mint előadás volt ez a másfél óra. Úgy láttam, hogy mindenkit érdekelt a téma, az „összekapcsolt mindenség”. Engem is arra ihletett, hogy – az ott megbeszéltekre is támaszkodva – részletesen kifejtsem egy-egy szegletét.

Blogom rendszeres olvasóim és azok, akik figyelik rövidebb írásaimat már tudják, hogy több mint egy éve elkezdtem beleásni magamat a számítási felhő, az internetre kapcsolt eszközök (IoT) és a mesterséges intelligencia egymással való kapcsolatába. Bár nem mindig világos és egyértelmű, hogy mit is értünk ezeken a fogalmakon, nagyjából sejtjük.

A három terület összekapcsolódására már sok példát láttunk, például az autózás, a logisztika és az egészségügy területén. A jövőt ebben a témában sem könnyű megjósolni, de a hivatásos jósok között nagy az egyetértés abban, hogy jelentős fejlemények vannak előttünk, és nem valami távoli jövőben, hanem idén és egy-két éven belül. Nem olyan nagy csoda egy ilyen jóslat, hiszen már elkezdtek megtörténni a jó és a rossz dolgok is. Az útjainkon futnak önmagukat vezető autók, az orvosi diagnosztikában és a gyógyításban is használják a „gondolkodó” gépet és a sok-sok „okos” kütyüt, az informatikai tevékenységek közül rengeteget automatizáltak már, a könyvelésben és a könyvvizsgálatban is egyre terjednek az ilyen megoldások, és megjelentek az emberekkel kommunikáló robotok is.

Ha már robotok: Asimov megalkotta a robotika három törvényét:

  1. A robotnak nem szabad kárt okoznia emberi lényben, vagy tétlenül tűrnie, hogy emberi lény bármilyen kárt szenvedjen.
  2. A robot engedelmeskedni tartozik az emberi lények utasításainak, kivéve, ha ezek az utasítások az első törvény előírásaiba ütköznének.
  3. A robot tartozik saját védelméről gondoskodni, amennyiben ez nem ütközik az első vagy második törvény bármelyikének előírásaiba.

Ha alaposan belegondolunk, már az első törvény is nehéz értelmezési feladatot ad egy robotnak (egy embernek is), de később kiderült, hogy nem is elégséges, mert nem csak az egyes emberre, hanem az emberiségre is gondolni kell. Ezért egészítette ki R. Daneel Olivaw egy nulladik törvénnyel a listát:

0. A robotnak nem szabad kárt okoznia az emberiségben, vagy tétlenül tűrnie, hogy az emberiség bármilyen kárt szenvedjen.

A többi törvényt kiegészítette a nulladik megsértésének tilalmával is. Na, ezt még nehezebb értelmezni, volt robot, amelyiknek az agya le is olvadt miközben a feladat megoldásával küzdött. Olivaw végül tudta értelmezni és alkalmazni ezt az új törvényt, ami miatt kárt is kellett okoznia emberben. (Ő robot volt, de felül tudott emelkedni robot mivoltán az emberiség érdekében.)

Ez „csak” fantasztikus irodalom, de mi van a valóságban? Az eddig megalkotott robotokban, intelligens gépekben vannak ilyen törvények? Rakott beléjük ilyesmit valaki? Ha igen, ki hozta meg a döntést? Lehet olvasni etikai tanácsokról, de egyelőre nem sokat tudunk a működésükről és a döntéseikről (ha voltak olyanok). Közérdeklődésre tarthat számot a Google, hiszen az egyik legnagyobb játékos. Amikor három éve megvette a DeepMind céget, a megállapodás része volt egy ilyen szervezet felállítása, de még ma sem tudjuk, hogy kik a tagjai és csinált-e már valamit. Majd megtudjuk, amikor itt lesz az ideje… Más cégek nyitottabbak, de nem találtam sok konkrétumot.

Azokban az „intelligens” rendszerekben, amikről tudunk, még nincs sok valódi döntés a gép kezében, inkább csak elemzi a lehetőségeket, és a saját véleményével együtt felajánlja a döntést hozó embernek. Persze, az emberi történelemből tudjuk, hogy a szakértők rendszeresen megvezetik a döntéshozókat, így ebben az esetben sem zárhatjuk ki a lehetőséget.

A valódi döntéseket hozó rendszerekre való felkészülés ideje mégis eljött már, és sok okos ember össze is ült januárban, hogy megalkossa a mesterséges intelligencia alapelveit. Nem sikerült nekik az asimovihoz hasonló három-négy pontból álló listát készíteniük, de 23 pontba bele tudtak mindent foglalni, amit fontosnak tartottak. Elolvastam és igyekeztem megérteni az általuk megfogalmazott alapelveket, és egyet tudok érteni velük. Azonban úgy érzem, hogy ez csak óhajok listája, és rengeteg akadálya van annak, hogy teljesüljenek. Egy részükkel „csak” az a baj, hogy még soha, semmilyen technikai fejlesztés esetében nem teljesültek, és – ahogy én látom – a kapitalizmus körülményei között nem is teljesülhetnek. (Arról fogalmam sincs, hogy más társadalmi rendszerben teljesülhetnek-e.)

Mik ezek?

Az első öt pont a kutatás alapelveit szögezi le, közöttük olyanokat, mint a gazdasági, jogi, etikai és társadalomtudományi kutatások finanszírozását; együttműködést, bizalmat és átláthatóságot a kutatásban és a fejlesztésben; a biztonsági szabványok betartását a fejlesztési verseny során. Látott már valaki olyan műszaki fejlesztést, ahol ezeket betartották? Be lehet ezeket tartani?

A többiek hasonlóak, pl.: a jogi döntésekben részt vevő önálló rendszerek adjanak megfelelő és emberek által ellenőrizhető magyarázatot a döntésükre. Ez tényleg jól hangzik, de az egy pillanat alatt meghozott döntést vajon hány ember, hány hétig fogja elemezni, és megérti-e majd? Emlékezzünk arra, hogy a GO játék bajnoka nem értette meg az ellene játszó gép lépését! Az egy primitív masina volt a jövő önállóan gondolkodó és ítéletet hozó robotjához képest.

Hogy értsük azt, hogy az önálló gépnek a céljai és a viselkedése legyenek összhangban az emberi értékekkel? Ki definiálja az „emberi értékeket”? Kinek az értékrendje számít?

Azt írják elő, hogy az egész emberiség javára kell fordítani az előálló eredményeket, és a lehető legtöbb ember előnyére. Igen, valóban így kellene lennie! Hol van az a társadalmi-gazdasági rendszer, amiben bármit is az egész emberiség javára fordítottak?

Az sem lényegtelen kérdés, hogy mi a hierarchia a 23 alapelv között. Ha ütközés van, melyik erősebb? Ez egyáltalán nem lényegtelen kérdés! Már az eredeti három törvény esetében is óriási különbséget okoz a sorrendjük megváltoztatása.

Az a helyzet, hogy nem valami távoli jövőről beszélünk – a mesterséges intelligencia már most történik. Ahogy fent írtam, még csak döntés-előkészítést végez, de abban is nagy hatalom rejlik. Mi fogja vissza a fejlesztők (egy megtévedt fejlesztő) vagy a hekkerek kezét, amikor óriási hatalomhoz és pénzhez juthatnak a döntések befolyásolásával?

Mennyire közeli ez a jövő? Az IDC szerint 2019-re minden internetre kötött (IoT) eszköz mesterséges intelligenciával dolgozik majd. Minden, azaz 100%! Mik lesznek a legnagyobb területek? Orvosi diagnózis és kezelés, minőségmenedzsment a gyárakban. Mindkettőben óriási lehetőségek vannak hatalom és pénz vonatkozásában!

Ahogy ezeket írom, magamban azon töprengek, hogy mit látok rosszul. Tényleg reménytelen ezeknek az elveknek a betartása, vagy valamit nagyon elnéztem? Segítsen ki valaki!