Lokala AI-modeller för att säkerställa regulatorisk efterlevnad
Om du skriver "jag vill köpa en kamera" i valfri sökmotor kommer dina sociala medier snabbt att fyllas med kamerareklam. Låt mig återkomma till det senare i detta blogginlägg.
Digitala underskrifter blir allt mer aktuellt, inte minst inom offentlig förvaltning. Myndigheter, kommuner och företag skapar digitala underskrifter i sina informationsflöden, och det är viktigare än någonsin att dessa uppfyller allt stigande säkerhetskrav. Knowit har utvecklat en systemarkitekturellt elegant och lättintegrerad lösning för digitala underskrifter som heter Signport. Lösningen uppfyller DIGGS tekniska ramverk, vilket skapar långsiktig tillförlitlighet och interoperabilitet (något som tyvärr är ovanligt i e-signatursbranschen).
Nyligen har en ny europeisk standard implemeterats, eIDAS 2. Den grundas på en enorm kravlista som en leverantör ska förhålla sig till för att kvalitetssäkras och godkännas. Knowit måste därmed kunna visa för en ackrediterad revisor att vi och våra lösningar uppfyller nästan 800 krav från fem separata standarder.
Tekniskt sett är det inget problem. Knowit har ett gediget strukturkapital av inarbetade tekniska lösningar, arbetsmetoder och dokumentation. Signport måste ju hålla minst samma tillitsnivå som de funktioner våra kunder använder lösningen till. Hela tanken är att höja säkerhet och tillit, inte sänka den.
För att klara en revision behöver vi emellertid kunna, omedelbart och vid sittande bord, kunna redovisa hur vi uppfyller kraven. Hur processer ser ut, hur lösningar ser ut, från policies ner till kod och hårdvara. Frågeställningen blev då hur vi ska kunna se över en så stor informationsmängd och på ett strukturerat vis redovisa att lösningen uppfyller de närmare 800 kraven.
Vi valde att skicka all programkod till en AI-modell. Dessutom skickade vi in alla policies vi någonsin implementerat, ärendehantering från utvecklingsprojekt och kundförvaltning, mötesprotokoll, riskanalyser, wikis, CI/CD-konfigurationer, avtal. Allt som kan tänkas ingå i en sådan revision.
Vi valde att använda en helt lokal AI-lösning.
Detta handlar ju om ofattbart värdefull och känslig information. Vi ville inte skicka detta till någon extern part alls, inte ens om de befinner sig i Sverige. I denna lokala AI-modell, som exekverade i en dator på ett skrivbord, implementerade vi sedan samma algoritmer som sociala medier använder för att matcha reklam mot användare (se, jag sa ju att vi skulle återkomma till det!).
Dokumentation och kod fick representera vår "reklam", kraven på vår lösning fick bli "användarens sökningar". Vilken “reklam” kan vi matcha mot respektive “sökning”? Vi lät alltså bevisen för kravuppfyllnad komma till kraven, på samma sätt som reklam kommer till de inlägg som skrivs i sociala media.
Till slut hade vi fem excelrapporter – en för varje standard. För varje standard listas alla dess krav. För varje krav finns det en genererad berättelse om hur vi uppfyller kraven. För varje berättelse finns det klickbara länkar till källorna. Lättläst, strukturerat, överblickbart och färgkodat. Vi har letat efter potentiella fel, men vi hittar inga. Jag har varit med om revisioner enligt ISO27K, PCI DSS och annat, men har själv aldrig sett en verksamhet med den här förmågan att redovisa sin efterlevnad.
Så långt Knowit. Det här är ju en generell metod som kan tillämpas på andra verksamheter eller projekt också. Vilka krav lever din egen verksamhet eller din produktutveckling under?
Bygger ni lösningar som ska uppfylla KSF, ska er verksamhet uppfylla ISO27001, eller ska ni uppfylla någon annan kravbild? Dessa lokala modeller är betydligt kraftfullare än många tror. Risken att använda externt driftade tjänster behöver sällan tas.
Behöver du hjälp?
Idag är AI området med IT-branschens största möjligheter, men också djupaste fallgropar. Lokala AI-modeller är ofta ett effektivt sätt att hantera riskerna med AI. Genom användningen av lokala modeller, till skillnad från externa tjänster, uppnås mycket starka förutsättningar för att effektivt hantera etik, juridik, och säkerhet. Kontakta mig med din fråga om lokala LLM:er.
