Om prosjektet
Secure Practice er en norsk teknologivirksomhet med fokus på den menneskelige delen av informasjonssikkerhetsarbeidet.
Skytjenestene deres benyttes av over 500 virksomheter, med sluttbrukere i mer enn 30 land. En av tjenestene de i dag tilbyr, er MailRisk, som med kunstig intelligens hjelper ansatte med å finne ut om mistenkelig e-post er farlig eller trygg. Secure Practice utvikler og leverer også integrerte tjenester for e-læring og simulert phishing.
Skreddersydd sikkerhetsopplæring
Nå vil Secure Practice bruke kunstig intelligens for å gi persontilpasset sikkerhetsopplæring til ansatte i kundenes virksomheter. Ved å ta utgangspunkt i hvilke interesser og kunnskaper den enkelte ansatte har om informasjonssikkerhet, skal opplæringen gjøres mer pedagogisk og målrettet, og dermed mer virkningsfull. Verktøyet skal i tillegg tilby virksomhetene rapporter med aggregert statistikk over ansattes kunnskaps- og interessenivå innenfor informasjonssikkerhet. Rapportene skal gjøre det mulig for arbeidsgiver å følge med på utviklingen over tid, og samtidig identifisere særskilte risikoområder og avdekke eventuelle behov for kollektive tiltak.
Profilering
I personvernforordningen (GDPR) er profilering definert som:
«enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser».
For å kunne gi persontilpasset opplæring, vil Secure Practice samle og sammenstille relevante data om de ansatte i kundens virksomhet. Profileringen plasserer hver enkelt sluttbruker i en av flere «risikokategorier», som blir utslagsgivende for hvilket opplæringstilbud han eller hun mottar i fortsettelsen. Re-kalkulering av risikoprofiler vil gjøres kontinuerlig og automatisk, slik at ansatte kan flyttes til ny kategori når de underliggende dataene tilsier dette.
Selve utviklingen av verktøyet bygger på et utvalg vitenskapelige studier relatert til menneskelig sikkerhetsatferd. Fra disse studiene har Secure Practice identifisert noen faktorer som det er ønskelig å kartlegge hos de ansatte. Det er fokusert på utvikling av en fleksibel statistisk modell og teknologisk løsning for behandling og kobling av ulike data i flere dimensjoner, inkludert tid. Med dette som utgangspunkt, kan selve vurderingen av risiko gjøres tilsvarende fleksibelt, ut fra hvilke hypoteser man til enhver tid legger til grunn i modellen. Dette er forutsetninger som i så måte er programmert inn i på forhånd, og «intelligensen» er i første omgang altså et produkt av kvaliteten på hypotesene.
Samtidig vil det være interessant å kunne benytte maskinlæring på data i historisk perspektiv. Såkalt etterlæring kan gjøres på bakgrunn av bruksdata for å identifisere mønstre for forbedring, eller eventuelt forverring. Dette vil dermed kunne bidra til å forbedre hypotesene og utvikle enda mer treffsikre tiltak og anbefalinger i tjenesten i fremtiden.
Secure Practice har arbeidet med den nye tjenesten siden Innovasjon Norge innvilget et tilskudd til prosjektet i 2020. Forskningsrådet har også innvilget støtte til videreutvikling av teorier bak verktøyet, gjennom et forskningsprosjekt sammen med NTNU. Ved oppstart av sandkasseprosjektet hadde Secure Practice en teoretisk modell på plass, og teknisk implementasjon av den sentrale risikomodellen var innenfor rekkevidde. Og fordi den nye tjenesten integrerer mot eksisterende tjenesteplattform, er også mye «ferdig» i verktøyet. Samtidig har Secure Practice fortsatt hatt en rekke åpne spørsmål omkring både datainnsamling og brukergrensesnitt å ta stilling til.
Mål for sandkasseprosessen
Sandkasseprosjektet er delt opp i tre delmål, hver med sine egne leveranser. De tre delmålene har blitt organisert tematisk omkring de tre sentrale rollene som utspiller seg når tjenesten tas i bruk; arbeidsgiverne, Secure Practice og de ansatte.
- Hvem har ansvaret for å følge personvernreglene? Er det Secure Practice som drifter tjenesten, virksomheten som innfører det på arbeidsplassen eller begge i fellesskap som er behandlingsansvarlig? Er svaret det samme i bruksfasen, som når verktøyet videreutvikles i etterlæringsfasen?
- Kan verktøyet tas i bruk og videreutvikles lovlig?
Prosjektet vil avklare hvilket rettslig grunnlag de behandlingsansvarlige kan ha for å profilere ansatte med formål om å tilby individuelt tilpasset sikkerhetsopplæring i virksomheter og statistiske rapporter til virksomheter. Prosjektet vil også se på om en slik profilering rammes av forbudet mot overvåking i e-postforskriften. - Den registrerte. Hvordan påvirker verktøyet arbeidstakerne? Prosjektet vil avklare hvordan den registrerte påvirkes med tanke på hvilke opplysninger som legges til grunn for behandlingen, risiko ved slik behandling, rettferdighet, åpenhet og rutiner for utøvelse av den registrertes rettigheter.