Big data je postala neizostavan dio našeg svakodnevnog života, mijenjajući način na koji organizacije donose odluke i analiziraju tržište. No, iako nudi brojne mogućnosti, ona sa sobom nosi i značajne rizike koji se ne smiju zanemariti.
Od sigurnosnih prijetnji do pravih etičkih dilema, big data industrija suočava se s velikim izazovima, čak onim koji mogu imati dalekosežne posljedice za pojedince i društvo u cjelini.
U ovom članku istražit ćemo 5 najvažnijih činjenica koje otkrivaju potencijalne opasnosti big data industrije i zašto je važno kritički sagledati njezin utjecaj.
5 ključnih činjenica vezanih uz big data industriju
Big data industrija, iako revolucionarna u mnogim aspektima, nosi sa sobom značajne rizike koji često ostaju u sjeni njenih prednosti. Znanost o podacima popularna je industrija, ali ima svoje tamne strane.
1. Sigurnosni rizici i problemi privatnosti
Prije desetak godina, većina organizacija se borila s nedostatkom podataka za donošenje poslovnih odluka. Danas se suočavamo s potpuno suprotnim izazovom – preopterećenjem podacima koje stvara nove sigurnosne rizike nezamislivih razmjera.
Prema izvješćima o sigurnosti, samo u prvoj polovici 2019. godine izloženo je 4,1 milijardu zapisa kroz curenje podataka. Ova brojka jasno pokazuje koliko je izazovno osigurati podatke u današnjem digitalnom okruženju.
Sigurnost u kontekstu Big Data nije samo tehnički problem, već obuhvaća i etičku te pravnu dimenziju, uključujući zaštitu privatnosti i intelektualnog vlasništva pojedinaca i organizacija. S rastom količine podataka, raste i mogućnost potencijalnih napada.
Jedan od najčešćih sigurnosnih rizika u poslovnom okruženju je tzv. “Shadow AI” – praksa kada zaposlenici koriste neovlaštene alate generativne umjetne inteligencije u svom svakodnevnom radu, a da odgovorne osobe nisu svjesne njihovog korištenja. Istraživanja pokazuju da je barem 49% zaposlenika koristilo takve alate, od kojih trećina to čini svakodnevno.
Stvarni incidenti najbolje ilustriraju ozbiljnost ovih rizika. U Samsungovoj korejskoj podružnici, zaposlenici su nesvjesno ugrozili povjerljive informacije kada su zatražili pomoć od ChatGPT-a za analizu koda. Ovakvi slučajevi pokazuju kako se intelektualno vlasništvo i poslovne tajne mogu ugroziti kroz naizgled bezazlene interakcije s AI alatima.
Neovlašteno korištenje osobnih podataka također je postalo predmet strogih regulatornih mjera. Opća uredba o zaštiti podataka (GDPR) ne dozvoljava korištenje osobnih podataka građana bez njihove suglasnosti, a kazne za kršenje mogu biti astronomske.
Amazon Europe kažnjen je s rekordnih 746 milijuna eura zbog nedozvoljenog korištenja osobnih podataka korisnika za ciljano oglašavanje, dok je Meta platila 405 milijuna eura kazne zbog načina na koji su korišteni osobni podaci tinejdžera na Instagramu.
Veliki modni div H&M kažnjen je s 35,3 milijuna eura za nezakonito prikupljanje osobnih podataka svojih zaposlenika, uključujući zdravstvene informacije i religijski status.
Moramo napomenuti i sljedeću bitnu činjenicu: što više podataka organizacija prikuplja, to je skuplje i teže sigurno ih pohraniti.
Za učinkovito upravljanje sigurnosnim rizicima, organizacije trebaju implementirati robusne mjere enkripcije, Zero-Trust arhitekturu, snažne politike upravljanja podacima koje osiguravaju odgovornost za način prikupljanja, obrade i pohrane podataka te povećanu transparentnost prema korisnicima.
Big Data bez snažnih mjera zaštite privatnosti postat će neodrživ. Organizacije moraju usvojiti strategije koje na prvo mjesto stavljaju privatnost, uskladiti se s evolucijom propisa i prihvatiti etičku umjetnu inteligenciju kako bi održale povjerenje i sigurnost.
2. Zlouporaba podataka od strane zlonamjernih aktera
Zlonamjerni akteri više ne djeluju nasumično. Umjesto toga, razvili su precizne strategije za maksimiziranje vrijednosti ukradenih podataka. Organizirani kriminal je prepoznao vrijednost velikih količina podataka i razvio cijele poslovne modele oko njihove krađe, prodaje i zlouporabe. Današnji napadi su ciljani, strpljivi i često ostaju neotkriveni mjesecima ili godinama.
Primjer ovakve evolucije vidljiv je u slučaju Syniverse-a, tvrtke koja čini kritični dio globalne telekomunikacijske infrastrukture. U rujnu 2021. godine, tvrtka je otkrila da su hakeri dobili pristup 500 milijuna zapisa, uključujući osobne podatke zaposlenika, poslovne tajne i osjetljive financijske informacije. Najviše je zabrinjavala činjenica da su hakeri bili u njihovom sustavu godinama prije nego što su otkriveni!
Nakon što podaci dospiju u ruke zlonamjernih aktera putem SQL injekcija, ranjivosti API-ja, pomoću scrapinga ili nekog drugog načina, koriste se za različite maliciozne aktivnosti. Ukradeni podaci često završavaju na Dark Webu, gdje se prodaju drugim kriminalcima. S ukradenim podacima o kreditnim karticama i bankovnim računima, kriminalci provode financijske prijevare velikih razmjera. U slučaju T.J. Maxx iz 2007. godine, hakeri su ukrali više od 41 milijun brojeva kreditnih i debitnih kartica, zajedno s imenima kupaca, datumima isteka i CVV kodovima.
Ukradeni podaci omogućuju kreiranje iznimno uvjerljivih phishing napada, ali igraju i značajnu ulogu u širenju dezinformacija i lažnih vijesti. Najpoznatiji primjeri su američki predsjednički izbori 2016. i referendum o Brexitu u Ujedinjenom Kraljevstvu iste godine.
Nakon iznenađujućih rezultata na oba glasanja, kampanja za izlazak iz EU u Velikoj Britaniji i Trumpova kampanja u SAD-u povezane su s tvrtkom za analizu podataka Cambridge Analytica. Tvrtka je koristila informacije nezakonito prikupljene s Facebooka za oblikovanje komunikacijskih strategija za oba glasanja, s utjecajem koji je oblikovao globalnu političku scenu otada.
Kako se količina podataka koje generiramo svakodnevno tako raste i privlačnost tih podataka za zlonamjerne aktere. Umjetna inteligencija dodatno utječe na čitavu situaciju, omogućujući sofisticiranije napade, ali i bolje obrambene mehanizme.
3. Algoritamska pristranost i diskriminacija
Algoritmi su u prošlosti uglavnom bili ograničeni na jednostavne zadatke poput sortiranja podataka ili pretraživanja interneta. Danas, ovi složeni sustavi donose odluke koje oblikuju naše živote – od toga tko će dobiti posao ili kredit, do toga koga će policija zaustaviti na ulici. No, s ovom povećanom moći dolazi i povećan rizik od diskriminacije i nepravde.
Algoritamska pristranost nastaje kada sustavi umjetne inteligencije sustavno proizvode nepravedne ili diskriminirajuće rezultate. Ovo nije rezultat zlonamjernosti programera, već često proizlazi iz nereprezentativnih ili povijesno pristranih podataka na kojima se algoritmi treniraju.
Zamislite, primjerice, sustav za zapošljavanje treniran na podacima tvrtke koja je godinama favorizirala muške kandidate. Bez intervencije, ovaj sustav će nastaviti reproducirati tu pristranost, čak i ako to nije bila namjera njegovih tvoraca.
Utjecaj pristranosti može biti dalekosežan i dugotrajan te može primjerice dovesti do pogrešnih dijagnoza ili neadekvatnog liječenja u zdravstvu, te nepravednog odbijanja kredita za marginalizirane skupine u financijskom sektoru.
Dok se borimo s ovim izazovima, važno je zapamtiti da algoritmi sami po sebi ne stvaraju pristranosti, već često odražavaju i pojačavaju postojeće društvene nejednakosti. Stoga, borba protiv algoritamske pristranosti nije samo tehnički izazov, već zahtijeva šire društvene promjene i povećanu svijest o sustavnim nejednakostima.
4. Nenamjerna zlouporaba i sistemske pogreške
Strojno učenje postalo je važan alat za analizu i izvlačenje uvida iz velikih podataka. Međutim, iako algoritmi strojnog učenja uče samostalno, oni prvo moraju biti programirani kako učiti, što otvara vrata ljudskoj pristranosti da se uvuče u algoritam.
Sistemske pogreške u analizi podataka, često nazivane pristranostima, predstavljaju trajne i dosljedne netočnosti u procesu prikupljanja, mjerenja ili analize podataka koje dovode do iskrivljenih rezultata. Za razliku od slučajnih pogrešaka koje se pojavljuju sporadično i mogu se međusobno poništiti tijekom vremena, sistemske pogreške su dosljedno prisutne.
Jedan od najdramatičnijih primjera nenamjerne zlouporabe velikih podataka dogodio se 2018. godine kada je Uberov autonomni automobil usmrtio pješakinju. Ispostavilo se da je nesreća nastala jer umjetna inteligencija koja je upravljala automobilom nije razumjela da pješaci ponekad prelaze cestu izvan pješačkog prijelaza. Ovo jasno pokazuje ograničenja AI sustava koji, unatoč svojoj naprednosti, nemaju intuiciju i razumijevanje nijansi koje ljudi posjeduju.
Mnoge organizacije se suočavaju s problemima loše kvalitete podataka – podaci mogu biti nestrukturirani, imati različite formate, uključivati dvostruke zapise ili sadržavati pogreške u obradi. Ručne pogreške tijekom unosa podataka značajno doprinose pogreškama. Ako se nekvalitetni podaci koriste za donošenje odluka, to može uzrokovati stvarno negativne posljedice.
Jedan od najsigurnijih načina za sprječavanje curenja podataka je jednostavan: ne imati osjetljive podatke. Mnoge tvrtke gomilaju podatke koje ne koriste, misleći da bi mogli biti korisni u budućnosti. Međutim, redovitim revizijama organizacije mogu zadržati podatke neophodne za poslovanje, a brisati ono što je suvišno.
Organizacije trebaju uspostaviti jasne protokole za prikupljanje, obradu i analizu podataka. Ovo uključuje redovite provjere kvalitete podataka, jasnu dokumentaciju metodologije i transparentnost u procesu analize.
Prirodno je da će se događati pogreške, ali najvažnije je učiti iz njih i poboljšavati sigurnost. Implementacijom sigurnosnih mjera i etičkih smjernica, možemo iskoristiti prednosti velikih podataka uz istovremeno ublažavanje rizika.
5. Rizici povezani s trećim stranama
Prije desetak godina, suradnja s vanjskim dobavljačima uglavnom je značila delegiranje jednostavnih zadataka poput čišćenja ureda ili tiskanja marketinških materijala. Danas organizacije povjeravaju trećim stranama svoje najvrjednije resurse – osjetljive podatke o klijentima, financijske informacije i intelektualno vlasništvo. Ova promjena dramatično je povećala osjetljivost na potencijalne napade, stvarajući dodatnu ranjivost kad je u pitanju big data industrija.
Kada organizacija dijeli podatke s vanjskim dobavljačem, ona gubi izravnu kontrolu nad tim podacima, ali zadržava odgovornost za njihovu sigurnost. Ova asimetrija stvara jedinstvene izazove koji su postali posebno vidljivi u posljednjih nekoliko godina.
Napadi na lanac opskrbe softverom predstavljaju jednu od najsofisticiranijih prijetnji današnjice. Ovi napadi događaju se kada kibernetički kriminalci infiltriraju i kompromitiraju softverske proizvode ili nadogradnje u bilo kojoj točki procesa razvoja ili distribucije, omogućujući napadačima da umetnu zlonamjerni kod u legitimni softver.
Ljudska pogreška u kibernetičkoj sigurnosti odnosi se na pogreške pojedinaca koje dovode do sigurnosnih propusta ili ranjivosti. Ove pogreške mogu biti rezultat nedostatka svijesti, nedovoljne obuke, nemara ili jednostavnih previda.
Zlouporaba privilegiranog pristupa uključuje neprimjereno ili neovlašteno korištenje povišenih prava pristupa od strane pojedinaca unutar organizacije. Ovo može uključivati namjerno zlonamjerne radnje ili nenamjernu zlouporabu administratorskih privilegija.
American Express je dobar primjer za rizik povezan s trećim stranama. U travnju 2024., znači tek nedavno, American Express se suočio s curenjem podataka kada su hakeri ciljali vanjski procesor plaćanja odgovoran za upravljanje podacima o transakcijama. Napadači su na taj način pristupili podacima o plaćanju kupaca, povijesti transakcija i svim kontakt informacijama.
Tisuće American Express korisnika suočilo se s neovlaštenim transakcijama i pokušajima phishinga. Tvrtka je brzo identificirala curenje, izdala upozorenja kupcima i zamrznula sumnjive račune kako bi spriječila daljnju štetu.
Kako organizacije nastavljaju povećavati svoju ovisnost o vanjskim dobavljačima, učinkovito upravljanje rizicima trećih strana postaje sve važnije. Automatizacija i umjetna inteligencija igraju sve veću ulogu u ovom području, omogućujući organizacijama da kontinuirano prate sigurnosne prakse svojih dobavljača u stvarnom vremenu.
Regulatorni zahtjevi također se razvijaju, s novim propisima koji zahtijevaju robusniji pristup upravljanju rizicima trećih strana. Organizacije koje proaktivno rješavaju ove izazove bit će bolje pozicionirane za zaštitu svojih podataka, reputacije i financijskih rezultata u sve složenijem digitalnom ekosustavu.