Dataopphold er en stor utfordring for AI-utvikling i Europa - men er det tilstrekkelig for sikker AI?

Sammendrag av Data Residency

Informasjon som går inn i AI-systemer og andre digitale løsninger sendes frem og tilbake mellom serverne til løsningsleverandørene, tredjepartsaktører og LLM-leverandører for lagring og behandling. Noen av disse serverne kan være lokalisert i Europa, mens andre kan være i USA, Kina eller andre steder.

Så hva er problemet?

Når personopplysninger og/eller sensitiv intern bedriftsinformasjon behandles gjennom disse løsningene, øker risikoen forbundet med denne datautvekslingen betydelig.

GDPR må tas i betraktning, og selv om denne lovgivningen tillater at data sendes til amerikanske servere for lagring og behandling, er det fortsatt iboende risiko - både i juridiske gråområder og i omdømmeskader, spesielt ettersom flere europeere har blitt skeptiske til USA. s forhold til Europa siden begynnelsen av året.

Dette er i tillegg til de naturlige sikkerhetsbekymringene ved overføring av sensitive bedriftsdata utenfor landet eller kontinentet.

Hva kan gjøres?

Det er måter å takle utfordringen på, men ikke uten kostnader eller risiko.

Mer tekniske AI-løsninger som er avhengige av etablerte språkmodeller bruker vanligvis direkte API-tilkoblinger til amerikanske leverandører. I disse tilfellene er det vanligvis ikke mulig å velge at dataene skal lagres eller behandles på europeiske servere.

En vanlig løsning er å sette opp AI-tilkoblingen gjennom en skyplattform, for eksempel Microsofts Azure. Der kan man spesifisere om databehandling skal skje i Norge, Sverige, Vest-Europa generelt, eller en annen region.

Amazon (AWS) og Google (Google Cloud) er alternative leverandører som tilbyr lignende skyplattformer med egne AI-løsninger.

Hva er utfordringen med det?

For det første er det mer teknisk komplisert å etablere løsninger via denne metoden. Det er vanligvis mye mer komplisert, og med større datasett kan det være dyrt - noe som gjør det til et gjennomførbart alternativ hovedsakelig for veletablerte selskaper som har kapasitet til å sikre AI-operasjonene sine.

I tillegg er det fortsatt ikke 100% sikkert. Amerikansk lov tillater myndigheter å få tilgang til data fra amerikanske leverandører selv om dataoppholdet er satt til Europa - selv om de er europeiske selskaper eid av amerikanske interessenter. Dette er muliggjort av lover som U.S. Cloud Act og Lov om utenlandsk etterretningsovervåkning (FISA).

Hvordan kan dette løses?

Det er ikke greit, men det er to mulige veier fremover - mot det jeg kaller «datasuverenitet» som neste skritt utover datalagring.

1. Samarbeide med selskaper som er strukturert for å unngå eksponering for US Cloud Act og FISA, spesialiserer seg på skybaserte AI-utviklingsressurser. Dette krever imidlertid fortsatt investering i skytjenestene deres og utvikling av AI-modeller basert på åpen kildekode-modeller.
2. Kjøp og driv dine egne servere, bygge modellene, og vert dem lokalt. Dette er trolig det sikreste på lang sikt, men krever betydelig mer forhåndsinvestering og er mer komplisert når det gjelder å etablere miljøer og opplæringsmodeller for å gi nyttige resultater.

Som en AI-oppstart som tar sikkerhet og overholdelse på alvor, samarbeider vi aktivt med partnere for å utforske hvordan vi kan utvikle løsningene våre mot dataredighet og datasuverenitet. Det er imidlertid fortsatt en lang vei å gå i Norge - og i Europa mer generelt.

Tegn på fremgang i Europa

AI-utvikling og tilgjengeligheten av skalerbar, kostnadseffektiv skyinfrastruktur i Norge og Europa ser fortsatt ut til å henge langt etter USA — men dette er ikke satt i stein:

• Europeiske selskaper som Nebul spesialiserer seg på europeisk infrastruktur som beskytter mot risikoer fra US Cloud Act og FISA.
• I AI-utvikling, den Frankrike-baserte LLM-leverandøren Mistral AI har vist resultater i spesifikke brukstilfeller som konkurrerer med ledende modeller som ChatGPT, Claude og Gemini.
• Flere etablerte IT-selskaper vurderer investeringer i lokale servere for å trene åpen kildekode-modeller lokalt, i stedet for å stole på eksisterende lukkede kildekode-modeller eller skyløsninger.

Så det er tegn på at Europa kan bevege seg mot mer dataopphold - og potensielt til og med suverenitet - spesielt etter nylige geopolitiske spenninger med USA.

Tiden vil vise, men vi justerer oss i den retningen - i vårt arbeid og samfunnene vi engasjerer oss i - og streber etter et mer Europa-sentrisk fokus innen AI-utvikling.