„DeepSeek“ ir saugumas: institucijoms reikėtų elgtis atsargiai

Ši naujiena pirmadienį sukėlė milžinišką išpardavimą JAV akcijų rinkose, o pagrindine jo auka tapo ta įmonė, kuri iki šiol iš generatyvinio DI bumo buvo išlošusi daugiausiai.

Tai – JAV lustų milžinė „Nvidia“, kurios astronominis rinkos kapitalizacijos augimas 2023 ir 2024 m. buvo susietas tiek su lustų pardavimų DI duomenų centrams šuoliu, tiek investuotojams operuojant prielaida, kad generatyvinio DI plėtrai toliau reikės daugybės technologiškai pažangiausių, brangių „Nvidia“ lustų.

Situaciją JAV kompanijoms sunkina tai, kad „DeepSeek“ modelis yra atviro kodo, bendrovės inžinieriai taip pat publikavo paaiškinimus, kaip jiems pavyko pasiekti tokius rezultatus.

Kartu „DeepSeek“ pakurstė klausimus dėl šio startuolio DI asistento programėlės privatumo. VŽ jau rašė, kad ir Lietuvoje populiarėjanti mobilioji aplikacija naudotojų duomenis siunčia ir laiko Kinijoje.

Prie skilties apie duomenų naudojimą aptakiai rašoma, jog vienas iš būdų yra „atitikti mūsų teisinius įsipareigojimus arba, jeigu tai būtina, įgyvendinti viešojo intereso užtikrinimo užduotis, arba apsaugoti kritiškai svarbius mūsų naudotojų bei kitų žmonių interesus“.

Nacionalinis kibernetinio saugumo centras (NKSC) teigia nepradėjęs „DeepSeek“ saugumo vertinimo, tačiau pažymi, kad platformoje keliami ir apdorojami duomenys yra prieinami ir Kinijos valdžios struktūroms. 

„Kritinių sektorių darbuotojams primygtinai nerekomenduojame naudoti „DeepSeek“ produktų, ne tik dėl galimos grėsmės jų duomenims, bet ir visai kritinei infrastruktūrai, jei jų mobilieji įrenginiai turi galimybę prisijungti prie kritinės infrastruktūros ryšių ir informacinių sistemų“, – VŽ teigė NKSC.

Pasak NKSC, jei organizacija nuspręstų naudoti DI modelius, reikėtų įvertinti bent kelis aspektus, pavyzdžiui, griežtai riboti ar uždrausti jautrių duomenų naudojimą, nustatyti aiškias naudojimo taisykles, atlikti stebėseną bei įvertinti galimas alternatyvas, pavyzdžiui, „Llama“ ar „Mistral“ atviro kodo modelius.

Centras teigia, kad organizacijos rizikuoja prarasti duomenų kontrolę, kadangi siunčiami duomenys yra apdorojami Kinijos debesijoje.

„Duomenys gali būti išsaugoti ilgam laikui ar naudojami DI modelių treniravimui. Yra rizika, kad duomenys gali būti pasiekti trečiųjų šalių, pvz., vyriausybinių institucijų ar konkurentų“, – nurodo NKSC.

Ginti teises – sudėtinga

Eglė Radvilė, Lietuvos IT vadovų klubo CIO.lt direktorė, pastebi, kad „DeepSeek“ programėlę atsisiuntus per „App Store“ ar „Google Play“, vartotojų duomenys keliauja į serverius Kinijoje, kur jiems gali būti taikomi vietiniai įstatymai, pavyzdžiui, privalomas atskleidimas valstybinėms institucijoms.

Ji taip pat teigia, kad atidžiai įrankį naudoti reikėtų valstybinėms institucijoms ar įmonėms, dirbančios su jautria informacija.

„Ypatingą dėmesį reikėtų atkreipti į tai, kad net ir ištrynus duomenis iš programėlės, nėra garantijos, jog jie bus visiškai pašalinti iš Kinijos serverių, o įvykus saugumo incidentui, dėl skirtingų jurisdikcijų gali būti itin sudėtinga ginti savo teises ar reikalauti žalos atlyginimo“, – VŽ sako E. Radvilė.

Ekspertė priduria, kad gerokai saugesnis variantas nei programėlės naudojimas yra vietinis modelio diegimas per „LM Studio“, platformą, skirtą naudoti generatyvinio DI modelius lokaliai.

„Vis dėlto, nors šis būdas užtikrina didesnę kontrolę, jis reikalauja daugiau techninių resursų ir kompetencijos, – sako E. Radvilė. – Organizacijoms rekomenduojama konfidencialiai informacijai naudoti tik vietinį diegimą, o mobiliųjų programėlių versijas – tik nekritiškiems duomenims, prieš tai atidžiai susipažinus su privatumo politika ir reguliariai sekant jos pokyčius.“

„DeepSeek“ staigiai tapo daugiausiai kartų atsisiunčiama programėle ir Jungtinėse Valstijose.

Tačiau, kaip rašo CBS, „DeepSeek“ kelią nerimą prezidento Donaldo Trumpo administracijai bei kibernetinio saugumo ekspertams dėl potencialių grėsmių JAV nacionaliniam saugumui.