Come proteggere gli algoritmi dal furto di proprietà intellettuale
La società di marketing e PR Ogilvy è impegnata in un progetto che coinvolge l’automazione dei processi robotici e Microsoft Vision AI per risolvere un problema di business unico. Yuri Aguiar, responsabile dell’innovazione e della trasformazione di Ogilvy, sta già pensando a come proteggere da potenziali furti gli algoritmi e i processi che verranno sviluppati all’interno del progetto.
“Probabilmente non si tratterà di sia materiale brevettabile, ma ci dà un vantaggio competitivo e riduce significativamente il nostro time-to-market”, afferma Aguiar. “Vedo gli algoritmi come moderni moduli software. Se gestiscono lavori proprietari, dovrebbero essere protetti come tali”.
Il furto di proprietà intellettuale è diventato una questione serie per le imprese globali. A partire da febbraio 2020, l’FBI ha condotto circa 1.000 indagini che hanno coinvolto la sola Cina per tentato furto di proprietà intellettuali riguardanti tecnologie sviluppate da aziende con sede negli Stati Uniti. Non sono solo gli stati-nazione che cercano di rubare proprietà intellettuali: sono coinvolti anche competitor, dipendenti e partner commerciali.
I team di sicurezza adottano abitualmente misure per proteggere proprietà intellettuali come software, design e piani di marketing. Ma come si protegge la proprietà intellettuale quando si non tratta di un documento o database, ma di un algoritmo? Gli strumenti di analytics sviluppato ad hoc, per esempio, stanno diventando un importante fattore di differenziazione quando le aziende implementano progetti di trasformazione digitale. Fortunatamente, le leggi stanno cambiando per includere gli algoritmi negli asset che possono essere legalmente protetti.
Brevettare e classificare gli algoritmi come segreti commerciali
Per anni, i consulenti interni hanno giustamente insistito sul fatto che le aziende non potevano brevettare un algoritmo. Gli algoritmi tradizionali davano semplicemente istruzioni a un computer, ma l’intelligenza artificiale e l’apprendimento automatico richiedono una serie di algoritmi che consentono al software di aggiornare e “apprendere” dai risultati precedenti senza la necessità di un intervento del programmatore, e questo può produrre un vantaggio competitivo.
“Le aziende stanno diventando più consapevoli su ciò che vogliono proteggere e le linee guida sono cambiate di conseguenza”, afferma Mary Hildebrand, presidente e responsabile di privacy e sicurezza informatica di Lowenstein Sandler. “L’Ufficio Brevetti degli Stati Uniti ha pubblicato alcune nuove linee guida e ha reso molto più semplice la procedura per brevettare un algoritmo”.
I brevetti presentano vantaggi e svantaggi. “Se proteggi solo un algoritmo, ciò non impedisce a un concorrente di sviluppare un altro algoritmo che esegue gli stessi passaggi”, afferma Hildebrand.
Inoltre, quando un’azienda richiede un brevetto, deve rendere pubblico il contenuto della domanda. “Richiedete un brevetto, spendete denaro per avviare la pratica e non avete alcuna garanzia di ottenerlo”, afferma David Prange, responsabile per i segreti commerciali presso la società Robins Kaplan LLP.
Molte aziende scelgono di classificare un algoritmo come segreto commerciale come prima linea di difesa. I segreti commerciali non richiedono alcuna richiesta e autorizzazione, “ma bisogna essere particolarmente attenti nel proteggerlo”, aggiunge Prange.
Per difendersi da una possibile causa legale sulla proprietà di un algoritmo, le aziende devono intraprendere diverse azioni per mantenere il segreto a partire dalla prima fase di sviluppo.
Adottare un approccio zero-trust
“Non appena viene sviluppato un algoritmo, un’azienda potrebbe considerarlo un segreto commerciale e adottare misure ragionevoli per mantenerlo riservato”, afferma Hildebrand. “Ciò significa, per esempio, limitare l’accesso a un ristretto numero di persone, a cui viene richiesto di firmare un accordo di riservatezza”. A nessuno dovrebbe essere permesso di portare “a casa” l’algoritmo, che deve essere conservato in un luogo sicuro. “Sono procedure di buon senso, ma sono molto importanti se l’azienda vuole dimostrare che qualcosa è un segreto commerciale”.
“Sul fronte IT, le migliori pratiche per la protezione degli algoritmi sono radicate nei principi di un approccio zero-trust”, afferma Doug Cahill, vicepresidente e direttore del gruppo di sicurezza informatica presso Enterprise Strategy Group. Gli algoritmi considerati segreti commerciali “dovrebbero essere archiviati in un deposito virtuale”, afferma. “Il minor numero possibile di utenti dovrebbe avere accesso al deposito. Per accedere all’algoritmo si dovrebbe usare l’autenticazione a due fattori e tutti gli accessi e gli usi devono essere registrati e monitorati”.
Accordi di riservatezza per tutti
Le aziende dovrebbero garantire che ogni dipendente con accesso al progetto o all’algoritmo firmi un accordo di riservatezza. Hildebrand ricorda un inventore che ha incontrato tre potenziali partner che credeva rappresentassero tutti la stessa azienda. Pensava di essere coperto da un accordo di riservatezza firmato dalla società. In seguito ha scoperto che uno di loro era un consulente indipendente, che non aveva firmato nulla, e aveva sottratto la proprietà intellettuale. L’inventore perse lo status di segreto commerciale sulla sua invenzione. Per questo Hildebrand consiglia sempre ai clienti di assicurarsi che tutte le parti coinvolte firmino l’accordo.
C’è un altro aspetto da tenere in considerazione. “Gli ingegneri e gli scienziati in particolare amano parlare con i loro colleghi di ciò su cui stanno lavorando”, dice Hildebrand. “Questo va bene quando lavorano in team e imparano gli uni dagli altri, ma può diventare un problema se il confronto avviene al di fuori dell’ambiente aziendale”.
Piccoli team e privilegi di accesso
“Valutate chi ha davvero bisogno di avere una conoscenza diretta del progetto o dell’algoritmo”, afferma Prange. Nelle aziende più piccole, le persone svolgono diversi ruoli e potrebbero aver bisogno di saperne di più, ma nelle aziende più grandi e diversificate, meno persone hanno bisogno di sapere tutto. Anche con un piccolo gruppo che ha accesso, “usate l’autenticazione a due fattori e limitate l’accesso al di fuori dell’azienda o dell’edificio fisico. Oppure bloccate i computer in modo da non poter utilizzare le chiavette USB”.
Educare le linee di business sulla protezione degli algoritmi
“I leader IT devono educare le linee di business in modo da capire di cosa hanno bisogno per proteggere e gli investimenti che l’azienda sta facendo”, afferma Prange. Per esempio, gli addetti alle vendite devono sapere praticamente tutto sui prodotti dell’azienda. Ed è importante che sappiano anche quali aspetti del prodotto sono riservati.
Stabilire regole chiare con dipendenti e partner
Assicuratevi che i dipendenti sappiano cosa non possono portare con sé quando cambiano lavoro. “Se un dipendente che lavora in un’area sensibile o ha accesso a informazioni sensibili lascia l’azienda, è opportuno fare un colloquio per capire quali informazioni ha e sottolineare gli accordi firmati che vietano di utilizzare le informazioni in un’altra azienda”, dice Prange.
I partner dovrebbero essere trattati allo stesso modo. “Vediamo molti casi in cui una società ha una partnership di sviluppo congiunta con un’altra azienda. Quando la partnership si conclude, una o entrambe le società possono andare avanti indipendentemente”, spiega Prange. “E improvvisamente c’è una causa quando una delle due arriva sul mercato con le informazioni che stavano condividendo”.
Gli attuali metodi per dimostrare la proprietà di un algoritmo
“Per ottenere l’accesso agli algoritmi vengono utilizzate tattiche collaudate , inclusi attacchi di spear-phishing, per rubare credenziali degli sviluppatori tramite pagine di accesso fasulle e reimpostazione password”, afferma Cahill.
“Puoi avere tutti i tipi di restrizioni, ma è difficile proteggersi da qualcuno intenzionato a rubare un algoritmo o un processo”, sostiene Prange. “Questo non significa che non si può fare nulla”.
Per dimostrare la proprietà di un algoritmo e prevenire il furto o il sabotaggio, IBM e altri hanno lavorato su modi per incorporare filigrane digitali nelle reti neurali profonde nell’intelligenza artificiale, un concetto simile all’introduzione di filigrane nelle immagini digitali. Il metodo del team IBM, presentato nel 2018, consente alle applicazioni di verificare la proprietà dei servizi di reti neurali attraverso API, che è essenziale per proteggere dagli attacchi che potrebbero ingannare un algoritmo di un’auto autonoma, per esempio, per superare un segnale di stop.
Il processo prevede una fase di incorporamento, in cui la filigrana viene applicata al modello di apprendimento automatico, e una fase di rilevamento, in cui la filigrana viene estratta per dimostrare la proprietà.
Un metodo basato sulla filigrana nei modelli di apprendimento profondo è stato proposto, nel 2017, anche dai ricercatori di KDDI Research e del National Institute of Informatics.
Questi metodi hanno qualche limite, tuttavia. Non funzionano su modelli offline e non possono proteggere dalle violazioni attraverso attacchi di tipo “prediction API” che estraggono i parametri dei modelli di apprendimento automatico inviando query e analizzando le risposte.
Un altro problema con molte soluzioni di filigrana è che i metodi attuali non sono stati in grado di affrontare gli attacchi di pirateria, in cui terze parti rivendicano falsamente la proprietà del modello incorporando le proprie filigrane.
La ricerca in questa direzione è attivi e ci sono nuovi concetti in fase di sviluppo. Per esempio, nel febbraio 2020 i ricercatori dell’Università di Chicago hanno presentato il metodo “null embedding”, che consente di incorporare filigrane resistenti agli attacchi in reti neurali profonde (DNN) durante la formazione iniziale del modello. Il metodo crea una forte correlazione tra la normale precisione di classificazione del modello e la filigrana e, di conseguenza, gli aggressori non possono rimuovere una filigrana incorporata o aggiungerne una nuova.