二十年的网络分离为何偏偏在此时被废除
长期以来,韩国安全的默认做法就是切断连接。自2006年起,人们相信把互联网网络与办公网络物理隔离就安全,于是每张办公桌上都摆着两台电脑。今年5月,国家网络安全基本指南中关于内网与互联网分离义务的条款被删除,这是历时二十年的转变。
废除的理由才是关键。不是因为隔断带来了安全,而是因为再也无法隔断。审视去年通信运营商和信用卡公司的事故便会发现,号称封闭网络的地方都存在互联网接触点。微软的调查显示,75%的员工使用生成式AI,其中78%使用的是公司从未批准的工具。网络早已连通,只有公司自己不知道。
真正的瓶颈不是安全而是数据分类
开放网络意味着所有数据都必须分为国家安全、敏感、公开三个等级。但韩国从未真正做过这种分类。让现场人员去分,几乎所有东西都被标为国家安全级。因为分错导致事故就要担责,于是保守地选择最高等级。英国把六级体系压缩为三级、扩大可公开使用数据范围花了三年,原因也在于此。
分类的单位也是问题。如果一份诊断书把可公开的患者姓名和敏感的身份证号混在一起,整个文件就被归为敏感信息,可用性随之下降。按姓名、地址、识别号这样的项目逐项定级,同一份文件就会因权限不同而呈现不同内容。这种自动分类技术的市场在海外存在,在韩国却没有。因为从未把数据放上云端,也就从未有过分类的需要。
对主权AI的执念忽略了什么
随着网络分离的解除,所有领域都必须用国产AI填满的主张随之而来。但在所有领域强制使用主权AI,只会重蹈公共认证证书的覆辙。强制扼杀竞争,没有竞争技术就会退化。真正需要主权AI的,是外国模型不能被切断、信息不能外泄的国家安全领域。在一般产业中,用什么是企业的选择。
最近引起关注的一款安全AI,没有任何自研基础模型,仅靠把已经公开的LLM巧妙组合就达到了顶尖性能,而那个团队的主力是韩国人。这证明竞争力不在于是否拥有自己的东西,而在于善于组合的能力。因此,在网络分离解除后留下的空间里,企业首先要做的不是引入AI,而是先弄清我们究竟持有什么样的数据。