”Arbejdet med D-mærket er den bedste tid, jeg har brugt i 2023 fraregnet tiden med kunder”
De interne krav til sikkerhed og dataetiske standarder er tårnhøje i Neurospace. Det skal de også være, når kunderne er inden for kritisk infrastruktur.
Det er det ambitiøse dogme, Neurospace arbejder ud fra i hverdagen. Den Aarhus-baserede virksomhed rådgiver og hjælper virksomheder i energi, forsyning og den industrielle sektor med deres dataværdikæde. Alt lige fra udvikling af datastrategi til maskinlæringsmodeller.
De fleste af Neurospaces kunder er en del af Danmarks kritiske infrastruktur, og når de udvikler maskinlæringsmodeller til dem, er det forretningskritisk, at sikkerhed og ansvarlighed er i top. Det er der udtalt enighed om blandt direktørerne Rasmus Steiniche og Maria Hvid.
”Vi tager it-sikkerhed seriøst og har altid gjort det. Mange af vores kunder er underlagt NIS2 og beskæftiger sig med mad, medicin og energi, og her er det vitalt at modstå digitale angreb. Det stiller naturlige krav til leverandører som os, så vi har indført 21 interne initiativer til at øge sikkerheden,” fortæller Rasmus Steiniche.
Vigtigheden af at tage IT-sikkerhed seriøst har senest vist sig, da SektorCERT for nylig udgav en rapport om angreb mod dansk kritisk infrastruktur, hvor 22 selskaber blev ramt.
Initiativerne omfatter alt lige fra et eksplicit sikkerhedsmodul i onboarding af medarbejdere til at implementere backup-princippet om tre kopier af data på to forskellige lokationer, og at én af kopierne ligger på en off-site-lokation.
Lever op til nye EU-regler
Næste år træder nye EU-regler for it-sikkerhed, NIS2-direktivet, i kraft, og det skærper kravene til virksomheder, der udgør kritisk infrastruktur. Kravene omfatter leverandørsikkerhed, og når størstedelen af Neurospaces kunder udgør kritisk infrastruktur, så skal sikkerheden være i orden, hvis de vil undgå at miste kunder.
Med D-mærket får Neurospace bevis for, at de efterlever minimumskravene i NIS2. Det har da også været en af årsagerne til at søge om tildeling af mærket.
”Alle kan sige, at de arbejder med it-sikkerhed, men vi skal kunne bevise det. Det gør vi nu med D-mærket – også i forhold til NIS2, som er en vigtig dagsorden på samtlige møder med nye kunder. Samtidig passer D-mærket godt til en lille virksomhed som vores, fordi kriterierne er tilpasset vores virkelighed og forretning,” siger Rasmus Steiniche.
En forretning bygget på data
En del af den virkelighed er, at Neurospace arbejder aktivt med både it-sikkerhed og dataanvendelse – og D-mærket er den første mærkningsordning til at koble de to områder.
Processen op imod tildeling af mærket har derfor naturligt ført til en granskning af hele virksomheden. Og det har været ekstremt givtigt, mener Maria Hvid.
”Det har været den fedeste interne proces, jeg har haft længe. Du bliver tvunget til at kigge på dine processer og se, hvad du kan gøre bedre. Vi har kigget grundigt på, hvordan vi kan opnå vores ambition om at blive Fort Knox inden for data og maskinlæring, så vores kunder er helt sikre på, at vi har de højeste standarder,” siger hun.
Netop standarder har været et fokusområde i Maria Hvids granskning af de interne processer. Det har ifølge hende selv været vigtigt at kanalisere al hendes viden og standarder ud i organisationen, så de gennemsyrer alle projekter.
Konkret har det ført til en otte-sider lang etisk standard for, hvordan de udvikler maskinlæringsløsninger, som er en af virksomhedens kerneprodukter.
Det gælder for modeller, der hjælper varmeværker med at forudsige fremløbstemperaturer, så de kan vælge det optimale varmekildemiks og dermed mindske risikoen for at producere mere energi end nødvendigt. Og det gælder modeller til detektering af æblesorter til en produktionslinje for at optimere produktionen.
Total transparens
Den etiske standard er ikke et dokument, som ligger hengemt på en server. For Maria Hvid er det helt afgørende, at standarderne indgår som en naturlig del af hverdagens arbejde.
Derfor har Maria også valgt at blive en del af Dansk Standards komite for at arbejde videre med maskinlæring, AI, data og standarder. På den måde sikrer hun, at Neurospace altid er opdateret på nye standarder, samtidigt med at hun kan hjælpe andre virksomheder.
Hvert projekt i Neurospace tager sit udgangspunkt i en AI Camp, hvor de vurderer bias, datakvalitet og risici. Informationerne bliver ført ind i et såkaldt ”model card”, som følger kunden. Her står grundlæggende alt om den konkrete model, lige fra hvem der har udviklet den, over en komplet arkitekturtegning og risikovurdering for bias og etik.
”Model cards skaber total transparens i forhold til kunden. Derudover giver det stor værdi internt, fordi vi hele tiden holder os op på vores egne standarder. Det hjælper også nye medarbejdere, at de har en konkret skabelon at støtte sig op ad, så vi kan sikre høj kvalitet, mens vi oplever vækst – det kan normalt være vanskeligt,” siger Maria Hvid.
Processen hen imod at blive D-mærket har dog ikke kun haft betydning for relationerne til kunderne. Det har i lige så høj grad givet anledning til at tage et blik på sin virksomhed gennem eksterne briller.
”Værdien ligger ikke kun i at kunne pynte sig med en mærkningsordning over for kunder. Jeg vil klart anbefale virksomheder at bruge D-mærket til at kigge på interne processer. Det giver ro i maven at vide, at du mindsker risikoen for at blive ramt af et cyberangreb eller får en sag ved datatilsynet,” siger Maria Hvid.