Пост по Федеративному обучению
➖➖➖➖➖➖➖➖➖➖➖
Федеративное обучение:
«ДАННЫЕ НЕ УХОДЯТ» НЕ ЗНАЧИТ, ЧТО «РИСКОВ НЕТ»
Как это работает:
↪️ Модель отправляют на устройства / узлы (филиалы, мобильные, медицинские организации, банки);
↪️ Локально считают обновления (градиенты / параметры);
↪️ В центр уходят обновления, а не сырые данные;
↪️ Центр агрегирует и улучшает общую модель.
Где ПДн все равно прячутся:
🔃 В метаданных и обновлениях (в ряде сценариев по градиентам можно частично восстанавливать исходные фрагменты);
🔃 В логах и телеметрии на узлах;
🔃 В ошибках реализации (когда для удобства все равно делают централизованные выгрузки).
Юридическая реальность:
▶️ В 152-ФЗ нет отдельной магической нормы про федеративное обучение, значит применяется общее регулирование;
▶️ Требования по безопасности ПДн действуют в любом случае.
▶️ Если в инфраструктуре есть внешние участники / облака / подрядчики, анализ ролей и поручений остается.
КАК СДЕЛАТЬ ФЕДЕРАТИВНОЕ ОБУЧЕНИЕ БОЛЕЕ БЕЗОПАСНЫМ:
〰️ Secure aggregation (центр видит только агрегированный результат, а не обновления конкретного узла);
〰️ Дифференциальная приватность (шум в обновлениях снижает риск восстановления исходных данных);
〰️ Контроль обновлений (проверка на аномалии/вредоносные вклады, защита от "отравления" модели);
〰️ Жесткая дисциплина логирования и хранения артефактов.
Если вы не хотите тащить ПДн в обучение, есть другой путь: заменить сырые данные на синтетические и использовать техники приватности так, чтобы и качество было, и риски ниже.
