1 day ago
4
Drevet av ’flinkis-kultur’, tidspress og virksomhetenes treghet med å godkjenne nye verktøy, ser vi nå at bedriftskritisk informasjon gradvis siver ut. Ansattes jakt på effektivitet er i ferd med å bli risiko.
Fredrik Standahl Daglig leder i FM CyberSecurity.
Ansattes ønske om å være langt fremme i skoa på kunstig intelligens, er blitt en stor risiko, mener kronikkforfatteren. Foto: Dado Ruvic / Reuters / NTBDette er en kronikk
Kronikken gir uttrykk for skribentens holdning.
Norge ligger i verdenstoppen i bruk av generativ kunstig intelligens (KI). Ivrige ansatte sitter ikke lenger på gjerdet og venter på at ledelsen skal beslutte nøyaktig hvilke verktøy som er godkjente.
De er langt fremme i skoene og har tatt i bruk tjenester som gjør at de jobber raskere, bedre og leverer mer verdi.
I 2025 brukte 56 prosent av nordmenn generativ KI. Men mens bruken i privat sammenheng er høy, oppgir kun 35 prosent at de bruker det offisielt i jobbsammenheng.
Globalt fant MIT i fjor at kun 40 prosent av selskaper har et betalt LLM-abonnement, samtidig som 90 prosent av de ansatte i de samme selskapene bruker personlige KI-kontoer til arbeidsoppgaver.
Dette gapet er definisjonen på «skygge-KI».
Dette skjer i god tro. De ansatte er drevet av et genuint ønske om å prestere. Når de støter på komplekse oppgaver som bedriftens offisielle verktøy ikke løser, er veien kort til en rask registrering på en ny, spesialisert KI-plattform.
Uten at den ansatte nødvendigvis overskuer konsekvensene, får disse verktøyene ofte tilgang til alt fra filsystemer og e-postutveksling til bedriftskritisk kildekode.
I det øyeblikket sensitive data mates inn i en uautorisert modell for å generere et sammendrag eller løse en feilmelding, har informasjonen i praksis forlatt virksomhetens kontrollsone.
Dataene kan bli brukt til å trene opp fremtidige modeller, de kan lagres på usikre servere i tvilsomme jurisdiksjoner, eller de kan eksponeres direkte gjennom sårbarheter i selve plattformen.
Har du selv brukt KI-verktøy i jobbsammenheng som ikke er godkjent av IT-avdelingen?aMoi?! Jeg ville aldri funnet på å gjøre det.bSelvsagt har jeg det. Vi har ikke tid til å vente på alle mulige tillatelser!cKI, AI. Jeg bruker ikke det. Tror det er forbigående greie. Markedet flommer i dag over av spesialiserte KI-verktøy som lover alt fra dyp juridisk analyse til medisinsk diagnostikk. Jo mer nyttige disse verktøyene fremstår, desto større blir fristelsen til å ta en snarvei utenom IT-avdelingen.
Vi har allerede sett de første store smellene. Da den KI-baserte utviklerplattformen Lovable nylig ble rammet av et sikkerhetsbrudd, kom det frem at ansatte i giganter som Samsung, Amazon og en rekke store finansinstitusjoner hadde benyttet tjenesten uautorisert.
Bedriftskritisk kildekode og interne strategidokumenter ble liggende ubeskyttet fordi enkeltansatte jaktet effektivitet.
Dette føyer seg inn i rekken av lignende hendelser, som da ingeniører i Samsung tidligere lastet opp konfidensiell kode til ChatGPT for feilretting, for så å så oppdage at selskapets forretningshemmeligheter ble en del av modellens offentlige kunnskapsgrunnlag.
Virksomheter må betrakte KI som kritisk infrastruktur, med samme grad av kontroll og arkitektur som bankoverføringer og personalsystemer.
Skal vi unngå at KI-revolusjonen ender som en sikkerhetsmessig katastrofe, må vi tette gapet mellom de ansattes behov for kraftfulle verktøy og bedriftens krav til kontroll.
Akkurat nå går KI-bruken over stokk og stein, fordi innovasjonstakten har utmanøvrert risikovurderingene.
Den største risikoen er ikke å bruke KI. Det er å la de ansatte bruke KI alene i mørket.
English (US)