Spør oss om AI: AI og cybersikkerhet

Mange jobber vil forsvinne, arbeidsoppgaver automatiseres og produktiviteten går opp. 

For å holde tritt med utviklingen, bør private virksomheter klare å utnytte kunstig intelligens for både å opprettholde konkurranseevnen og innta nye markeder. For offentlige tjenester vil generativ AI være et viktig virkemiddel for å effektivisere driften i lys av demografisk og teknologisk utvikling.  Arbeidstakere må lære seg nye måter å jobbe på, og nyutdannede må ha AI-kompetanse for å være attraktive på arbeidsmarkedet. Utdanninger må endres radikalt for å være relevante i møte med morgendagens næringsliv og samfunnet generelt.

Når vi analyserer sikkerhetsbildet for generativ AI, må vi blant annet se på om virksomheten:

1. Bruker standard generativ AI, som ChatGPT eller Copilot: Sikkerhetsbildet endrer seg særlig med tanke på beskyttelse av konfidensialitet og personvern, ivaretakelse av opphavsrett, ansvar for kvalitet og muligheter for etterprøvbarhet.

2. Trener opp en egen generativ AI, som Azure OpenAI eller IBM Watson: Ivaretakelse av integritet og sikring av tilgjengelighet, forholdet til ny lovgivning som AI Act og betingelser i avtaleverk er utsatt. Andre utfordringer knytter seg til ansvar for kvalitet og muligheter for etterprøvbarhet, samt opphavsrett i noen tilfeller.

3. Ønsker å beskytte seg mot generativ AI, for eksempel gjennom e-post eller telefoni:
   Her vil sikkerhetsbildet forandres med tanke på bevisstgjøring og opplæring av ansatte. Eksisterende teknologiske og menneskelige kontroller må oppdateres for å håndtere nye trusler, og nye kontroller må etableres når de eksisterende ikke er gode nok.

4. Vil beskytte seg med generativ AI, for eksempel med Darktrace eller CrowdStrike
   Når vi tar i bruk nye teknologiske løsninger kan kravene til etterprøvbarhet endre seg, nye lovkrav, for eksempel AI Act, kan begrense eller stille krav til virksomhetens muligheter til å bruke AI – også til forsvar.

Vi må se på tre sikkerhetsmessige dimensjoner, og disse er 1) informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet), 2) juridiske vurderinger (lover og regler, personvern, opphavsrett og avtaleverk), og 3) kvalitet og etikk (roller, ansvar og etterprøvbarhet). 

For å være rustet til å ta i bruk generativ AI på en god måte, er det en forutsetning å ha god kontroll på informasjonssikkerheten. Virksomheter som har kontroll, kan forsvare seg effektivt i et dynamisk trusselbilde – de har gjerne foretatt verdivurderinger og identifisert hvilke IT-systemer som er virksomhetskritiske. I tillegg har de gjerne en god forståelse for det aktuelle trusselbildet og hvordan regulatoriske krav og relevante anbefalinger påvirker dem. De kjenner modenheten av sin egen IKT-infrastruktur og IT-systemene, og de har gjennomført risikovurderinger og iverksatt nødvendige tiltak for å opprettholde et forsvarlig sikkerhetsnivå.

Virksomheter med god kontroll vil enklere kunne forholde seg til nye lovverk, som for eksempel AI Act. De kan relativt presist vurdere risikoen ved brukerscenarioer med kunstig intelligens, slik at de kan identifisere og sette i gang nye tiltak. Omfanget av endringene blir mindre, og virksomheten kan fokusere på å utnytte teknologien til sin fordel.

For virksomheter med mindre kontroll på informasjonssikkerheten er saken noe annerledes. Disse kan oppleve AI som enda en kompliserende faktor det er vanskelig å forholde seg til på en strukturert og proaktiv måte. For disse vil det ofte være best å ta et steg tilbake og etablere en grunnleggende kontroll før de går i gang med å implementere kunstig intelligens – og med dette unngå unødvendig risiko. Ulempen ved dette er selvfølgelig risikoen for å ikke klare å holde tritt, og dermed bli forbigått av konkurrenter.

Aller først – det er viktig å etablere overordnede prinsipper og praktiske retningslinjer for bruken av AI. Dette er en nødvendighet for å kunne utnytte teknologien forsvarlig, og derfor kaller vi dette «forsvarlig AI». Forsvarlig AI setter virksomheten i stand til å forholde seg proaktivt til AI, og dermed kunne svare på spørsmål som:

1. Hvordan beskytter vi konfidensialitet og personvern?
2. Hvordan ivaretar vi opphavsretten?
3. Hvem er ansvarlig for kvaliteten?
4. Hvordan etterprøver vi resultatene?
5. Hvordan ivaretar vi integritet og sikrer tilgjengelighet?
6. Hvilke lover og regler gjelder?
7. Kan vi bruke eksisterende avtaleverk?
8. Hvordan sjekker jeg om informasjonen er produsert med AI?
9. Hva bør vi sjekke før vi tar i bruk en ny generativ AI?