I løpet av det siste året har det blitt åpenbart at generativ AI vil medføre store endringer for samfunnet og næringslivet.
Mange jobber vil forsvinne, arbeidsoppgaver automatiseres og produktiviteten går opp.
For å holde tritt med utviklingen, bør private virksomheter klare å utnytte kunstig intelligens for både å opprettholde konkurranseevnen og innta nye markeder. For offentlige tjenester vil generativ AI være et viktig virkemiddel for å effektivisere driften i lys av demografisk og teknologisk utvikling. Arbeidstakere må lære seg nye måter å jobbe på, og nyutdannede må ha AI-kompetanse for å være attraktive på arbeidsmarkedet. Utdanninger må endres radikalt for å være relevante i møte med morgendagens næringsliv og samfunnet generelt.
Generativ AI endrer trusselbildet
Å ha et proaktivt og helhetlig forhold til informasjonssikkerhet, regulatoriske krav, kvalitet og etiske problemstillinger, er en forutsetning for å lykkes med bruken av generativ AI. Uten dette, kan bruken føre til brudd på informasjonssikkerheten, manglende juridisk etterlevelse, kvalitet som ikke møter akseptabel standard, og etiske problemer med alvorlige konsekvenser. Dersom bruken ikke er forsvarlig, kan teknologien ende opp med å bli en hemsko snarere enn en fordel. Både virksomhetens troverdighet og konkurransedyktighet vil dermed være utfordret.
Generativ AI endrer også trusselbildet, og vi ser at ondsinnede aktører finner stadig nye, kostnadseffektive metoder for å skade kritisk infrastruktur, tilegne seg hemmeligheter eller intellektuelle verdier, eller for å drive økonomisk vinningskriminalitet. På samme tid som den åpner nye mulighetsrom for trusselaktørene, gir teknologien samtidig nye muligheter for forsvar mot eksisterende og nye trusler – digitale så vel som menneskelige.
Hvordan påvirker generativ AI sikkerhetsbildet?
Når vi analyserer sikkerhetsbildet for generativ AI, må vi blant annet se på om virksomheten:
- Bruker standard generativ AI, som ChatGPT eller Copilot: Sikkerhetsbildet endrer seg særlig med tanke på beskyttelse av konfidensialitet og personvern, ivaretakelse av opphavsrett, ansvar for kvalitet og muligheter for etterprøvbarhet.
Trener opp en egen generativ AI, som Azure OpenAI eller IBM Watson: Ivaretakelse av integritet og sikring av tilgjengelighet, forholdet til ny lovgivning som AI Act og betingelser i avtaleverk er utsatt. Andre utfordringer knytter seg til ansvar for kvalitet og muligheter for etterprøvbarhet, samt opphavsrett i noen tilfeller.
Ønsker å beskytte seg mot generativ AI, for eksempel gjennom e-post eller telefoni:
Her vil sikkerhetsbildet forandres med tanke på bevisstgjøring og opplæring av ansatte. Eksisterende teknologiske og menneskelige kontroller må oppdateres for å håndtere nye trusler, og nye kontroller må etableres når de eksisterende ikke er gode nok.Vil beskytte seg med generativ AI, for eksempel med Darktrace eller CrowdStrike
Når vi tar i bruk nye teknologiske løsninger kan kravene til etterprøvbarhet endre seg, nye lovkrav, for eksempel AI Act, kan begrense eller stille krav til virksomhetens muligheter til å bruke AI – også til forsvar.
Vi må se på tre sikkerhetsmessige dimensjoner, og disse er 1) informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet), 2) juridiske vurderinger (lover og regler, personvern, opphavsrett og avtaleverk), og 3) kvalitet og etikk (roller, ansvar og etterprøvbarhet).
Bruken av AI krever god kontroll
For å være rustet til å ta i bruk generativ AI på en god måte, er det en forutsetning å ha god kontroll på informasjonssikkerheten. Virksomheter som har kontroll, kan forsvare seg effektivt i et dynamisk trusselbilde – de har gjerne foretatt verdivurderinger og identifisert hvilke IT-systemer som er virksomhetskritiske. I tillegg har de gjerne en god forståelse for det aktuelle trusselbildet og hvordan regulatoriske krav og relevante anbefalinger påvirker dem. De kjenner modenheten av sin egen IKT-infrastruktur og IT-systemene, og de har gjennomført risikovurderinger og iverksatt nødvendige tiltak for å opprettholde et forsvarlig sikkerhetsnivå.
Virksomheter med god kontroll vil enklere kunne forholde seg til nye lovverk, som for eksempel AI Act. De kan relativt presist vurdere risikoen ved brukerscenarioer med kunstig intelligens, slik at de kan identifisere og sette i gang nye tiltak. Omfanget av endringene blir mindre, og virksomheten kan fokusere på å utnytte teknologien til sin fordel.
For virksomheter med mindre kontroll på informasjonssikkerheten er saken noe annerledes. Disse kan oppleve AI som enda en kompliserende faktor det er vanskelig å forholde seg til på en strukturert og proaktiv måte. For disse vil det ofte være best å ta et steg tilbake og etablere en grunnleggende kontroll før de går i gang med å implementere kunstig intelligens – og med dette unngå unødvendig risiko. Ulempen ved dette er selvfølgelig risikoen for å ikke klare å holde tritt, og dermed bli forbigått av konkurrenter.
Våre anbefalinger
Aller først – det er viktig å etablere overordnede prinsipper og praktiske retningslinjer for bruken av AI. Dette er en nødvendighet for å kunne utnytte teknologien forsvarlig, og derfor kaller vi dette «forsvarlig AI». Forsvarlig AI setter virksomheten i stand til å forholde seg proaktivt til AI, og dermed kunne svare på spørsmål som:
- Hvordan beskytter vi konfidensialitet og personvern?
- Hvordan ivaretar vi opphavsretten?
- Hvem er ansvarlig for kvaliteten?
- Hvordan etterprøver vi resultatene?
- Hvordan ivaretar vi integritet og sikrer tilgjengelighet?
- Hvilke lover og regler gjelder?
- Kan vi bruke eksisterende avtaleverk?
- Hvordan sjekker jeg om informasjonen er produsert med AI?
- Hva bør vi sjekke før vi tar i bruk en ny generativ AI?
Ta kontakt med vårt AI-senter
Vi har mange rådgivere som engasjerer seg for ny teknologi og kunstig intelligens. De jobber alle med hvordan vi kan bruke nye verktøy best mulig for å nå forretningsmål. Noe du lurer på? Her er noen av dem du kan snakke med om AI i din virksomhet.
Tom Einar Nyberg
Partner | Head of Data, AI & Emerging Technology
KPMG i Norge
Esther Amalie Voktor Borgen
Director | Produkteier og prosjektleder
KPMG i Norge
Jørn Anders Jenssen
Partner | Cyber & Security
KPMG i Norge
Mats Myhrvold Bjerke
Manager | Digital Lighthouse
KPMG i Norge
Trygve Hardersen
Director
KPMG i Norge