Slik påvirker generativ AI sikkerhetsbildet

– Om hvordan virksomheter kan utnytte generativ AI på en forsvarlig måte

Store endringer for næringslivet

De siste årene har fjernet all tvil rundt om generativ AI vil medføre endringer for samfunnet og næringslivet. Det betyr blant annet at jobber forsvinner, arbeidsoppgaver automatiseres og produktiviteten øker.

Trygve Hardersen

Cyber & Security (Advisory)

KPMG i Norge

For å holde tritt med utviklingen, bør private virksomheter klare å utnytte kunstig intelligens for både å opprettholde konkurranseevnen og innta nye markeder. For offentlige tjenester vil generativ AI være et viktig virkemiddel for å effektivisere driften i lys av demografisk og teknologisk utvikling.  Arbeidstakere må lære seg nye måter å jobbe på, og nyutdannede må ha AI-kompetanse for å være attraktive på arbeidsmarkedet. Utdanninger må endres radikalt for å være relevante i møte med morgendagens næringsliv og samfunnet generelt.

Et trusselbilde i endring

Å ha et proaktivt og helhetlig forhold til informasjonssikkerhet, regulatoriske krav, kvalitet og etiske problemstillinger, er en forutsetning for å lykkes med bruken av generativ AI. Uten dette kan bruken føre til brudd på informasjonssikkerheten, manglende juridisk etterlevelse, kvalitet som ikke møter akseptabel standard, og etiske problemer med alvorlige konsekvenser. Dersom bruken ikke er forsvarlig, kan teknologien ende opp med å bli en hemsko snarere enn en fordel. Både virksomhetens troverdighet og konkurransedyktighet vil dermed være utfordret.

Ondsinnede aktører finner stadig nye, kostnadseffektive metoder for å skade kritisk infrastruktur, tilegne seg hemmeligheter eller intellektuelle verdier, eller for å drive økonomisk vinningskriminalitet. Samtidig som trusselbildet endres, fordi trusselaktørene får nye muligheter, får også vi tilgang på nye verktøy for å forsvare oss mot eksisterende og nye trusler – både digitale og menneskelige.

Ta en avsjekk av tre dimensjoner

Enten virksomheten bruker standard generativ AI i hverdagen, trener opp sin egen, eller ønsker å beskytte seg enten mot eller med generativ AI, er sikkerhetsbildet påvirket. Uansett bruksområde eller -formål, er det tre sikkerhetsmessige dimensjoner å ta en avsjekk av:

  1. Informasjonssikkerhet: konfidensialitet, integritet og tilgjengelighet
  2. Juridiske vurderinger: lover og regler, personvern, opphavsrett og avtaleverk - blant annet AI Act
  3. Kvalitet og etikk: roller, ansvar og etterprøvbarhet

Bruk av kunstig intelligens krever god kontroll

For å være rustet til å ta i bruk generativ AI på en god måte, er det en forutsetning å ha god kontroll på informasjonssikkerheten. Virksomheter som har kontroll, kan forsvare seg effektivt i et dynamisk trusselbilde – de har gjerne foretatt verdivurderinger og identifisert hvilke IT-systemer som er virksomhetskritiske. I tillegg har de gjerne en god forståelse for det aktuelle trusselbildet og hvordan regulatoriske krav og relevante anbefalinger påvirker dem. De kjenner modenheten av sin egen IKT-infrastruktur og IT-systemene, og de har gjennomført risikovurderinger og iverksatt nødvendige tiltak for å opprettholde et forsvarlig sikkerhetsnivå.

Virksomheter med god kontroll kan enklere forholde seg til AI-lovverkene, som for eksempel AI Act. De kan relativt presist vurdere risikoen ved brukerscenarioer med kunstig intelligens, slik at de kan identifisere og sette i gang nye tiltak. Omfanget av endringene blir mindre, og virksomheten kan fokusere på å utnytte teknologien til sin fordel.

For virksomheter med mindre kontroll på informasjonssikkerheten er saken noe annerledes. Disse kan oppleve AI som enda en kompliserende faktor det er vanskelig å forholde seg til på en strukturert og proaktiv måte. For disse vil det ofte være best å ta et steg tilbake og etablere en grunnleggende kontroll før de går i gang med å implementere kunstig intelligens – og med dette unngå unødvendig risiko. Ulempen ved dette er selvfølgelig risikoen for å ikke klare å holde tritt, og dermed bli forbigått av konkurrenter.

Sjekkliste: Forsvarlig bruk av AI

Aller først – det er viktig å etablere overordnede prinsipper og praktiske retningslinjer for bruken av AI. Dette er en nødvendighet for å kunne utnytte teknologien forsvarlig, og derfor kaller vi dette «forsvarlig AI». Forsvarlig AI setter virksomheten i stand til å forholde seg proaktivt til AI, og dermed kunne svare på spørsmål som:

  1. Hvordan beskytter vi konfidensialitet og personvern?
  2. Hvordan ivaretar vi opphavsretten?
  3. Hvem er ansvarlig for kvaliteten?
  4. Hvordan etterprøver vi resultatene?
  5. Hvordan ivaretar vi integritet og sikrer tilgjengelighet?
  6. Hvilke lover og regler gjelder?
  7. Kan vi bruke eksisterende avtaleverk?
  8. Hvordan sjekker jeg om informasjonen er produsert med AI?
  9. Hva bør vi sjekke før vi tar i bruk en ny generativ AI?