Site Search

Loading Results

Trestegs guide:

Hvordan sikre cybersikkerhet ved bruk av kunstig intelligens (KI)
Kriminelle forholder seg ikke til compliance. De bruker KI for å kunne angripe enda raskere og de blir bedre og bedre på sosial manipulasjon, deepfakes og skadevare.
  • april 29, 2024

– Store norske virksomheter kjører igang prosjekter på generativ KI men setter på bremsen fordi de er redde for å slippe løs dataen, sier Hilde Magnø, ekspert på KI og cyber i PwC. Her er det du må vite for å ta i bruk KI på en trygg måte.

Det er fire ting bedrifter frykter mest når det gjelder implementering av KI: 

Ansatte bruker apper som ikke er overvåket. De lekker data internt til verden

Mangel på gjennomsiktighet: Redde for at de ikke får oversikt over hvordan ansatte bruker teknologien

De frykter hvordan regulatoriske krav kan påvirke bruken av KI

De frykter at investeringen ikke gir gevinsten de håper på. At ansatte ikke tar det i bruk.

Dette er en diametralt ny måte å jobbe på. Det krever en enorm endringsledelse. Prosjektene er på et høyere plan enn IT-sjefer. Det er en game changer.

Eldar Lorentzen LillevikCyberpartner i PwC


Les også: Slik organiserer du deg agilt for å lykkes med kunstig intelligens

– Det grunnleggende sikkerhetsperspektivet er det viktigste. Det er det samme vi har snakket om i ti år nå: Sikker autentiseringskontroll, tilgangsstyring, nettverkssikkerhet, overvåking, ha en måte å respondere på varslinger på, bygg lag på lag med forsvar. Så det trengs mer enn en person for å overføre 500 000 kroner til andre, avslutter Eldar.

Slik implementerer du KI på en trygg måte med tre steg:

  1. Klassifisering av sensitiv data

  2. Begrensning på åpne områder

  3. Regelmessig revision av tilganger

  4. Regler knyttet til sensitiv informasjon som hindrer datatap

  5. Regler for sletting av data

  6. Logging

  1. App Discovery: Ha verktøy/prosesser som identifiserer og overvåker hvilke AI-applikasjoner som blir brukt i organisasjonen.

  2. Retningslinjer

For å sikre at AI blir brukt på en trygg og effektiv måte, er det viktig å legge til rette for brukeradopsjon. Dette kan være:

  1. Definert sluttmål: Ha et klart definert mål for hva du håper å oppnå med AI. Dette kan hjelpe med å guide hvordan AI blir implementert og brukt i organisasjonen.

  2. Opplæring: Tilby omfattende opplæring til alle brukere av AI-verktøy. Dette bør omfatte både teknisk opplæring i hvordan man bruker verktøyet, og etisk opplæring i hvordan man bruker AI på en ansvarlig måte.

  3. Policy for bruk: Utvikle en policy som klart angir hvordan AI skal brukes i organisasjonen. Dette kan inkludere retningslinjer for hvilke typer oppgaver AI kan brukes til, hvem som har tilgang til AI-verktøy, og hvordan data skal håndteres.

  4. Policy for genererte data: Ha en policy på plass for hvordan data som er generert av AI skal håndteres. Dette kan omfatte retningslinjer for lagring, deling og bruk av AI-genererte data.

 

KI-regulering du må ha oversikt over

Disse hurtige utviklingene presser lovgivere til å regulere det nye markedet. For eksempel ble AI act vedtatt tidlig i 2024, og eksisterende reguleringer som EU GDPR (General Data Protection Regulation) og EU Data Act må også tas i betraktning. Mange institusjoner har publisert veiledning og rammeverk for sikkerheten til AI, inkludert NIST AI Risk Management, ENISA’s Multilayer Framework for Good Cybersecurity Practices for AI, UK National Cyber Security Center og US Cybersecurity and Infrastructure Security Agency Guidelines for sikker AI-systemutvikling, OWASP AI Exchange og MITRE ATLAS. Samtidig ligger utfordringen i å opprettholde en oversikt innenfor et svært dynamisk regulatorisk landskap og en raskt utviklende teknologi som AI. Standarder som ISO/IEC 42001 er viktige å vurdere for alle selskaper for å trygt implementere KI.

Les også: Tre steg for å implementere Copilot på en trygg måte

Lær mer om risikoen ved generativ KI

Se rapporten "managing the risk of generative AI". Alt en ansvarlig for compliance og sikkerhet trenger å vite.

Last ned AI-rapporten her

Les mer om våre KI-tjenester her

Vi kan hjelpe deg med alt fra utvikling av KI-modeller til retningslinjer og organisering.

Les mer om våre KI-tjenester

Skygge-KI øker riskoen for å bli hacket

Ettersom generative KI-verktøy blir stadig mer tilgjengelige, dukker det opp en ny type risiko. “Skygge-KI" er uautoriserte applikasjoner brukt av ansatte og utviklere for bekvemmelighet eller eksperimentering. De omgår sikkerhetskontroller og øker sannsynligheten for databrudd eller lekkasjer. Dette forsterkes enda mer når vi ser at selskaper blokkerer tilgang til GenAI-verktøy på sine web-proxyer, noe som fører til at ansatte overfører sensitiv data til private enheter som kommer med et eget sett med risikoer.

–Å ha kontroll på data og hvem som har tilgang til den har alltid vært viktig. Data governance har blitt et helt annet tema nå. Nå er det en business enabler. Du får stor effekt av å bruke data til å skape verdi, sier Eldar Lorentzen Lillevik, cyberpartner i PwC. 

Les mer: Slik bruker du Privileged Access Management (PAM) i din virksomhet

Dataene forblir i et trygt miljø 

Kontekstbasert søking (Retrieval-Augmented-Generation/RAG) har åpnet markedet for individualisering. På denne måten kan bedrifter bruke generelle generativ KI-modeller og forsterke dem med sine interne og proprietære data. Samtidig forblir dataene innenfor et sikkert miljø uten behov for å trene dem direkte inn i modellene. Markedsperspektivet viser: Ettersom LLM-utdatakvaliteten konvergerer, kommer differensiering fra dataene som modellene har tilgang til. Bedrifter må finne måter å trygt mate den generative KI-en med dataene sine for ikke å falle bak.

Les mer: Seks råd til ledere som vil unngå cyberangrep

Hackerne bruker KI 

Kriminelle forholder seg ikke til compliance. De bruker KI for å kunne angripe enda raskere og de blir bedre og bedre på sosial manipulasjon, deepfakes og skadevare. – Men vi har etterhvert klart å stoppe mye, sier Eldar.

Eldar Lorentzen Lillevik

– Den grunnleggende cyber sikkerheten er det viktigste. Det er det samme vi har snakket om lenge: Sikker autentiseringskontroll, tIlgangsstyring, nettverkssikkerhet, overvåking, ha en måte å respondere på varslinger på, bygg lag på lag med forsvar, sier cyberpartner i PwC, Eldar Lorentzen Lillevik.

Lær mer om risikoen ved generativ KI

Se rapporten "managing the risk of generative AI". Alt en ansvarlig for compliance og sikkerhet trenger å vite.

Last ned KI-rapporten her

Les mer om våre KI-tjenester her

Vi kan hjelpe deg med alt fra utvikling av KI-modeller til retningslinjer og organisering.

Les mer om våre KI-tjenester

Eldar Lorentzen Lillevik

Partner | Cyber Security & Privacy, Oslo, PwC Norway

951 02 435

Kontakt meg

Om oss Kontakt Presse Event Innsikt Tjenester Kontorer Karriere Alumni

© 2020 - 2024 PwC. Alle rettigheter forbeholdt. PwC refererer til PwC-nettverket og/eller en eller flere av dets medlemsfirmaer, som hver enkelt er en egen juridisk enhet. Vennligst se www.pwc.com/structure for mer informasjon.