Hvordan sikre cybersikkerhet ved bruk av kunstig intelligens (KI)

Det er fire ting bedrifter frykter mest når det gjelder bruk og implementering av KI: 

Les også: Slik organiserer du deg agilt for å lykkes med kunstig intelligens

– Det grunnleggende sikkerhetsperspektivet er det viktigste. Det er det samme vi har snakket om siden infromasjonssikkerhetens start: Datasikkerhet, dataklassifisering, tilgangsstyring, personvern, risikovurdering og kontinuerlig overvåkning, avslutter Eldar.

Slik implementerer du KI på en trygg måte med tre steg:

KI-regulering du må ha oversikt over

Disse hurtige utviklingene presser lovgivere til å regulere det nye markedet. For eksempel ble AI act vedtatt tidlig i 2024, og eksisterende reguleringer som EU GDPR (General Data Protection Regulation) og EU Data Act må også tas i betraktning. Mange institusjoner har publisert veiledning og rammeverk for sikkerheten til KI, inkludert NIST AI Risk Management, ENISA’s Multilayer Framework for Good Cybersecurity Practices for AI, UK National Cyber Security Center og US Cybersecurity and Infrastructure Security Agency Guidelines for sikker KI-systemutvikling, OWASP AI Exchange og MITRE ATLAS. Samtidig ligger utfordringen i å opprettholde en oversikt innenfor et svært dynamisk regulatorisk landskap og en raskt utviklende teknologi som KI. Standarder som ISO/IEC 42001 er viktige å vurdere for alle selskaper for å trygt implementere KI.

Les også: Tre steg for å implementere Copilot på en trygg måte

Skygge-KI øker riskoen for å bli hacket

Ettersom generative KI-verktøy blir stadig mer tilgjengelige, dukker det opp en ny type risiko. “Skygge-KI" er uautoriserte applikasjoner brukt av ansatte og utviklere for bekvemmelighet eller eksperimentering. De omgår sikkerhetskontroller og øker sannsynligheten for databrudd eller lekkasjer. Dette forsterkes enda mer når vi ser at selskaper blokkerer tilgang til GenAI-verktøy på sine web-proxyer, noe som fører til at ansatte overfører sensitiv data til private enheter som kommer med et eget sett med risikoer.

–Å ha kontroll på data og hvem som har tilgang til den har alltid vært viktig. Data governance har blitt et helt annet tema nå. Nå er det en business enabler. Du får stor effekt av å bruke data til å skape verdi, sier Eldar Lorentzen Lillevik, cyberpartner i PwC. 

Les mer: Slik bruker du Privileged Access Management (PAM) i din virksomhet

Dataene forblir i et trygt miljø 

Kontekstbasert søking (Retrieval-Augmented-Generation/RAG) har åpnet markedet for individualisering. På denne måten kan bedrifter bruke generelle generativ KI-modeller og forsterke dem med sine interne og proprietære data. Samtidig forblir dataene innenfor et sikkert miljø uten behov for å trene dem direkte inn i modellene. Markedsperspektivet viser: Ettersom LLM-utdatakvaliteten konvergerer, kommer differensiering fra dataene som modellene har tilgang til. Bedrifter må finne måter å trygt mate den generative KI-en med dataene sine for ikke å falle bak.

Les mer: Seks råd til ledere som vil unngå cyberangrep

Hackerne bruker KI 

Kriminelle forholder seg ikke til compliance. De bruker KI for å kunne angripe enda raskere og de blir bedre og bedre på sosial manipulasjon, deepfakes og skadevare.

– Dette er et våpenkappløp hvor angriper og forsvarer sloss om overtaket. Jeg har tro på at det gode vinner, men vi er ikke der i dag, sier Eldar.