AI-generert risiko for norske virksomheter: Hvordan påvirker AI sikkerhetsarbeidet?

Nedenfor beskrives disse hovedrisikoene og noen grep virksomheter bør vurdere for å håndtere risikoene på en effektiv måte de kommende årene.

AI-genererte feil

AI har potensial til vesentlig å skape betydelige effektiviseringsgevinster for norske virksomheter, men AI gjør feil. Noen feil kan være trivielle, men integreres AI i kjerneprosesser øker risikoen. Risikoen dette innebærer er uunngåelig å ta stilling til når AI de kommende årene tas i bruk i stadig større grad.

Hvordan jobber de beste virksomhetene for å håndtere risikoen?

• Hvilken kvalitet AI kan levere sett i forhold til de opprinnelige løsningene måles og utrullingsplanen tilpasses deretter
• Rutiner etableres for å sikre manuell kvalitetssikring av AI-genererte svar der feil ikke kan tolereres
• Automatiske deteksjonsregler som varsler om potensielle kvalitetsproblemer og feil etableres før de settes i drift

AI gjør kriminelle aktører mer «effektive»

Nye teknologier kan som regel misbrukes og AI er intet unntak. AI-teknologi gjør livet enklere for trusselaktører på mange måter: Det blir lettere å utgi seg for å være noen andre for eksempel for å få tilgang til virksomhetens verdier, enklere å automatisere søk etter virksomhetens sårbarheter og enklere å gjennomføre phishingangrep med høy troverdighet rettet mot attraktive mål. Listen kunne vært mye lenger. Cyberkriminalitet vokste kraftig allerede før ChatGPTs gjennombrudd for et par år siden og veksten ventes å fortsette.

For virksomheter er det med andre ord mange gode grunner til å øke investeringene i beskyttelsestiltak de kommende årene.

Hvordan jobber de beste virksomhetene for å håndtere risikoen?

1. De viktigste risikoene i virksomheten kartlegges
2. Målrettet arbeid for å heve basisnivået knyttet til sikkerhet gjennomføres (e.g. passordkvalitet, håndtering av phishing)
3. AI brukes til sikkerhetsarbeidet i egen virksomhet: Det er bedre at virksomheten selv detekterer sårbarhetene sine med automatiske AI-verktøy enn at uvedkommende gjør det.

Det blir mer krevende å ha kontroll på egne verdier

I parallell med at norske virksomheter øker bruken av AI øker også leverandørrisikoen. Stadig større datamengder og større deler av verdiskapingen skjer nå gjennom bruk av teknologileverandører det blir stadig mer krevende å bytte ut. Virksomheter som bruker leverandører det ikke er grunnlag for å ha tillit til eksponerer seg for en rekke risikoer. Dataene kan havne på avveie, eksempelvis fordi leverandører bruker dataene til trening av sine modeller og implisitt gjør dataene «søkbare» for omverden eller fordi leverandører som benyttes har uærlige intensjoner. En annen sikkerhetsrisiko består i at leverandører kan gå konkurs eller legge ned tilbudet av en tjeneste uten hensyn til hvilken avhengighet den enkelte virksomhet har til tjenesten.

Hvordan jobber de beste virksomhetene for å håndtere risikoen?

1. Anerkjente og etablerte leverandører benyttes hvis mulig
2. Avtalevilkårenes regulering av eierskapet til dataene og systemene kontrolleres og verktøyene som benyttes for å ivareta sikkerhetshensynene konfigureres
3. Ansvarslinjene mellom virksomheten og leverandørene ved sikkerhetshendelser tydeliggjøres

Størrelsen på risikoene er unik for den enkelte virksomhet - det bør også håndteringen av dem være

Nær sagt alle norske virksomheter vil være eksponert for disse risikoene i årene som kommer. Det betyr imidlertid ikke at alle virksomheter bør iverksette like kraftfulle tiltak for å sikre seg mot alle risikoene. Å ta stilling til hvilke tiltak som bør innføres må gjøres med utgangspunkt i en forståelse av hva som er viktig for den enkelte virksomheten å beskytte og hvor stor den enkelte risiko er for virksomheten. Svaret avhenger blant annet av hvor i virksomheten AI skal tas i bruk og med hvilket omfang.