KOMMENTAR | Thomas Tømmernes
Når alle blir Sherlock Holmes og ingen har låst arkivskapet
Det finnes to typer mennesker: De som har hatt nøkkelen til arkivet og selskapets hemmeligheter, og de som aksepterer at det finnes informasjon man ikke har eller trenger tilgang til.
I IT-sikkerhetsverdenen har vi lenge levd godt med begge. Men nå har kunstig intelligens mer eller mindre flyttet tilgangen og gitt hver ansatt både forstørrelsesglass, kartoteknøkkel og adgang til kjelleren. Med mindre virksomheten har gjort et godt forarbeid før kraftige KI-verktøy blir innført.
Tallenes tale er tydelig i vår ferske IT-sikkerhetsundersøkelse, Bevissthet og beredskap. Andelen som ser KI som en sikkerhetsrisiko har økt fra 34 til 47 prosent. Samtidig oppgir 74 prosent at ansattes bruk av KI-tjenester er den mest fryktede risikoen knyttet til kunstig intelligens. Frykten handler særlig om lekkasje av sensitive data. Ofte skjer det gjennom uautoriserte løsninger, det vi nå omtaler som «skygge-KI».
Det er nok ikke fordi folk er teknologifiendtlige, for dette handler ikke først og fremst om teknologi. Men jeg tror det handler om oss mennesker og våre vaner.
Skygge‑KI: Som å låne naboens motorsag uten å si ifra
«Skygge‑IT» har vi kjent i årevis. En Dropbox-konto her, et gratis verktøy der. «Skygge‑KI» er samme øvelse, bare med turbo. Nå trenger du verken kodekunnskap eller administratorrettigheter. Du trenger bare å kunne stille gode spørsmål.
Plutselig sitter Kari på regnskap med en KI som kan analysere kundedata raskere enn økonomiavdelingen noen gang har gjort. Per i HR får hjelp til å «oppsummere» personalsaker. Og en engasjert prosjektleder limer inn et strategidokument i et tilfeldig nettbasert KI‑verktøy fordi «det gikk jo så fort».
Alle har gode intensjoner. Akkurat som når man låner naboens motorsag uten å spørre, men ender med å kappe over strømledningen.
KI gjør all informasjon tilgjengelig, hvis du lar den
Vi må tørre å si det høyt: KI endrer maktbalansen i virksomheten. Ikke gjennom ond vilje, men gjennom tilgjengelighet. Når ledere implementerer KI uten å kategorisere informasjon, uten å styre tilgang etter rolle og behov, da gjør man i praksis all informasjon tilgjengelig for alle.
Da blir hver ansatt Sherlock Holmes over natten. Ikke fordi at hver ansatt nødvendigvis trenger å være Sherlock Holmes. Men kun fordi at verktøyet tillater det. Og med KI som verktøy trenger man verken kodelinjer eller spesialverktøy, man trenger bare gode spørsmål.
Dette er ikke et argument mot KI. Det er et argument mot naivitet. Du vil tape i konkurransen om din virksomhet ikke tar i bruk KI. Det er bare et tidsspørsmål. Det jeg ber om, er at dere gjør de riktige forberedelsene før dere slipper dette verktøyet løs i egen virksomhet.
Den største IT‑utviklingen og den største usikkerheten
Det er ingen tvil: KI er den største utviklingen innen IT vi har sett. Nettopp derfor er jeg oppriktig bekymret for at ingen av oss fullt ut klarer å spå konsekvensene av å ikke håndtere den med varsomhet, sikkerhet og grundige analyser.
Jeg bruker derfor å spørre virksomhetene jeg snakker med om KI om følgende:
- Hva skjer når ansatte bruker KI utenfor godkjente rammer?
- Hvilken informasjon har dere utelatt fra å mates til en språkmodell?
- Hvordan oppdager og håndterer dere feil bruk før det blir en hendelse?
Svaret er som regel noe sånn som «det står i policyen» eller «IT har kontroll på dette».
Fra verktøy til ansvar
Dette er en oppfordring, særlig til ledere: KI er ikke et IT‑prosjekt. Det er et virksomhetsansvar. På linje med økonomi, HMS og informasjonssikkerhet.
KI er helt magisk brukt på riktig måte, men det vi må huske er at selv verdens beste verktøy kan bli en trussel hvis ingen har forberedt virksomheten på hvordan det skal brukes.
For når alle blir Sherlock Holmes, da bør noen ha bestemt hvilke mysterier som faktisk er lov å løse.
