DEBATT | Mike Creutzer, Lenovo
Ikke glem KI-innovasjonens skyggesider
Så og si alle virsomheter bruker KI og nå som hypen har blitt til virkelighet, har fokuset skiftet til den praktiske implementeringen og dens utfordringer. «Skygge-KI», forstått som ukontrollert implementering og bruk av KI-verktøy, er en av disse utfordringene.
For samtidig som KI-bruken drives av positive formål som utvikling, innovasjon og produktivitet, på både individ- og virksomhetsnivå – fører den også med seg nye sikkerhetstrusler.
IT- og sikkerhestfolk kjenner til risikoen ved skygge-KI, men mange undervurderer omfanget eller sliter med å takle utfordringene. Når stadig flere KI-verktøy blir mer integrert i arbeidshverdagen, kreves det en strategisk, tverrfunksjonell tilnærming med en bevisst balansering av innovasjon og sikkerhet.
Å forstå truslene
Sikkerhetsrisikoen ved skygge-KI er nemlig langt større og dypere enn ansattes uautoriserte og ukontrollerte bruk av ChatGPT og andre KI-verktøy.
Mange programvareplattformer har innebygde KI-funksjoner som kan utgjøre skjult risiko. Interne utviklere kan implementere uverifiserte KI-verktøy med åpen kildekode eller utvikle egne modeller for intern bruk. Og modeller fra tredjepartsleverandører eller partnere kan integreres i systemene uten tilstrekkelige forundersøkelser.
Dette er noen risikofaktorer som kan føre til modelldrift eller dataforgiftning, cyberangrep som manipulerer eller forstyrrer dataene som brukes av KI-modellene som ofte forblir uoppdaget til lenge etter at de har forsårsaket skade.
Risikoen ved skygge-KI er med andre ord langt mer enn en sluttbrukerutfordring. Det handler om om en dypere integrasjon av ukontrollert KI i hele selskapets IT-miljø, noe som er både farligere og langt vanskeligere og mer komplisert å håndtere.
Et felles anliggende
Ansvaret for å håndtere denne risikoen kan ikke hvile på IT-avdelingens skuldre alene. Mange virksomheter mangler tilstrekkelig KI-teknisk kompetanse, og flere avdelinger og funksjoner må ta aktiv del i implementering og bruk. Alle forretningsfunksjoner, inklusiv sikkerhets- og compliance-team, må bidra med sitt til et helhetlig rammeverk for styring. En slik modell sikrer styring overalt der KI-beslutningene tas, enten det handler om app-utvikling, innkjøpshåndtering, markedsanalyse eller HR-automatisering.
Det er også viktig å erkjenne at mennesker har sine begrensninger. Den raske utviklingen og det økende omfanget av KI krever automatiserte styringsprosesser. Eksempelvis kan KI-agenter implementeres internt for å overvåke samsvar, håndheve retningslinjer og lære opp ansatte. KI-styringsverktøy må bli en standard for effektiv skalering av overvåkingen.
Bruk opparbeidet og ekstern kunnskap
Håndtering av sikkerhetstruslene forbundet med skygge-KI kan med fordel bygges på egenerfaring med DevOps, i form av validering, testing, versjonskontroll og kontinuerlig overvåking. Å etablere tydelige prosesser og erfaringsbasert læring er avgjørende.
Eksterne partnere kan også tilføre verdi, i form av løsningsvalidering, rådgivning, automatisert styring og tilgang til velprøvde styringsrammeverk som bidrar til å integerere KI trygt og bærekraftig i hele virksomheten. Bruk av streng metodikk for programvareutvikling i KI-utviklingen kan bidra til å redusere risiko uten å hemme innovasjon.
Privat versus offentlig KI
Det er viktig å skille tydelig mellom offentlig og privat KI. Offentlige KI-modeller har ofte begrenset innsyn i hvordan data lagres og brukes, blant annet for modelltrening. Dette skaper usikkerhet og risiko rundt dataintegritet, personvern og sikkerhet.
Offentlige KI-modeller har ofte begrenset innsyn i hvordan data lagres og brukes, blant annet for modelltrening.
Alle virksomheter bør derfor overveie å investere i privat KI-infrastruktur. Dette gir ikke bare bedre kontroll over data og hvordan modellene trenes. Her kan de oppdateres kontinuerlig og opereres i et lukket miljø, på en sikker og kontrollert måte som ivaretar etterlevelse av både interne retningslinjer og gjeldende myndighetskrav.
Sikker innovasjon
Strategisk, kreativit utnyttelse av KI åpner ikke bare store muligheter for innovasjon, konkurransekraft og vekst. For mange virksomheter er det helt nødvendig for å overleve.
Kunsten er å tilrettelegge for dette uten å gå på kompromiss med sikkerhet og kontroll. Dette krever en kobinasjon av erfaringsbasert læring og vilje til investering i nye verktøy, infrastruktur og automatiserte prosesser som sikrer løpende kontroll og oversikt.
