DEBATT | Steven Antoniou
KI-satsingen er en styresak
KI-bølgen skyller over privat og offentlig sektor, og mulighetene er mange og enorme. Men med stadig mer inngripende og strategisk satsing, er det avgjørende å ha et bevisst og dokumentert forhold til medfølgende risiko.
KI-løsninger har på kort tid gått fra eksperiment til forretningskritisk infrastruktur. Men i takt med at teknologien integreres i stadig flere kjerneprosesser, øker også risikoen. Selskaper som ikke bygger inn sikkerhet, styring og tydelig ansvar i sine KI-satsinger, risikerer regulatoriske konsekvenser, datalekkasjer og svekket kundetillit.
For ikke bare legitime virksomheter bruker KI. Også angripere drar nytte av teknologien for å drive mer sofistikert svindel og annen ondsinnet aktivitet. Dette bidrar til at tradisjonelle beskyttelsestiltak ikke lenger strekker til. I tillegg til teknologi kreves det nå en ledelsesforankret sikkerhetskultur der mennesker og KI-baserte beskyttelsessystemer samvirker.
Et voksende trusselbilde
Cybersecurity Ventures estimerer at kostnaden ved cyberkriminalitet vil nå 10,8 billioner dollar i 2026. Ingen organisasjoner er immune, men de som investerer i mennesker, kultur og robuste systemer står bedre rustet til å beskytte både sine data og sin tillitskapital.
De største sikkerhetsrisikoene skyldes sjelden enkeltstående tekniske mangler, men snarere deres samspill med menneskelig atferd og mangelfulle rutiner. Ansattes årvåkenhet er fortsatt viktig, men i et miljø der KI raskt lærer å imitere språk, tonefall og beslutningsmønstre, kan tradisjonelle sikkerhetstiltak som enhetskontroller og nettverksbegrensninger komme til kort.
For å beskytte seg mot KI-støttede angrep, holder det ikke å analysere innhold. Man må forstå intensjonen i sanntid. Ved å oppdage avvikende promptmønstre, mistenkelig atferd og interne avvik kan organisasjoner redusere risikoen for manipulering av KI-systemer og insidertrusler. Når KI-bevisste kontroller integreres i sikkerhetsrammeverket, styrkes beskyttelsen, og organisasjonen kan vise hvordan arbeidet fungerer i praksis. Først da kan mennesker og teknologi samvirke og cybersikkerheten utvikle seg fra et reaktivt til et proaktivt forsvar.
KI er et styreanliggende
Dette er ikke bare et anliggende for IT-avdelingen. Når KI blir en del av forretningskritiske prosesser, blir risikoene strategiske og dermed et ansvar for styre og ledelse. Med skjerpede regulatoriske krav, ikke minst gjennom EUs AI Act, øker kravene til dokumentasjon, risikovurdering og sporbarhet. Virksomheter må kunne vise hvordan systemene fungerer, hvordan risiko identifiseres og hvordan beslutninger fattes. Styre og ledelse må sikre tydelig eierskap, korrekt datahåndtering, retningslinjer for bruk og kontinuerlig validering av modeller og beslutningsprosesser.
Det kreves også strukturer for løpende innsyn i hvordan KI-systemer brukes i praksis, for eksempel gjennom sporbarhet og logging av interaksjoner mellom brukere og KI-modeller. Uten innsyn i hvordan systemene brukes, er det vanskelig å sikre etterlevelse av regelverk. Evnen til å oppdage avvikende atferd i sanntid og raskt respondere på hendelser, er en sentral del av moderne KI-styring.
KI kan ikke være et eksperiment på siden av virksomheten, eller et IT-prosjekt. Det er ny infrastruktur som krever styring, ansvar og kontroll.
KI kan ikke være et eksperiment på siden av virksomheten, eller et IT-prosjekt. Det er ny infrastruktur som krever styring, ansvar og kontroll.
Selskaper som tidlig bygger inn transparens, sikkerhet og ansvar i sin KI-strategi, reduserer ikke bare risiko. De vinner også kunders, markedets og andre interessenters tillit i en tid der dette er en stor konkurransefordel.
