DEBATT | Thomas Tømmernes
Hvis ikke du setter rammene, så gjør de ansatte det
De som har øvd, håndterer krisen. De som bare har planer, blir stående og lese dem.
Computerworlds artikkel «En av tre bruker KI uten at IT-sjefen vet det» beskriver en utvikling som bør bekymre langt flere enn IT-avdelingen.
Når over 70 prosent av ansatte bruker KI ukentlig, og opptil en tredjedel gjør det uten IT-avdelingens viten, er dette ikke lenger et teknologispørsmål. Det er et beredskapsproblem.
Lenovos funn peker på en virkelighet vi kjenner godt igjen fra Ateas egen Bevissthet og beredskap undersøkelse blant norske virksomheter: Andelen som ser kunstig intelligens (AI) som en sikkerhetsrisiko har økt fra 34 til 47 prosent, og 3 av 4 frykter ansattes bruk av AI-tjenester, særlig knyttet til lekkasje av sensitive data.
Skygge KI er et symptom
Det er lett å peke på «skygge-KI» som utfordringen. Men i realiteten er dette et symptom på noe større: manglende helhetlig styring, uklare rammer og for svak operasjonell beredskap.
Lenovos rapport viser at 61 prosent av IT-ledere opplever økte sikkerhetstrusler knyttet til KI, samtidig som bare 31 prosent føler seg trygge på egen evne til å håndtere risikoen. Når nesten halvparten av de ansatte i tillegg er bekymret for KI-drevet dataeksponering, sier det noe viktig: Uroen finnes både i IT, i ledelsen og blant ansatte, men uten at dette omsettes i tilstrekkelig handling.
Dette samsvarer godt med funnene våre i Atea. Mange virksomheter oppgir at de har sikkerhetsstrategier, retningslinjer og beredskapsplaner. Utfordringen er at altfor få har testet dem i praksis.
Planer gir trygghet, og øvelser gir beredskap
I Ateas undersøkelse «Bevissthet og beredskap» ser vi et tydelig mønster.
Beredskapsplaner finnes, men øvelsene uteblir. Blant virksomhetene som har en beredskapsplan, er det kun i underkant av 60 prosent som øver årlig eller oftere.
Når en alvorlig hendelse først inntreffer, enten det er datalekkasje via et KI verktøy, løsepengeangrep eller driftsstans, er det for sent å finne ut:
- • hvem som faktisk tar beslutningene
- • hvordan IT, ledelse og kommunikasjon samhandler
- • hvilke leverandører som må involveres
- • og hvordan virksomheten skal håndtere kunder, ansatte og myndigheter
KI forsterker denne risikoen ytterligere. Uten tydelig styring vil teknologien gradvis utvide angrepsflaten, slik Lenovo beskriver. Når sikkerhet legges «oppå» i etterkant, i fragmenterte lag, øker kompleksiteten og hullene oppstår nettopp i overgangene mellom teknologi, mennesker og prosesser.
KI stiller nye krav til beredskap
KI handler ikke bare om effektivitet og produktivitet. Det handler også om: dataflyt på tvers av systemer og landegrenser, ubevisst deling av sensitiv informasjon og nye typer hendelser som ikke passer inn i tradisjonelle hendelseshåndteringsplaner.
Likevel er mange beredskapsplaner fortsatt bygget på gårsdagens trusselbilde. De tar høyde for klassiske IT-hendelser, men ikke for en hverdag der ansatte på eget initiativ tar i bruk kraftige KI-verktøy i kjerneprosessene. Da hjelper det lite å ha en plan hvis ingen har øvd på hvordan den faktisk skal brukes i en KI-drevet hendelse.
Beredskap er en lederdisiplin
Det viktigste budskapet, både fra Lenovo og fra Ateas egen kartlegging, er at dette ikke kan delegeres til IT alene. Skygge-KI og manglende beredskap er et lederansvar
Spørsmålet er ikke om virksomheten vil bli utsatt for en alvorlig hendelse, men når. Da er forskjellen på virksomheter som klarer seg godt, og de som får store konsekvenser, ofte enkel:
De som har øvd, håndterer krisen. De som bare har planer, blir stående og lese dem.
Jeg heier på de som øver.
