DEBATT | Lise Haaverstad

EIEREN: Nå handler det ikke bare om hvem som eier datasettet. Det handler også om hvem som eier bruken av dataene, kvaliteten i beslutningsgrunnlaget, risikoen i løsningen og konsekvensene når noe går galt, skriver artikkelforfatteren.

KI-agenten slettet databasen – Styringen sviktet

Vi snakker mye om verdien av adopsjon og bruk av KI, men sjeldnere om risikoen når vi mangler struktur, eierskap og styring.

Lise Haaverstad Lise Haaverstad teknologileder i Sopra Steria
Publisert

Tidligere i år gikk en historie viralt i utviklermiljøet: En utvikler tok i bruk en autonom KI-agent for å utføre en enkel rutineoppgave. Ved en kombinasjon av feilvurdering, for vide tilganger og manglende sikkerhetsmekanismer, endte agenten med å slette selskapets produksjonsdatabase og tilhørende backup på bare ni sekunder. Saken er omtalt av flere medier.

Hendelsen er ikke bare et uhell. Den er et symptom på en større utfordring. I vår iver etter å adoptere KI-verktøy som lover effektivitet, fart og automatisering, glemmer vi ofte det kjedeligste, men kanskje viktigste fundamentet: governance.

Det er i slike tilfeller det blir tydelig at Data Governance og KI-governance i praksis begynner å smelte sammen. Når KI ikke lenger bare foreslår tekst eller kode, men får tilgang til systemer, data, terminaler, API-er og beslutningsflyt, holder det ikke å diskutere modellkvalitet isolert. Vi må også snakke om eierskap, ansvar, tilgang, datakvalitet og konsekvensene av feil.

LES OGSÅ:

Den farlige asymmetrien

Vi som jobber med Data Governance ser dette oftere: Virksomheter er fast bestemt på å skalere bruken av KI. De ser økt utnyttelse av KI som et kappløp om tid, effektivitet og konkurransekraft.

Men det finnes en asymmetri her som mange undervurderer.

Gevinsten ved å bruke en KI-agent kan være å spare tre timer med koding, analyse eller dokumentasjon. Risikoen, dersom agenten har for vide fullmakter og mangler styring, kan være langt større enn de timene man sparer. Det kan handle om tap av data, feil beslutninger, brudd på tillit, regulatoriske konsekvenser eller operasjonell stans.

Vi har allerede i dag store utfordringer med å definere hvem som “eier” en datatabell, hvem som har ansvar for datakvaliteten, og hvem som skal gjøre noe når kvaliteten ikke er god nok. Hvordan skal vi da håndtere autonome agenter som handler på vegne av oss i sanntid?

God styring er en forutsetning for fart

Mange forbinder governance med byråkrati, tunge prosesser og begrensninger. Men god styring handler ikke om å si nei. Det handler om å bygge sikkerhetsmekanismene som gjør at organisasjonen faktisk kan ta i bruk KI med større trygghet.

En trygg KI-strategi krever derfor mer enn gode modeller. Den krever definert eierskap: hvem har det juridiske, faglige og operasjonelle ansvaret når en agent gjør noe uønsket? Den krever innebygde guardrails: prinsippet om minste privilegium, tydelig tilgangsstyring, menneskelig godkjenning ved skadelige handlinger og robuste backup-rutiner. Og den krever struktur og kvalitet: kontroll på kilder, kontekst, metadata og datakvalitet, slik at KI ikke bygger beslutninger og handlinger på et grunnlag vi egentlig ikke forstår konsekvensene av.

Fra «ved siden av» til kjernevirksomhet

Min erfaring er at eierskap til data ofte blir noe man gjør “ved siden av” daglig drift. Rollene finnes på papiret. Ansvar er definert. Likevel stopper det opp når ansvaret skal praktiseres i hverdagen.

For å lykkes med KI må organisasjoner slutte å se på governance som et IT-problem. Det er et forretningsproblem. De som lykkes er ikke nødvendigvis de som implementerer raskest, men de som bygger et fundament som gjør at de tør å skalere uten å påføre seg uakseptabel risiko.

Nå handler det ikke bare om hvem som eier datasettet. Det handler også om hvem som eier bruken av dataene, kvaliteten i beslutningsgrunnlaget, risikoen i løsningen og konsekvensene når noe går galt.

Hva nå?

Budskapet om hvorfor governance er viktig, er tydelig. Det mer krevende spørsmålet er om vi har nødvendig kompetanse, modenhet og kapasitet for å lykkes. Når data og KI blir strategiske ambisjoner hos stadig flere virksomheter, kan ikke dette bare ligge hos fagspesialistene.

Enten du er virksomhetsarkitekt, utvikler, produktleder, prosjektleder eller rådgiver, blir forståelse for data, eierskap, kvalitet og styring stadig mer relevant.

Spørsmålet vi bør stille før neste KI-verktøy rulles ut i organisasjonen er enkelt:

Har vi de nødvendige sikkerhetsbarrierene på plass, eller har vi bygget løsninger der én feil kan få alvorlige konsekvenser på sekunder?

Det er verdt å dobbeltsjekke.

tilgangsstyring databasesikkerhet data governance computerworld debatt risikostyring ki-agenter kunstig intelligens