Skygge-AI: Når kunstig intelligens blir en tikkende bombe under virksomhetens data

Vi har sett det før: Dropbox, Google Docs og andre smarte skytjenester ble lynraskt hverdagen på jobben – lenge før IT-avdelingen fikk satt opp retningslinjer. Det førte til datatap, databrudd og brudd på diverse reguleringer – og nå gjentar historien seg med AI-tjenester som ChatGPT og CoPilot.

Forskjellen er bare at konsekvensene kan bli langt mer alvorlige.

Skygge-IT er et kjent begrep, men nå ser vi «Skygge-AI»: Medarbeidere som bruker AI-verktøy utenom virksomhetens offisielle kanaler. Det skjer ofte i den beste mening – for å øke effektiviteten, løse oppgaver raskere eller få inspirasjon.

Men det er også her problemene starter.

Hvor ender dataene dine? For det første aner man sjelden hvor dataene ender når man forer gratisversjoner av AI-tjenester med informasjon. Det kan være alt fra interne møtereferater til forretningskritiske strategier eller omtale av produkter og løsninger som ennå ikke er offentliggjort. Når data sendes ut til eksterne AI-plattformer mister man kontrollen over hvordan opplysningene behandles, lagres og kanskje til og med gjenbrukes.

Mange AI-tjenester lagrer inndata for å forbedre sine modeller – det høres uskyldig ut, men kan i verste fall bety at fortrolige opplysninger blir en del av en global AI-database. Og det har vi sett skje.

Det fører oss direkte til GDPR og NIS2. Begge stiller tydelige krav til hvordan persondata og forretningskritisk informasjon skal håndteres. Hvis medarbeidere uten videre deler data med AI-tjenester risikerer virksomheten både lovbrudd og store bøter. Enda verre: Tapet av forretningshemmeligheter, som kan skade konkurranseevnen eller tilliten fra kunder og samarbeidspartnere.

«Skitt» inn – «skitt» ut 

For det andre er utilsiktet og utrent bruk av AI en kilde til lav kvalitet. AI-verktøy som ChatGPT eller CoPilot er fantastiske redskaper som med den rette innsikten og bruken kan spare utallige arbeidstimer for virksomheten og de ansatte.

Men brukes den feil – uten forståelse for AI-ens begrensninger og behov, og at «hallusinasjoner» – altså feilaktige antakelser og databruk – kan forekomme, så får du elendig output. Derfor kreves det også at man lærer sine ansatte opp til å bruke AI korrekt.

Så hva gjør man? Først og fremst må ledelsen ta ansvar og få satt klare retningslinjer for bruken av AI-tjenester. Det handler ikke om å forby innovasjon, men om å sikre at den skjer ansvarlig. På samme måte som vi lærte å håndtere skytjenester, må vi nå lære å navigere sikkert i AI-landskapet. Det krever opplysning, dialog og ikke minst at IT og forretning arbeider tett sammen.

Tilsvarende bør AI-retningslinjer bli en del av den årlige sikkerhetstreningen eller rett og slett be de ansatte om å underskrive en «code of conduct» for bruken av AI – på akkurat samme måte som man gjør med andre sensitive områder i næringslivet.

Med de rette bedriftskontoene hos diverse AI-tilbydere loves det bedre databehandling, begrenset eller ingen deling til AI-trening og noen ganger bedre språkmodeller og dermed potensielt bedre resultater.

Kort sagt:

• Gi dine ansatte de rette AI-verktøyene, som virksomheten kan arbeide med.
• Gi dine ansatte retningslinjer for hvilke data AI kan fores med – og hvilke som er «no-go».
• Gi dine ansatte opplæring i ansvarlig bruk av AI, slik at de oppnår de beste og mest korrekte resultatene.

Skygge-AI er ikke et spørsmål om «hvis, men om «når» – og hvor raskt vi som organisasjoner får kontroll på det. Ellers risikerer vi at den neste store dataskandalen starter i det skjulte – og først blir oppdaget når det er for sent.