Artikel top billede

(Foto: (c) creativecommonsstockphotos | Dreamstime.com)

Den nyeste front i kampen for cybersikkerhed har intet med hackere at gøre

Klumme: Ansvarlig kunstig intelligens en helt ny disciplin, vi skal til at mestre. Og man skal ikke tro, at man kan mestre det, bare fordi man har arbejdet med it og informationssikkerhed i mange år.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Findes der brud på informationssikkerheden, som ikke skyldes hackere?

Ja, det har altid været en risiko, at nogen internt i organisationen kom til at sende data til den forkerte.

Auto-fill funktionen i Outlook har i hvert fald en del fejlsendinger på samvittigheden, når det forkerte navn er røget ind i modtagerfeltet.

Det til trods har risikoen været til at overse, men med den eksplosive udvikling af kunstig intelligens kigger vi måske ind i en nær fremtid, hvor risikoen for ”hackerløse” sikkerhedsbrud stiger voldsomt.

Det giver behov for et nyt fagligt fokus for os, der arbejder med informationssikkerhed.

Ansvarlig AI er en helt ny spilleplade for den sikkerhedsansvarlige

Det indvarslede en ny tid for informationssikkerheden, da Samsung for nogle måneder siden oplevede et sikkerhedsbrud pga. nogle medarbejderes anvendelse af ChatGPT.

Samsung fik det lukket effektivt ned og tog nogle gode forholdsregler, men det viste, at man med anvendelse af generativ kunstig intelligens kan komme til at afsløre vigtige informationer til omverdenen.

Og der er flere alvorlige aspekter ved AI end blot mulige databrud, som ansvarlige for informationssikkerhed bør tage sig af.

For sikkerhed handler i denne sammenhæng meget bredere om ansvarlig anvendelse af kunstig intelligens.

Det kan være i forhold til at sikre troværdige og valide output i forhold til, hvilke data modellerne er fodret med og trænet i.

Det kan handle om gennemsigtighed og om at undgå bias, der kan skævvride output til fordel for nogen og på bekostning af andre.

Det kan også handle om etiske overvejelser i forhold til overtagelse af opgaver fra kollegaer.

Og det kan sågar handle om bæredygtighed og klima, fordi kunstig intelligens konsumerer uanede mængder af datakraft og dermed energi.

I mine øjne er det både oplagt og vigtigt, at vi som sikkerhedsansvarlige tager opgaven med ansvarlig kunstig intelligens til os.

Lige nu ser vi virksomheder kaste sig cowboyagtigt ud på den nye ukendte prærie, som kunstig intelligens udgør. Helt uden at have politikkerne på plads og uden øje for de mulige konsekvenser for både datasikkerhed, mennesker og miljø.

Det er en guldfeber, der er drevet af marketing og forretningshensyn, så der er i dén grad behov for en ansvarlig stemme i virksomhederne, der kan sikre, at det foregår forsvarligt – ud fra alle de hensyn, jeg netop har remset op.

Den rolle er vi som sikkerhedsfolk godt castet til, for vi spiller den i forvejen, når det handler om it- og informationssikkerhed.

Hvordan kommer du i gang med ansvarlig AI?

Alt i alt er ansvarlig kunstig intelligens en helt ny disciplin, vi skal til at mestre.

Og man skal ikke tro, at man kan mestre det, bare fordi man har arbejdet med it og informationssikkerhed i mange år.

Det kræver respekt, for vi har at gøre med uanede kræfter, mens vi selv bevæger os på neanderthal-stadiet. Så at sige.

Der er 1.000 steder, man kunne tage fat, men hvis jeg skal koge det ned, vil jeg sige, at vi har behov for at arbejde med politikker, træning og adgangsstyring.

Der er brug for helt nye politikker for, hvordan vi arbejder med digitale værktøjer. For eksempel vil det være fornuftigt at begrænse anvendelsen af generiske værktøjer for generativ kunstig intelligens.

De kan være fine at anvende i en afsøgende fase, men når det skal anvendes kommercielt, bør det være med en egen model, så man holder data for sig selv.

Det kan også være politikker i forhold til træning af kunstig intelligens, så man for eksempel undgår terminator-agtige scenarier, hvor den kunstig intelligens træner kunstig intelligens – sådan sat på spidsen...

I forhold til træning gælder det på alle niveauer. Der er behov for specialister – for eksempel prompt engineers – der forstår, hvad de har med at gøre.

Men der er også behov for bred uddannelse i virksomhederne, så alle relevante medarbejder forstår, hvad vi har med at gøre, og hvordan vi kan gøre det ansvarligt. Det gælder fra CEO og nedefter.

Og endelig bliver adgangsstyringen særligt vigtig, så vi sikrer, at data kun er tilgængelige for dem, der har behov for dem, og at der er begrænsning på brugerrettigheder til at ændre testdata eller helt at træne modellen.

Det kan også gælde begrænsninger i forhold til, hvem der kan få lov at producere prompts, hvilke ord man må bruge osv.

Som sagt bør vi sikkerhedsansvarlige tage ansvar for disse opgaver – naturligvis i tæt samspil med resten af organisationen.

Vi har den rigtige tilgang og de rigtige samarbejdsflader, men vi skal også lære nyt. Hurtigt!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.