Søg
Annonceindlæg fra Arrow ECS

Copilot: Din digitale assistent eller en sikkerhedstrussel?

Stor bekymring hos IT og compliance – men Copilot er IKKE problemet

Af Arrow ECS | Udgivet

Af Niels Billekop, Arrow ECS

Copilot ruller ind: Er organisationer i farezonen?

AI-assistenter som Microsoft Copilot har på rekordtid forandret vores arbejdsdag. De skriver mails, opsummerer møder, analyserer data og hjælper os med at træffe hurtigere beslutninger.

For mange danske organisationer er det ikke længere et spørgsmål om “hvis”, men “hvornår” Copilot bliver implementeret. Men bag begejstringen lurer en risiko, som alt for få organisationer tager alvorligt:

Hvis Copilot skal have adgang til organisationens data
– hvordan undgår du så, at den lækker følsomme oplysninger?

Hos nogle organisationer er Copilot allerede blevet tvangsinstalleret i deres Office 365, (medmindre IT-afdelingen har slået det fra). Hos andre har Microsoft gjort det muligt for medarbejdere at bruge deres private Copilot i arbejdsregi – et såkaldt “Bring your own Copilot to work”-initiativ.

Copilot kan se alt det du kan se – mails, dokumenter, Teams-chats, gamle fællesdrev og data, du ikke engang selv vidste eksisterede. Den holder aldrig pause og den “lytter”, også når du ikke beder om det.

Uanset om Copilot er blevet bevidst eller ubevidst installeret og brugt privat i arbejdsregi, vækker det betydelig bekymring i IT‑afdelingerne. Ét enkelt prompt kan være nok til at eksponere følsomme data og dermed svække sikkerheden – og det kan i værste tilfælde koste dyrt.

IT-chef og DPO i chok: 6.000+ følsomme filer frit tilgængelige!

Mange organisationer tror, at deres Copilot er sikker, fordi de har sat flueben ved DLP i Office 365 eller har en router med DLP-funktion. Men det skaber ofte en falsk tryghed.

Når jeg spørger IT-chefer: “Har I styr på jeres data?” – får jeg sjældent et klart ja. Og når vi laver en analyse, viser det sig ofte, at tusindvis af følsomme dokumenter ligger åbent tilgængelige for hele organisationen.

Eksempel:

For nylig analyserede vi data hos en mellemstor dansk virksomhed med 3.500 ansatte. IT-ledelsen mente, de havde styr på data, men analysen afslørede, at over 6.000 dokumenter med personfølsomme oplysninger lå frit tilgængeligt på et åbent fællesdrev. Ingen vidste, de lå der. Og det var kun en lille del af deres samlede datamængde. Da jeg præsenterede rapporten for deres DPO og IT-chef, lød svaret: “Fy for pokker – du gør ikke vores job nemmere.” Men det er netop dét, vi gør: Vi skaber det overblik, som mange mangler.

Første hackerangreb med ”skjulte” Copilot-prompts

I 2025 så vi det første “zero-click hackerangreb målrettet Copilot – et angreb så diskret, at det gled under Microsofts sikkerhedsforsvar og hverken krævede klik eller download fra medarbejdere.

Angrebet, døbt EchoLeak, fungerer ved at sende én ondsindet email med skjulte prompts, som får Copilot til at gennemgå interne filer og returnere fortrolige forretningsdata til angriberens server.

Zero-click-angreb er blokeret af Microsoft, men der kan være andre trusler der udnytter AI delen i Copilot – og det er noget, vi kan forvente endnu mere af.

“Dark data” udgør en høj risiko for datalæk med Copilot

Forestil dig, at din kollega laver et Copilot-prompt – og Copilot, i sin ivrighed efter at hjælpe, trækker data fra et gammelt fællesdrev, hvor tusindvis af personfølsomme og forretningskritiske filer ligger gemt, fx kundedata, interne dokumenter eller finansielle oplysninger.

Din kollega bruger Copilots output – uden at vide, om oplysningerne er fortrolige – i en rapport, som sendes ud af huset. Nu har organisationen begået et databrud og skal rapportere det til Datatilsynet.

Når data først slipper ud, kan de ikke trækkes tilbage. Og nu skal du bruge tid på at forsvare databruddet for ledelsen, kunder og samarbejdspartnere (og tillid er svær at genskabe)

Dark data” er Gartner-begrebet for information, der ligger gemt uden overblik. Typisk finder man det på gamle fællesdrev, og det kan udgøre op til 60% af organisationens data.

Med andre ord: Ét Copilot‑prompt kan være nok til utilsigtet at lække eller vise følsomme oplysninger.

Copilot er IKKE problemet

Mange organisationer har sat deres udrulning på pause pga. bekymringer om datasikkerhed og compliance. Sandheden er, at Copilot ikke er problemet – det er organisationens dataskik.

Jeg ser Copilot som at installere en raketmotor på en gammel Volvo: Du kører hurtigere, men hvis du ikke opgraderer sikkerhedssystemerne - bremsesystemet, får du med sikkerhed en ubehagelig oplevelse i første sving.

Så hvis din organisation ikke overholder god dataskik, vil Copilot heller ikke kunne overholde det.

Så hvad er løsningen?

Løsningen er ikke at blokere Copilot, sætte et flueben ved DLP i Office 365 eller købe en router med DLP.

Det kræver, at du opgraderer dit bremsesystem med en data governance– og DLP-strategi, fx ved at:

  • Klassificere alle data – også “dark data” på gamle drev

  • Sikre, at kun rette personer har adgang til rette oplysninger

  • Implementere politikker, der gælder på tværs af endpoints, netværk og cloud

  • Overvåge og blokere uautoriseret deling i realtid

  • Have en plan for, hvad du gør, når Copilot (eller en bruger) fejler

Ønsker du gratis rådgivning om din Copilotsituation?

Bruger din organisation Copilot – eller overvejer det – så udfyld formularen. Dine svar hjælper os med at give dig den bedste rådgivning om blinde vinkler, risici og hvordan I kan bruge Copilot sikkert og compliant.

Udfyld formularen og få gratis rådgivning

Symantec DLP

Symantec Data Loss Prevention (DLP) overvåger og stopper deling af følsomme data – uanset om det sker via e-mail, cloud, USB eller AI-tjenester som Copilot og ChatGPT.

Symantec har mange års erfaring og betydelige investeringer i DLP-teknologi, og derfor anses deres løsninger som nogle af de førende på verdensmarkedet.

Med Symantec DLP kan du:

  • Få overblik over alle dine data, både dem du bruger hver dag og dem, der ligger gemt i systemerne
  • Sikre, at kun de rigtige personer har adgang til fortrolige oplysninger
  • Overvåge og stoppe deling af følsomme data – både on-prem og i Cloud
  • Få automatiske advarsler og rapporter, hvis nogen forsøger at dele eller tilgå data, de ikke burde

Symantec DLP integrerer direkte med dine eksisterende systemer, fx Office 365, og hjælper dig med at overholde både lovgivning og interne politikker, så du kan bruge AI og digitale assistenter med ro i maven.

Kontaktinfo:

Arrow ECS

Lautruphøj 6

2750 Ballerup

https://www.arrow.com/globalecs/dk/

Sådan kan danske virksomheder beskytte deres data, når hackerne er kommet ind

Arrow tilbyder en løsning, der kombinerer sikrede og uforanderlige datakopier, kryptering og overvågning af unormal adfærd ved hjælp af AI.

Oracle udvider cloud-mulighederne: "Bedre ydeevne og lavere priser"

Er der brug for flere spillere på markedet inden for IaaS og Paas?

Netværksmodernisering: Totalskift fra Cisco til Fortinet

Kundernes behov for moderne netværksteknologi, betyder at Businessmann ofte skifter hele netværket fra aldrende Cisco-setup.

Prioritér din faglige udvikling i den sidste del af 2019

Hvis du arbejder med det virtualiserede datacenter, så kender og bruger du formentlig allerede VMware, og er sikkert også bekendt med VMworld.

Se alle annonceindlæg