Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Det finns tidiga exempel på att GenAI kommer att förändra data management i grunden, och känsliga data delas redan med befintliga applikationer i stor utsträckning. Enliget en rapport registrerades 183 incidenter per 10 000 användare där känsliga uppgifter skickades till ChatGPT varje månad. Den vanligaste datatypen som delades var källkod, som dessutom kunde innehålla lösenord och inbäddade krypteringsnycklar. De datatyper som delades mest frekvent efter det var finansiell data, sjukvårdsrelaterad data och personlig data.
Felkonfigureringar utgör en enorm risk
Om GenAI är korrekt konfigurerad behöver datadelningen inte nödvändigtvis utgöra ett hot. Problemet uppstår om appen som används är felaktigt konfigurerad, vilket kan leda till att känslig information blir tillgänglig för anställda som inte ska ha behörighet till den.
IT-säkerhetsföretaget Varonis har tittat på vilken typ av information som användare kan komma över via en Copilot-installation. Det visade sig att så kallad prompt hacking kunde användas för att komma åt känslig information kring allt från personalbonusar, API:er och uppköpsrelaterad information.
Brådskande åtgärder krävs
Leverantörer av kommersiella GenAI-applikationer är medvetna om problemen och försöker utbilda marknaden. Microsofts Copilot har till exempel sagt att åtkomststyrning bör finnas i alla tillgängliga tjänster. Detta understyrker att det finns en del jobb att göra innan man som företag är fullt redo för AI.
Copilot är ett ovärderligt verktyg som integreras med flera av Microsofts applikationer, vilket gör det särskilt viktigt för företag att införandet sker på rätt sätt. Copilot har inbyggda skydd och säkerhetskontroller, och svar på användarnas prompts hanteras inom Microsoft365 Trust Boundary, vilket innebär att ingen data delas med OpenAI eller används för att träna dess LLM. Copilot använder sig av befintliga användarbehörigheter för att avgöra vad som kommer att analyseras och visas. Den stödjer även tvåfaktorsautentisering, integritetsskydd och tillstånd för att reglera åtkomst. I verkligheten är det dock så att den moderna arbetsplatsen, där samarbete och samverkan är viktigt, medför tydliga risker att känsliga data som lagras i personliga mappar över Office365-ekosystemet kan bli tillgängliga för andra.
Gör GenAI trygg och säker
För att konfigurera GenAI-applikationer som Copilot så att de blir säkra att använda, är det viktigt att först lägga en bra grund. Du behöver klargöra vilken data du har, hur och var den lagras och hanteras, samt vem som har tillgång till den. Du måste också veta vilka tredjepartsappar som finns och vilken data de har åtkomst till. Det är ett omfattande arbete som kräver automatisk genomlysning av alla identiteter, konton och behörigheter, filer och mappar, delade länkar och dataetiketter såväl som att identifiera de fall där relevant klassificering saknas.
Dataklassificering är nödvändig, och den måste vara korrekt för att förhindra att den blir onödigt restriktiv och för att förhindra att anställda försöker kringgå olika kontroller. Genom att automatiskt skanna och märka all data kan du förhindra detta och se till att data är korrekt klassificerad när de förändras. En viktig aspekt är också att GenAI kan generera nytt innehåll baserat på befintliga känsliga data, och om det nya innehållet inte också klassificeras som känsligt, blir det i princip omöjligt att kontrollera.
Nästa steg är att titta på att tillämpa principen minsta möjliga behörighet, så att endast de som behöver det ges tillgång till viss data. Enligt Microsoft är 50 % av identiteterna superadministratörer och har därför obegränsad åtkomst, vilket visar hur stor risken för dataläckage är. Genom att ta bort dessa behörigheter enligt en datapolicy som begränsar åtkomst utifrån verkligt behov via ett automatiserat system, kan företaget hjälpa till att lösa detta problem. Samtidigt måste man se till att dessa åtkomst- och delningsrättigheter regelbundet granskas, så att gamla länkar eller behörigheter tas bort
Först när dessa steg har genomförts och automatiserade processer finns på plats kan GenAI distribueras säkert inom företaget, men det krävs fortfarande löpande övervakning. Dataåtkomst, autentisering, skapande och användning av länkar samt objektändringar relaterade till data och sammanhanget där de används bör hanteras av säkerhetsteamet. Därigenom kan företaget upptäcka ovanliga åtkomstmönster eller misstänkta nedladdningar av känsliga data.

Foto: Shane O’Neill, Coalesce.
Det råder ingen tvekan om att GenAI drastiskt kommer att förändra hur vi hanterar och ser på data. Med GenAI får vi ett helt nytt sätt att arbeta som gör oss mer produktiva. Men det finns också en enorm risk. Det är bara genom automatisering av identifiering, klassificering och övervakning av datahanteringen som vi kan vi säkerställa en trygg användning av GenAI och minimera risken att data sprids till obehöriga.