• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Kan AI sprida känsliga data?

Användningen av Generativ AI (GenAI) ökar lavinartat och det dyker upp allt fler nya kommersiella versioner. Tanken med dessa är bland annat att undvika upphovsrättsliga problem och för att träna AI:n inom organisationens ramar, vilket i sin tur gör den till ett ännu mer värdefullt verktyg. Men det här är fortfarande ett nytt område och det kommer att krävas en hel del för lära sig att använda AI optimalt och samtidigt upprätthålla säkerheten. Det skriver Richard Ford, CTO på Integrity360

-

Det finns tidiga exempel på att GenAI kommer att förändra data management i grunden, och känsliga data delas redan med befintliga applikationer i stor utsträckning. Enliget en rapport registrerades 183 incidenter per 10 000 användare där känsliga uppgifter skickades till ChatGPT varje månad. Den vanligaste datatypen som delades var källkod, som dessutom kunde innehålla lösenord och inbäddade krypteringsnycklar. De datatyper som delades mest frekvent efter det var finansiell data, sjukvårdsrelaterad data och personlig data.

Felkonfigureringar utgör en enorm risk

Om GenAI är korrekt konfigurerad behöver datadelningen inte nödvändigtvis utgöra ett hot. Problemet uppstår om appen som används är felaktigt konfigurerad, vilket kan leda till att känslig information blir tillgänglig för anställda som inte ska ha behörighet till den.

IT-säkerhetsföretaget Varonis har tittat på vilken typ av information som användare kan komma över via en Copilot-installation. Det visade sig att så kallad prompt hacking kunde användas för att komma åt känslig information kring allt från personalbonusar, API:er och uppköpsrelaterad information. 

Brådskande åtgärder krävs

Leverantörer av kommersiella GenAI-applikationer är medvetna om problemen och försöker utbilda marknaden. Microsofts Copilot har till exempel sagt att åtkomststyrning bör finnas i alla tillgängliga tjänster. Detta understyrker att det finns en del jobb att göra innan man som företag är fullt redo för AI. 

Copilot är ett ovärderligt verktyg som integreras med flera av Microsofts applikationer, vilket gör det särskilt viktigt för företag att införandet sker på rätt sätt. Copilot har inbyggda skydd och säkerhetskontroller, och svar på användarnas prompts hanteras inom Microsoft365 Trust Boundary, vilket innebär att ingen data delas med OpenAI eller används för att träna dess LLM. Copilot använder sig av befintliga användarbehörigheter för att avgöra vad som kommer att analyseras och visas. Den stödjer även tvåfaktorsautentisering, integritetsskydd och tillstånd för att reglera åtkomst. I verkligheten är det dock så att den moderna arbetsplatsen, där samarbete och samverkan är viktigt, medför tydliga risker att känsliga data som lagras i personliga mappar över Office365-ekosystemet kan bli tillgängliga för andra.

Gör GenAI trygg och säker

För att konfigurera GenAI-applikationer som Copilot så att de blir säkra att använda, är det viktigt att först lägga en bra grund. Du behöver klargöra vilken data du har, hur och var den lagras och hanteras, samt vem som har tillgång till den. Du måste också veta vilka tredjepartsappar som finns och vilken data de har åtkomst till. Det är ett omfattande arbete som kräver automatisk genomlysning av alla identiteter, konton och behörigheter, filer och mappar, delade länkar och dataetiketter såväl som att identifiera de fall där relevant klassificering saknas.

Dataklassificering är nödvändig, och den måste vara korrekt för att förhindra att den blir onödigt restriktiv och för att förhindra att anställda försöker kringgå olika kontroller. Genom att automatiskt skanna och märka all data kan du förhindra detta och se till att data är korrekt klassificerad när de förändras. En viktig aspekt är också att GenAI kan generera nytt innehåll baserat på befintliga känsliga data, och om det nya innehållet inte också klassificeras som känsligt, blir det i princip omöjligt att kontrollera. 

Nästa steg är att titta på att tillämpa principen minsta möjliga behörighet, så att endast de som behöver det ges tillgång till viss data. Enligt Microsoft är 50 % av identiteterna superadministratörer och har därför obegränsad åtkomst, vilket visar hur stor risken för dataläckage är. Genom att ta bort dessa behörigheter enligt en datapolicy som begränsar åtkomst utifrån verkligt behov via ett automatiserat system, kan företaget hjälpa till att lösa detta problem. Samtidigt måste man se till att dessa åtkomst- och delningsrättigheter regelbundet granskas, så att gamla länkar eller behörigheter tas bort

Först när dessa steg har genomförts och automatiserade processer finns på plats kan GenAI distribueras säkert inom företaget, men det krävs fortfarande löpande övervakning. Dataåtkomst, autentisering, skapande och användning av länkar samt objektändringar relaterade till data och sammanhanget där de används bör hanteras av säkerhetsteamet. Därigenom kan företaget upptäcka ovanliga åtkomstmönster eller misstänkta nedladdningar av känsliga data. 

Richard Ford, Integrity 360.
Foto: Shane O’Neill, Coalesce.

Det råder ingen tvekan om att GenAI drastiskt kommer att förändra hur vi hanterar och ser på data. Med GenAI får vi ett helt nytt sätt att arbeta som gör oss mer produktiva. Men det finns också en enorm risk. Det är bara genom automatisering av identifiering, klassificering och övervakning av datahanteringen som vi kan vi säkerställa en trygg användning av GenAI och minimera risken att data sprids till obehöriga. 

REKLAMSAMARBETE

Informationssäkerhet måste skapas längs hela leverantörskedjan

I en tid av ökad digitalisering och allt mer komplexa hotbilder är kontroll av leverantörskedjor kritiskt för att skydda samhällsviktig verksamhet. Eftersom dagens tekniska...

FLER NYHETER

Smart integration – en underskattad del i säkerhetsarbetet

En ofta förbisedd men viktig komponent i säkerhetsarbetet är integrationen av it-system. Genom smart integration kan företag minska sårbarheter och stärka sitt försvar mot...

REKLAMSAMARBETE

Kurs i NIS2 förbereder företag för kommande cybersäkerhetskrav

Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i...

Nya metoder att arkivera material

På Riksarkivets hemsida står att myndighetens handlingar ”under hela bevarandetiden” ska hanteras, förvaras och skyddas så att den fysiska och logiska kvaliteten bibehålls. För...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Växande oro bland chefer – säkerhetshot på arbetsplatser ökar

Chefsorganisationen Ledarna inom Privat Tjänstesektor (LPT), har låtit göra en omfattande undersökning bland över 2000 medlemmar, med syfte att belysa de säkerhetsutmaningar som chefer...

Säkerhet och innovation i Norden ligger högt på prioriteringslistan för AWS

Aktörer i Norden som använder sig av AWS molnlösningar är flera, däribland DNB i Norge, Danske Bank i Danmark och Postnord i Sverige. Kellen...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Hackerdriven filosofi ska hjälpa svenska företag med cybersäkerhet

David Jacoby, nytillträdd strategichef för Syndis, kommenterar satsningen:– Vår strategi är att inte fokusera på de hundra största bolagen i Sverige – vi vill att...

Cybersäkerhetsnod Norr bjuder in till seminarium 

Hallå där Karl Andersson, professor vid Luleå Tekniska Universitet och ämnesföreträdare i cybersäkerhet,Ni anordnar ett evenemang om cybersäkerhet den 26 februari - berätta!–...

Hackare, AI och Digitala Blodkroppar: Dags att Bygga Cybernetiska Djungler

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Kaffet var kallt och klockan för mycket när en fråga dök upp i huvudet:...

Kampen fortsätter

Under de senaste åren har vi sett en dramatisk ökning av cyberbrottslighet. Stora dataintrång, som drabbar allt från små företag till globala koncerner, leder...

Fyra gripna i Europol-lett tillslag mot ransomwareliga

I samband med tillslaget kunde 27 servrar som var kopplade till det kriminella nätverket kopplas ner.De fyra personer som blivit frihetsberövade är alla...

Säkerhetsindex 2025: Allt fler upplever en allvarlig hotbild mot Sverige

Trots en växande upplevd hotbild har allmänhetens tilltro till beslutsfattares förmåga att skydda samhällsviktig infrastruktur minskat. I dag uppger 29 procent att de har...

Ny vd och koncernchef för Omegapoint

Jonas Hasselberg kommer närmast från rollen som koncernchef för det börsnoterade Proact AB, ett ledande it-företag som levererar affärskritiska molnlösningar till storbolag i Europa....

Ny affärsområdeschef inom Human Risk Management på 2Secure

– Personalsäkerhet och insiderprevention har blivit en allt viktigare fråga givet samhällsutvecklingen och omvärldsläget. Oskar har lång erfarenhet och har jobbat med olika typer...

Strategiskt partnerskap ska leverera heltäckande molnsäkerhet

Samarbetet syftar till att möta de växande utmaningar företag ställs inför vid säkerställandet av hybridmolnsmiljöer genom en sömlös integration av molnnätverkssäkerhet och Cloud Native...

AI-driven lösning ska bidra till säker maskning

Pixedit använder avancerad AI-teknologi för att automatiskt identifiera och maskera sekretessbelagd information såsom personnummer, namn och e-postadresser.Teknologin säkerställer att alla konfidentiella uppgifter fångas upp...