Utvecklingen av no code-, low code- och AI-baserade verktyg förändrar snabbt hur applikationer byggs i organisationer. Men samtidigt som innovationstakten ökar, växer också säkerhetsriskerna. Enligt experter riskerar företag att tappa kontrollen över både data och ansvar när utveckling flyttas utanför IT-avdelningen.
Allt fler verksamheter låter idag medarbetare bygga egna lösningar, från interna verktyg till automatiserade arbetsflöden. Det som tidigare krävde utvecklare kan nu göras direkt i verksamheten, ofta utan insyn från säkerhetsorganisationen.
Fenomenet är en vidareutveckling av så kallad skugg-IT, men med AI och no code-plattformar får det en ny dimension. Medarbetare använder externa tjänster och AI-verktyg utan att dessa har granskats eller godkänts, vilket skapar betydande risker för dataläckage och bristande regelefterlevnad.
– Det spelar ingen roll om en människa, en no code-plattform eller en AI skriver koden – det är företaget som använder applikationen som bär det juridiska och säkerhetsmässiga ansvaret, säger Joshua Goldfarb, säkerhetsexpert på F5.
När AI-verktyg används utan kontroll kan känslig information exponeras. Det kan handla om kunddata, interna dokument eller affärskritisk information som matas in i externa tjänster, ibland i jurisdiktioner med helt andra dataskyddsregler.
Enligt branschanalyser använder redan en stor andel anställda AI i sitt arbete, ofta utan att informera arbetsgivaren. Det innebär att organisationer i praktiken kan ha begränsad kontroll över var deras data befinner sig.
– Om en medarbetare bygger en kodlös app på egen hand eller matar in kunddata i en billig AI-tjänst finns inga garantier för att integritet, sekretess eller regulatoriska krav ens kommit i fråga, säger Joshua Goldfarb.
Samtidigt ökar användningen av AI som skriver kod. Även om tekniken ofta ger fungerande resultat visar studier att säkerhetsbrister är vanliga. Kod som ser färdig ut kan innehålla dolda sårbarheter – eller i värsta fall medvetet inbyggda bakdörrar.
– Det finns en fantastisk innovationskraft i tillgängliggörandet av applikationsutveckling med nya low-code eller no code plattformar men utan tydliga direktiv och regelverk från företagen blir det ett potentiellt eskalerande risk. Min syn är att detta skall hanteras på systemnivå för att säkerställa och automatisera regelefterlevnad, säger Jens Skyman, regionchef Norden och Baltikum på F5.
Säkerhetsforskare har även identifierat exempel på skadlig kod som distribuerats via utvecklingsverktyg, vilket ytterligare förstärker riskbilden.
– När en utvecklare på insidan gör ett misstag skapas sårbarheter av misstag. Med AI-tjänster som du inte kontrollerar vet du inte vilka motiv som finns bakom. I värsta fall kan någon ha designat tjänsten för att bygga in bakdörrar i din miljö, säger Joshua Goldfarb.
En central fråga i utvecklingen är ansvar. Trots att många organisationer använder externa plattformar och tjänster kvarstår ansvaret för säkerhet och dataskydd hos den egna verksamheten.
– Att en leverantör är välkänd innebär inte att de inte kan bli hackade. Och även om du använder en betrodd tjänst är det fortfarande du som är ansvarig för vad som händer med dina applikationer och din kunddata, avslutar Joshua Goldfarb.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
