AI ur ett informationssäkerhetsperspektiv

Fabian Erdmann 6 oktober, 2023

Introduktion

Säkerhetskonsekvenser med AI – hur ska man tänka kring AI

På Secify strävar vi alltid efter att göra något komplext så enkelt och begripligt som möjligt. Så låt oss ta en titt på artificiell intelligens (AI) ur ett informationssäkerhetsperspektiv. AI är en typ av mjukvara som försöker imitera hur den mänskliga hjärnan fungerar. Som användare interagerar vi i princip med den på två sätt (a) vi förser AI med information och (b) vi får information från AI. Så, vilka är riskerna relaterade till dessa interaktioner? Låt oss titta på det: 

Matning av information till AI

(a) När vi tillhandahåller information till AI finns det en klar konfidentialitetsrisk. Låt oss anta att du tillhandahåller en AI-lösning som hanterar ditt företags superavancerade produktionsplan (ja, ditt företags superkonfidentiella ”kronjuveler”) eftersom du vill ha AI:s åsikt. Kan du vara säker på att detta AI-verktyg inte sparar och delar denna information med någon annan som råkar använda samma AI-lösning (i värsta fall din konkurrent)? Svaret för de flesta allmänt tillgängliga AI:er är sannolikhet nej. Naturligtvis, om AI-lösningen är en lokal lösning, så kan denna risk försvinna.

Så för att minska de identifierade riskerna har du i princip två alternativ:

Begränsa informationen du delar med AI till endast den information som du gärna delar offentligt (ja, det är den enkla lösningen här) eller var säker på att din AI-lösning hanterar din information på ett säkert sätt. Så om du vill använda AI och ge den en del av din konfidentiella information måste du analysera lösningen (hur det fungerar praktiskt) samt den leverantören du köper lösningen från (tredjepartsriskhantering).

Gällande integritet och tillgänglighet så är de mindre relevanta risker i de flesta fall om man ser till den information man förser AI med.

Mobile phone with OpenAI logo infront of big OpenAI logo

Hämtning av information från AI

(b) Låt oss därför titta på den andra typen av interaktion – informationen som AI ger dig. Här har vi främst två potentiella risker: integritet och konfidentialitet.

Låt oss först titta på integritet. Vet du om informationen du fått från AI är korrekt? Och vad är risken om informationen är felaktig? Det finns naturligtvis inget universellt svar på detta. Det beror verkligen på situationen. Till exempel, om AI rekommenderar dig en dålig film är risken relativt hög (du slösar ”bara” din tid), men om AI rekommenderar dig en felaktig medicin kan konsekvenserna bli allvarliga. Så om du vill använda en AI-lösning bör du alltid göra en riskbedömning, vad det skulle få för konsekvenser om du får felaktig information.

Den andra risken med den mottagna informationen är sekretess. Anta att syftet med AI är att få perspektiv och kunskap. Så informationen du får har ett högt värde och du vill därför hålla den konfidentiell (och inte dela den med dina konkurrenter till exempel). I och med det måste du se till att informationen som tas emot från AI används och förmedlas på ett säkert sätt. Eftersom du inte på förhand kan veta exakt vilket svar du kan komma att få av AI behöver du inte bara hantera den information du faktiskt fått men också riskhantera möjlig information du skulle kunna få.

Värt att tänka på är också om du konfigurerat ditt användande av AI-tjänster så att informationen från den används i någon kritisk process så finns det även en tillgänglighetsaspekt att ta hänsyn till när man utvärderar vilken AI-tjänst man ska använda.

Slutsats

Så, vad är slutsatsen? Det blir problematiskt om man bara ser AI som ytterligare en till mjukvara som ska hanteras säkert. För att säkerställa att informationstillgångarna hålls säkert krävs en utförlig riskbedömning kring systemet. Jag tror personligen att AI kommer att introduceras i de lösningar vi redan använder och därför kommer det att bli svårt att skilja mellan en ”AI-lösning” och ”icke-AI-lösning” – och jag ser fram emot det (äntligen kan någon ta hand om min kalender). Nyckeln till framgång här (ur ett informationssäkerhetsperspektiv) är att vara öppen för de nya teknologierna men samtidigt förstå och hantera de relaterade riskerna. Vad är dina tankar? Lämna en kommentar och kontakta oss om du vill prata om AI.