Syv grep som sikrer ansvarlig og trygg bruk av KI

Stadig flere norske virksomheter har ambisjoner om å bruke kunstig intelligens til å effektivisere prosesser, ta bedre beslutninger eller nå nye målgrupper.

Med fremveksten av KI-agenter har også forventningene økt – til mer innovasjon, raskere verdiskaping og større gevinst.

Likevel forblir mange initiativer på idé- eller pilotstadiet.

– Hvis du ikke får KI-prosjektene dine i produksjon, får du heller ingen gevinst, sier Wenche Karlstad, Growth Partner Executive i Tietoevry Tech Services.

Hun peker på at årsaken sjelden er teknisk. Mange ledere er usikre på hvordan teknologien virker, hvordan den kan styres forsvarlig, og hvilke risikoer som faktisk er relevante.

Bekymringene knytter seg gjerne til personvern, datakvalitet, skjevhet i modeller – og ikke minst muligheten for feilbruk.

– KI-governance er en topplederoppgave. Det krever opplæring og kompetanseløft også i styrerommet, sier Karlstad. 

– Toppledere må selv sørge for å ha nødvendig kompetanse og kunnskap om KI. Dette ansvaret kan ikke legges til IT-avdelingen alene. Heller ikke til juridisk avdeling alene, fortsetter hun. 

– Det gjelder å etablere en praksis for ansvarlig bruk av KI, adopsjon og utvikling. Det skjer ikke uten en trygg ramme rundt sikkerhet og governance, og dette må praktiseres på tvers av virksomhetens fagområder. 

Sikkerhet krever innsikt, ikke frykt

Maja Worren Legernæs er Security Lead i Tietoevry Tech Services Norway. Hun ser at flere virksomheter vurderer å legge dataene tilbake på egne servere, on‑prem, i møte med økt geopolitisk usikkerhet og nye reguleringer.

– Når man bruker "sikkerhet" som argument for å ikke bruke sky eller KI, handler det ofte ikke om sikkerhet, men om utrygghet til teknologien.

–  Skyteknologi og KI gir rom for å opprettholde sikkerheten for de digitale eiendelene på et høyt nivå, samt at det åpner for innovasjon, fortsetter hun.

Hvis diskusjonen bare dreier seg om hvor dataene befinner seg fysisk, risikerer man å miste fleksibilitet og reell kontroll.

Digital suverenitet – altså kontroll over egne digitale verdier og systemer – er uansett en sentral verdi for virksomheter, uavhengig av leveransemodell, ifølge Karlstad:

– Mange virksomheter vil ta i bruk ny teknologi, slik som KI representerer, men er usikre på om det er trygt. De vet ikke alltid hvilke valg som er riktige – noe som kan gjøre at de avventer.

Løsningen er ikke å bremse opp, men heller å styrke kompetansen på KI, ha god styring og struktur. Governance‑modeller som inkluderer dataflyt, jurisdiksjon, leverandørforhold og etisk forankring gir tryggheten som trengs for å gå videre.

– Du kan ikke ha god KI‑bruk uten å ha sikkerhet for dine data, applikasjoner, infrastruktur og mennesker, understreker Karlstad.

Kompetanse er den største sikkerhetsfaktoren

Både EU-lovgivning og kommende reguleringer peker på at ansvarlig bruk av KI krever systematisk opplæring – på alle nivåer.

– Du får ikke sikker KI‑bruk uten både sikkerhets‑ og KI‑opplæring. De to er helt avhengig av hverandre for å få ønsket verdi, sier Legernæs.

For å illustrere hva som står på spill, trekker Karlstad frem to eksempler:

Det avanserte svindelforsøket mot DNB i Singapore, der KI-teknologi ble brukt i et videomøte for å etterligne toppledelsen.

– Det var så godt orkestrert at det nesten ikke var mulig å oppdage. Bare høy kompetanse og årvåkenhet blant DNBs egne ansatte gjorde at det ble avslørt.

Et annet eksempel er offentlig bruk av generativ KI i saksbehandling, der hallusinerte kilder har blitt lagt til grunn for reelle beslutninger, noe som også har skjedd i rettssalen.

– Dette viser hvorfor veiledning og kompetanse må være på plass før man setter teknologien i arbeid. Det er ikke alltid teknologien som er den største risikoen. Det er veldig ofte vi mennesker, og veiledning og retningslinjer kommer ofte i etterkant. Og især når det går så fort med KI-utvikling som det gjør nå.

Syv tiltak for trygg KI‑innovasjon

Tietoevry Tech Services har utviklet et rammeverk for ansvarlig KI-ledelse som hjelper virksomheter med å gå fra eksperimentering til produksjon, i tråd med egne verdier, reguleringer og sikkerhetsbehov. 

Karlstad og Legernæs trekker frem syv punkter alle virksomheter bør ha kontroll på:

1. Ta stilling til hva du vil oppnå med KI - og fokuser på innovasjonsmulighetene
   Forankre tydelige målområder i forretningsstrategien, og planlegg produksjon fra start for å sikte på skalering og positiv effekt. 
2. Etisk forankring og opplæring
   Sørg for at både ledere og ansatte forstår hva ansvarlig KI-bruk innebærer og hvordan KI fungerer for ulike formål.
3. Oversikt over digitale eiendeler og KI-systemer
   Kartlegg data, applikasjoner, systemer og menneskelige ressurser.
4. Kjennskap til dataflyt og sensitivitet
   Hvor er dataene? Hvor flyter de? Hvem har tilgang?
5. Risikovurdering og tiltak
   Identifiser trusler og sårbarheter, og iverksett relevante kontroller.
6. Kryptering, backup og restore
   Ikke bare ha backup – test at den faktisk fungerer.
7. Leverandørstyring og jurisdiksjon
   Vit hvem du samarbeider med og hvilket regelverk dataene omfattes av.

Når disse punktene er på plass, er grunnlaget lagt for å kunne utvikle, bruke og skalere KI-løsninger på en måte som både er forsvarlig og verdiskapende.

Tillit og ansvar

– Vi må ikke skape frykt rundt KI. Vi må skape tillit, sier Karlstad.

– Og den bygger vi med innsikt, struktur og kompetanse. Det er vårt alles ansvar, når vi bruker KI både i jobb og privat, legger Legernæs til.

Med riktig retning, struktur og opplæring kan KI bidra til både innovasjon, bedre tjenester og smartere beslutninger – uten å gå på akkord med sikkerheten. 

– KI kan gi nye muligheter for økt sikkerhet – ved å overvåke, analysere og respondere smartere. Men det er bare hvis den brukes riktig, avslutter Legernæs.