Med Microsoft Copilot som smart AI-verktyg får du som medarbetare en stor avlastning i dina dagliga uppgifter, genom att Copilot hittar, sorterar och presenterar information som du behöver det – men med den kraften kommer också skärpta krav på arbetsprocesser och informationssäkerhet för verksamheter. När data finns tillgänglig för AI-verktyg behövs bättre kontroll för att undvika att informationen hamnar i orätta händer. Data breach, böter, lägre konkurrenskraft och förlorade branschtillstånd är tre potentiella konsekvenser när AI används utan att organisationen är redo för det.
”Copilot är ett jättebra verktyg, men företagsledare behöver ställa sig frågan vad som krävs för att kunna dra nytta av Copilot på ett tryggt sätt. Svaret på det är governance, alltså mer ordning och reda” säger David Effemey, mångårig specialist inom informationssäkerhet på Accigo.
David berättar att Copilot är som en sökmotor på steroider. Copilot gör dig mer effektiv i ditt arbete oavsett om det handlar om att sortera bland mötesanteckningar eller om du vill ha försäljningsprognoser baserade på de senaste sex månaderna. Copilot som AI-verktyg är så kraftfullt att det hittar information som vi människor inte förmår hitta.
”Om till exempel HR-avdelningen varit slarvig med hur man delar information så kan Copilot presentera väldigt konfidentiell och därmed olämplig information när jag som medarbetare använder verktyget” förklarar David.
Ju bättre AI är, desto mer behöver vi förstå att information inte kan ligga tillgängligt för alla. Med hjälp av kunskap, guidning och styrning kan verksamheter ha bättre insikter på riskerna, klassificera och skydda information, dela ut relevant behörighet och ge medarbetare möjlighet att jobba efter tydliga processer.
AI och regelverken – risk för böter
Vilken information som din organisation behöver vara försiktig med beror på vad konsekvenserna blir om den kommer ut till fel personer. Konsekvenser kan handla om förlorat förtroende internt och externt, eller dåligt rykte i media. Det kan också orsaka lägre konkurrenskraft, lägre omsättning eller böter om händelsen bryter mot regelverk.
Det finns exempel från i höstas när om svensk organisation som bötfälldes med 300 000 kronor för att de använd ett externt verktyg utan att ha utvärderat riskerna och ett techföretag blev ålagd böter efter att en fil med personuppgifter delades med felaktiga mottagare.
Det finns flera befintliga och kommande regelverk på EU-nivå. NIS 2, DORA och AI Act, som organisationer måste förhålla sig till beroende på bransch. Vi märker hög regulatorisk uppmärksamhet den sista perioden, så det är lämpligt att alla ser över hur verkligheten ser ut hos sig.
NIS 2
NIS 2-regelverket innebär högre säkerhetskrav för myndigheter och organisationer. Det utökade regelverket omfattar dessutom företag inom fler branscher, till exempel en stor del av tillverkningsindustrin och livsmedelsproduktion – samt deras underleverantörer.
DORA
DORA (Digital operational resilience act) är exempel på ett regelverk som skapar mer stabilitet för banker genom att stå emot störningar och externa hot. På Accigo hjälper vi flera banker att arbeta i enlighet med DORA vad gäller informationshantering.
.png?width=1080&height=1080&name=louise%20tipsar%20(17).png)
AI Act
AI Act är ett regelverk som syftar till att främja en varsam användning av AI. När verksamheter inte agerar förenligt med AI Act så kan man bli belagd med böter baserad utifrån omsättning. AI Act är därför en ytterligare anledning att ha koll på sin informationssäkerhet kopplat till AI-tjänster.
GDPR
Borde alla känna till då den har funnits sedan 2018. Dataskyddsförordningen reglerar behandlingen av personuppgifter, det måste finnas juridiskt skäl att hantera personuppgifter, information som lagras måste vara korrekt och det får inte lagras längre än behövs. Konfidentialitet är särskilt viktigt.
Klassificera information för säkrare arbete med AI
Genom att klassificera information kan verksamheter balansera både tillgänglighet och trygghet. Gemensamt för alla företag är att information har olika grad av konfidentialitet och nyckeln till att lyckas är att värdet kopplat till informationen är olika. Konsekvenser när något händer är olika. Tid genom tillgänglighet är också en faktor som styr vilken klassning och därmed känslighet som information har. Det här med risk och konsekvens inom informationsklassning missar många tyvärr. Det är ett viktigt förarbete, det kan bli dyrt att enbart införa funktionen för klassning utan att se till helheten. En framgångsfaktor är att se till att medarbetarna förstår varför de klassar och konsekvenser om de klassar fel.
På Accigo utgår vi ofta ifrån fyra olika klasser av information i våra leveranser:
- Publik
- Intern
- Konfidentiell
- Strikt konfidentiell
Publik klassning
Publik klassning av information innebär att den kan delas externt, t.ex. pressreleaser eller marknadsinformation som skickas får vara allmänt tillgänglig.
Intern klassning
Intern information är t.ex. innehåll på intranät, som alla på företaget har tillgång till men som inte bör spridas externt. Om informationen ändå blir känd utanför organisationen så ska det ha en stor negativ påverkan på. Organisationen. Detta kan handla om policys eller information om förändringar inom företaget, telefonboken.
Konfidentiell klassning
Konfidentiell information bör endast finnas tillgänglig för en mindre grupp, eftersom information är känslig och ska inte vara allmän tillgänglig även inom en organisation. Om information äventyras kan det påverka verksamheten eller organisationen med måttlig skada.
Strikt konfidentiell klassning
Strikt konfidentiell information ska vara skyddad och spårningsbar eftersom den har stor påverkan på organisationer. Ett bra förhållningssätt för denna klassning är att om information äventyras så att till exempel omsättningen skulle påverkas med 20% eller stor fara för person hälsa och säkerhet om informationen sprids externt så bör informationen vara strikt konfidentiell. Beroende på organisation så finns externa krav på denna typ av information från Finansmyndigheten och Integritetsmyndigheten och i vissa verksamheter finns särskilda roller som har ansvar för interngranskning som specifika uppdrag. Om en extern audit visar på brister så kan konsekvensen bli enorm med indragna tillstånd eller licenser.
Opublicerade pressreleaser eller marknadsmaterial som ännu inte är offentliga kan egentligen vara exempel på information som är så högt klassad som strikt konfidentiell. Det innebär att klassning av information ofta är tidskänslig och kan gå från strikt konfidentiell till publik beroende på tillfälle. Om det finns ett utkast på ett pressutskick som innehåller information om ett kommande VD-byte och Copilot hittar det och presenterar det till fel personer så kan det t.ex. vara insiderbrott och påverka börsen.
Kom igång med AI och informationssäkerhet
AI är ett incitament för att fortsätta arbeta med informationssäkerhet kontinuerligt. Det menar Fanny Lindberg som tillsammans med David hjälper många organisationer att skapa struktur för informationssäkerhet.
”En av de vanligaste frågorna vi får från företag handlar om hur de ska tänka när de flyttar information från en filserver till molnet”, säger Fanny.
Skälet att flytta information till molnet är att information blir mer tillgänglig och möjliggör ett modernt arbetssätt, och såklart att ge Copilot åtkomst till informationen. Då gäller det att sätta informationssäkerheten i fokus och tänka efter först.
”En annan vanlig fråga handlar om styrning och kontroll. Det är traditionellt IT som styr över filservrarna, vilket ofta skapar flaskhals för samarbete. I molnet är det istället medarbetarna som får mer ansvar för delning av information i Sharepoint och Teams, men då behövs en tydlig struktur och process som varje individ förstår och förhåller sig till” berättar Fanny.
Fanny och David har tillsammans med övriga teamet från Accigo hjälpt verksamheter i olika branscher att sortera och strukturera upp information men också ta fram och implementera processer för hur medarbetare i verksamheten ska hantera information framgent och skapa engagemang i beteendet.
.png?width=1080&height=1080&name=louise%20tipsar%20(18).png)
”Det första steget som alla kan komma igång med redan nu handlar om att rensa data. Ett exempel på för mycket tillgänglig information kan handla om det finns flera versioner av ett dokument. Copilot kommer inte veta vilken version som är den korrekta vilket riskerar att verktyget presenterar felaktig information. Sådan information behöver rensas. Och det finns bra teknik och processer som kan implementeras, för att rensa data kontinuerligt” tipsar David.
Ett ytterligare tips från Fanny handlar om att använda en säkrare variant av AI-Chat, men i egen miljö så att information inte läcker ut när externa verktyg används, alltså inte Chat GPT med företagsinformation utan exempelvis Bing Chat i Edge (numera heter Copilot i Edge). Policys för hur AI ska användas är avgörande, oftast handlar det om att verktyg kan användas inom vissa gränser, men det behövs alltid en riskutvärdering som utgår från vad konsekvensen blir om känslig information sprids.
Så för att summera: säkerställ att era medarbetare arbetar säker och rätt med organisationens information. Den information som är mest känslig och kan därmed utgör mest skada ska ni ha koll på och alla ska respektera riskerna med att hantera dess information. Klassning? Ja absolut, men först se till att ni kommunicerar och lär ut varför alla ska klassa informationen. Och de fantastiska hjälpmedel såsom Copilot som kommer accelererar produktivitet, se till att ha ordning och reda med data innan. Data governance är nyckeln till framgång.
