"Skugg-AI – företagens växande säkerhetsproblem"

Djupa risker

Detta skapar en förstorad hotbild och kan leda till problem som modelldrift eller dataförgiftning, en slags cyberattack som manipulerar eller förstör den data som används av AI-modellerna som ofta förblir oupptäckta en lång tid innan de orsakar betydande skada.  

Omfattningen visar att skugg-AI inte bara är ett problem orsakat av slutanvändarna.

Det handlar om en djupare integration av okontrollerad AI i hela företagets teknikstack, vilket är mer komplext och svårare att hantera.

Styrning ett gemensamt ansvar 

Ansvaret att skydda en verksamhet från skugg-AI får inte ligga enbart på IT-avdelningens axlar. Eftersom många företag saknar en AI-tekniskt kunnig personal är det viktigt att säkerställa att flera personer och avdelningar kan dela på ansvaret att utvärdera implementering och användning.

Alla affärsfunktioner måste bidra till ett integrerat ramverk för styrning och säkerställa att den finns där AI-besluten fattas – från apputveckling till leverantörsupphandling till marknadsanalys och HR-automatisering.

Nästa steg är att förstå och erkänna att mänsklig kontroll bara räcker till en viss gräns. AI:s snabba utveckling och växande skala kräver automatiserade processer för styrning.

Till exempel kan AI-agenter implementeras internt för att övervaka efterlevnad, genomdriva policyer och utbilda personalen i realtid. Verktyg för AI-styrning måste bli en standard för att effektivt kunna skala upp övervakningen.

Lär av tidigare erfarenheter 

AI bör inte hanteras som fundamentalt annorlunda än traditionella applikationer och mjukvara.

Trots att det största fokuset kring skugg-AI handlar om hur anställda använder AI utan IT-avdelningens vetskap är det viktigt att förstå att skugg-AI är ett bredare problem som skiljer sig från traditionell ”skugg-IT”. Detta beror i hög grad på de hot som finns inbyggda i mjukvaruplattformarna.  

För att begränsa dessa hot finns mycket att lära från sin egen erfarenhet av DevOps. Genom att lägga fokus på validering, tester, versionskontroll och kontinuerlig övervakning kan man fastställa tydliga processer och bästa praxis för IT- och utvecklingsteamet.  

Här kan även externa partner tillföra stort mervärde genom lösningsvalidering, rådgivning, automatiserad hantering och beprövade ramverk för styrning som hjälper till att integrera AI på ett säkert och hållbart sätt.

Genom att tillämpa samma beprövade förhållningssätt till AI-utvecklingen som man traditionellt haft till mjukvaruutveckling kan företag markant minska riskerna utan att hämma innovationen.

Publik vs privat AI 

Man måste också tydligt skilja på offentlig och privat AI. När anställda matar in konfidentiella uppgifter i offentliga AI-verktyg är riskerna jämförbara med att publicera samma uppgifter öppet på internet.

De offentliga modellerna har ofta begränsad insyn i hur data lagras, används eller sparas för framtida modellträning. Detta skapar risker och osäkerhet kring dataintegritet och säkerhet.

För att hantera detta bör företag överväga investeringar i privat AI-infrastruktur. Då kan organisationer behålla full kontroll över sina data, hur modellen tränas och på systemets beteende.

Modeller kan också uppdateras kontinuerligt och hanteras i en säker miljö för att säkerställa efterlevnad av interna policyer och lagkrav. I slutändan, för att kunna kontrollera skugg-AI, krävs också tillgång till att styra de underliggande systemen.

En säker framtid 

Genom att främja en kultur av ansvarsfullt experimenterande med stöd av strukturerad tillsyn kan företag nå AI:s fulla potential utan onödigt risktagande.

Nyckeln är inte att fasa ut skugg-AI utan att förstå var hoten kommer ifrån och sedan styra utvecklingen på ett smart sätt.  

Det innebär att investera i rätt verktyg, infrastruktur och processer för att göra AI tillgängligt och transparent, att genom automatisering tillämpa etablerade DevOps-principer och att skilja mellan offentliga och privata AI-miljöer.

På så sätt kan företag främja ansvarsfull innovation och positionera sig för att lyckas i AI-eran.

Mike Creutzer
Nordenchef för Infrastructure Solutions Group på Lenovo