AI og cybersikkerhet: hvordan bruke AI uten å øke risikoen

Kunstig intelligens er i ferd med å gå fra å være pilotprosjekter og produktivitetseksperimenter til å bli en sentral del av virksomhetenes drift. Bedrifter bruker AI til å analysere data, automatisere arbeidsflyter, forbedre beslutningsprosesser og utvikle nye tjenester. Innen helsevesenet, transportsektoren, offentlig forvaltning og kritisk infrastruktur har AI potensial til å skape betydelig verdi.

Men den samme utviklingen endrer også trusselbildet. Etter hvert som store språkmodeller og AI-agenter blir mer avanserte, skaper de ikke bare nye muligheter for innovasjon. De åpner også for nye angrepsflater. Kraftigere modeller gjør det raskere, billigere og enklere å identifisere sårbarheter, automatisere deler av angrep og utnytte svakheter i den digitale infrastrukturen.

For mange virksomheter skaper dette et nytt strategisk dilemma: De har ikke råd til å henge etter på AI-området – men de har heller ikke råd til å ta AI i bruk uten riktig sikkerhet, infrastruktur og styring på plass.

AI-teknologi endrer økonomien bak cyberangrep

Cyberangrep har tradisjonelt krevd tid, kompetanse og ressurser. Kunstig intelligens er i ferd med å endre dette. Avanserte modeller kan analysere systemer, identifisere svakheter, skrive kode og automatisere repetitive oppgaver. For de som skal forsvare seg, kan dette styrke sikkerhetsarbeidet og øke reaksjonshastigheten. For angripere senker det terskelen for å komme i gang og gjør det enklere å skalere opp angrepene.

Anthropics modell Claude Mythos illustrerer utviklingen tydelig. Det britiske AI Security Institute (AISI) konkluderte med at modellen representerte et tydelig steg opp i simuleringer av flertrinns cyberangrep. Det understreker hvordan kraftige AI-systemer både kan styrke forsvarssiden og samtidig øke risikoen for misbruk.

Bekymringen handler ikke om ett bestemt verktøy, men om utviklingen av AI-systemer og AI-agenter som øker hastigheten og sofistikasjonen til både lovlige og ondsinnede aktiviteter. Fremtidige AI-funksjoner vil kunne hjelpe angripere med å finne sårbarheter, utnytte dårlig vedlikeholdt infrastruktur eller hente ut verdi fra stjålne data langt mer effektivt enn tidligere.

Som følge av dette blir gamle svakheter – systemer uten oppdateringer, uklare tilgangsrettigheter, utsatte data og dårlig administrerte skymiljøer – stadig farligere.

For nordiske og europeiske virksomheter er dette særlig viktig fordi mange er avhengige av kompleks digital infrastruktur, forsyningskjeder og sensitive data. I sektorer som helsevesen, transport, offentlige tjenester og kritisk infrastruktur utgjør cybersikkerhetshendelser ikke bare en økonomisk risiko. De kan forstyrre viktige tjenester og, i ekstreme tilfeller, sette menneskers sikkerhet i fare.

Å unngå kunstig intelligens er ingen strategi

Svaret er ikke å unngå kunstig intelligens. Virksomheter trenger AI for å forbli konkurransedyktige. De må utnytte data mer effektivt, automatisere manuelle prosesser, forbedre beslutningstakingen og utvikle bedre tjenester.

Bedrifter som ikke klarer dette, risikerer å havne på etterskudd både i forhold til lokale konkurrenter og globale aktører med sterkere digitale evner. Men å ta i bruk AI uten det rette grunnlaget medfører alvorlige risikoer.

Sensitiv informasjon kan bli eksponert gjennom offentlig tilgjengelige AI-verktøy. Kritiske data kan behandles i miljøer utenfor virksomhetens kontroll. Ansatte kan ta i bruk AI-tjenester uten klare retningslinjer. Automatiserte AI-agenter kan få tilgang til systemer uten tilstrekkelig styring. Og virksomheter kan bli avhengige av infrastruktur som reiser spørsmål knyttet til sikkerhet, regelverksetterlevelse og jurisdiksjon.

«AI åpner for nye muligheter for virksomheter, men skaper også nye angrepsflater. Løsningen er ikke å unngå AI, men å forstå hvor dataene dine befinner seg, hvem som har tilgang til dem og hvilke verktøy som brukes. Det ansvaret må ligge hos ledelsen – ikke bare hos IT-avdelingen», sier Robin Frantzen, forretningsutviklingssjef hos NetNordic.

Den virkelige utfordringen er derfor ikke om man skal bruke AI, men hvordan. Og «hvordan» handler i stor grad om hva AI-en kjører på.

Sikker bruk av AI avgjøres ikke bare av retningslinjer og kompetanse, men av infrastrukturen under: hvor dataene behandles, hvem som kontrollerer miljøet, og hvor godt det er sikret.

Hvorfor infrastruktur har blitt en del av AI-debatten

Avansert AI krever betydelig datakraft, noe som gjør GPU-kapasitet til et strategisk infrastrukturspørsmål. Men kapasitet alene er ikke nok. Virksomheter må også vite hvor AI-arbeidsbelastningene kjører, hvor dataene behandles og hvem som har kontroll over miljøet.

For virksomheter som håndterer sensitive eller regulerte data, kan offentlige AI-tjenester skape bekymringer knyttet til juridiske forhold, sikkerhet og compliance. Derfor blir lokal AI og private språkmodeller stadig mer aktuelt.

Lokal AI innebærer å kjøre modeller i et kontrollert miljø, enten på virksomhetens egen infrastruktur eller i en privat sky.

NetNordic tilbyr tilgang til språkmodeller og GPU-kapasitet i nordiske datasentre, med isolerte miljøer som ikke er eksponert mot det offentlige internett.

Et privat AI-miljø kan bidra til å holde dataene på nordisk jord, redusere avhengigheten av offentlige AI-plattformer, minske risikoen for datalekkasje og gi virksomheter bedre kontroll over infrastruktur og kostnader.

For virksomheter som håndterer sensitive data, kan dette gjøre det mulig å drive innovasjon med AI uten å sende kritisk informasjon til offentlige skymiljøer.

Datasuverenitet blir et sikkerhetsspørsmål

Diskusjonen om kunstig intelligens knyttes i stadig større grad til datasuverenitet. Mange AI- og skytjenester drives av leverandører under utenlandsk jurisdiksjon. For europeiske og nordiske virksomheter reiser dette viktige spørsmål:

• Hvor behandles dataene?
• Hvem har tilgang til dem?
• Hvilke rettslige rammeverk gjelder?
• Hva skjer hvis dataene blir gjenstand for forespørsler fra myndigheter utenfor Europa?

Poenget er ikke at alle utenlandske skytjenester er usikre. Mange virksomheter vil fortsatt bruke globale skyplattformer som en del av sin digitale infrastruktur. Men de må forstå de juridiske, driftsmessige og sikkerhetsmessige konsekvensene – særlig når de håndterer sensitive data.

For helsevesenet, offentlig sektor, kritisk infrastruktur, finans og andre regulerte bransjer er datasuverenitet ikke lenger bare et juridisk eller innkjøpsmessig spørsmål. Det er blitt en del av cybersikkerhetsstrategien.

AI-agenter skaper en ny utfordring for styringen

AI-agenter går langt utover tradisjonelle AI-modeller som svarer på spørsmål eller genererer innhold. De kan utføre oppgaver, kobles til arbeidsflyter og samhandle direkte med virksomhetens systemer.

En AI-agent kan hente frem informasjon, oppdatere systemer, utløse handlinger eller støtte driftsprosesser. I praksis kan AI-agenter begynne å fungere som digitale medarbeidere i virksomheten.

Dette skaper en ny utfordring for identitets- og tilgangsstyring.

Virksomheter må vite:

• hvilke agenter som finnes
• hva de kan gjøre
• hvilke systemer de har tilgang til
• hvem som har godkjent dem
• hvordan handlingene deres overvåkes

De trenger også prosesser for å gjennomgå tillatelser og deaktivere AI-agenter som ikke lenger er nødvendige.

En AI-agent med tilgang til produksjonssystemer bør reguleres på samme måte som enhver annen privilegert identitet. Uten slik kontroll kan virksomheter skape alvorlige interne risikoer uten å være klar over det.

Oppdateringer og robusthet blir stadig viktigere

Det nye AI-drevne trusselbildet gjør det enda viktigere å ha en robust og velforberedt infrastruktur.

Hvis AI gjør det raskere å oppdage sårbarheter, må virksomheter bli raskere og mer systematiske når det gjelder:

• oppdatering av systemer
• håndtering av infrastrukturrisiko
• lukking av kjente sikkerhetshull

Treg oppdatering, uklart ansvar og utdaterte systemer er allerede vanlige problemer. I et trusselbilde preget av AI blir disse svakhetene enda farligere.

Spørsmålet virksomheter bør stille seg, er enkelt:

Hvis angriperne kan handle raskere, er vi da forberedt på å reagere raskere?

For mange vil det ærlige svaret være nei.

Hva virksomheter bør gjøre nå

Det første steget er å kartlegge dagens modenhetsnivå: hvor virksomheten står, hvor de største svakhetene ligger, og hvilke risikoer som bør håndteres først.

«Kartlegg systemene, leverandørene, tilgangsrettighetene og skygge-IT, og identifiser deretter svakhetene. Man kan ikke sikre det man ikke vet eksisterer», sier Frantzen.

Derfra er det noen områder som bør prioriteres:

Gjennomfør en modenhetsvurdering

En modenhetsvurdering kan avdekke svakheter innen infrastruktur, tilgangsstyring, bruk av skytjenester, databeskyttelse og håndtering av sikkerhetshendelser. Den gir også ledelsen et tydeligere grunnlag for å prioritere investeringer.

Prioriter opplæring på tvers av funksjoner

AI-sikkerhet er ikke bare et IT-anliggende. Ledelsen, sikkerhetsavdelingen, juridisk avdeling, compliance-avdelingen og relevante forretningsenheter må ha en felles forståelse av cyberrisiko knyttet til AI, agentisk AI, datasuverenitet og sikker bruk av språkmodeller.

Oppdater risikovurderingene

Mange risikovurderinger ble ikke utviklet for en verden der AI-verktøy og AI-agenter er integrert i den daglige driften. Virksomheter bør gjennomgå underleverandører, skytjenester, AI-verktøy, forsyningskjeder, kritiske data og driftsavhengigheter.

Gjør identitets- og tilgangsstyring til en prioritet

Virksomheten må vite hvem – og hva – som har tilgang til systemene, inkludert ansatte, privilegerte brukere, tjenestekontoer og AI-agenter. Tilgangsrettigheter bør gjennomgås, overvåkes og fjernes når de ikke lenger er nødvendige.

Kartlegg de viktigste dataene og systemene

Hva er mest sensitivt? Hvor lagres det? Hvem har tilgang? Hva ville skjedd hvis det lekket ut eller ble utilgjengelig?

Beregn de reelle kostnadene ved driftsstans

For noen virksomheter kan noen få timers driftsavbrudd koste millioner. For sykehus og kritiske tjenester kan konsekvensene strekke seg langt utover økonomiske tap.

Fremtiden tilhører virksomheter som kan bruke AI på en sikker måte

Kunstig intelligens vil bli en stadig viktigere del av hvordan virksomheter konkurrerer, driver virksomheten og leverer tjenester. AI vil hjelpe virksomheter med å utnytte data bedre, automatisere arbeidsoppgaver og skape ny verdi – men teknologien vil også gi angripere nye muligheter og øke presset på infrastruktur-, styrings- og sikkerhetsteamene.

Å unngå AI er ikke bærekraftig. Men å ta teknologien i bruk uten kontroll er heller ikke trygt.

De virksomhetene som er best forberedt på neste fase, er de som forstår det nye angrepsområdet og handler tidlig. De vil kombinere innovasjon med sterkere sikkerhet, tydeligere styring og bedre kontroll over data og infrastruktur.

I en tid preget av avanserte språkmodeller og AI-agenter er sikker innovasjon ikke lenger et valg.

Det er en forutsetning for å forbli konkurransedyktig, robust og pålitelig.

Vil du vite hvor virksomheten din står? En modenhetsvurdering fra NetNordic gir et tydelig bilde av svakhetene innen infrastruktur, tilgangsstyring, datasikkerhet og AI-governance, og et konkret grunnlag for å prioritere de neste stegene.

Ta kontakt med oss for en uforpliktende samtale om hvordan virksomheten kan ta i bruk AI på en sikker og kontrollert måte.