AI-sikkerhet: Et lederansvar – og hvorfor «litt kontroll» ikke er nok

AI-sikkerhet: Et lederansvar – og hvorfor «litt kontroll» ikke er nok

Forfatter:
Kjell-Arild Sandvik
Principal Consultant – Governance, Risk and Compliance

Mange virksomheter tar i bruk kunstig intelligens uten en tydelig plan for styring og kontroll.

I praksis betyr det at beslutninger i økende grad påvirkes – eller tas – uten at ledelsen har reell oversikt.

AI-sikkerhet er derfor ikke først og fremst et teknologisk spørsmål. Det er et lederansvar.

Uten en strategisk tilnærming risikerer man ikke bare økt risiko – man risikerer å miste kontroll over hvordan virksomheten faktisk opererer.

Når kontrollen allerede er borte

Jeg møter ofte ledere som sier: «Vi har ikke tatt i bruk så mye AI ennå – vi følger med og tar det etter hvert.»

Min erfaring er at dette sjelden stemmer. AI er som regel allerede i bruk – bare uten styring.

I mange virksomheter er det et tydelig gap mellom hva ledelsen tror skjer, og hva som faktisk skjer i organisasjonen. Ansatte tar i bruk AI-verktøy for å jobbe mer effektivt – ofte med gode intensjoner, men uten klare rammer.

Når beslutninger endrer karakter

Jeg pleier å forklare dette med en enkel modell: Beslutninger = informasjon × vurderingsevne. Tidligere har teknologi først og fremst gitt oss bedre tilgang til informasjon, med AI får vi i tillegg ferdige vurderinger. Det betyr at deler av beslutningsprosessen flyttes fra mennesker til maskiner.

Dermed oppstår et grunnleggende spørsmål: Har vi kontroll på hvordan disse vurderingene påvirker virksomheten?

Skygge-AI er ikke et fremtidsscenario

I praksis har mange virksomheter det jeg kaller «skygge-AI» – bruk av AI-verktøy utenfor etablerte rammer.

Ansatte bruker AI til alt fra tekstproduksjon til analyse og kodehjelp. Samtidig bygges AI-funksjonalitet inn i stadig flere systemer.

Dette er ikke et hypotetisk fenomen – det skjer allerede, i stor skala og høyt tempo. Sett fra et juridisk og sikkerhetsfaglig perspektiv innebærer dette en reell risiko: virksomheter tar i bruk AI uten nødvendige kontrollmekanismer – i ytterste konsekvens kan det ligne strategisk gambling.

Derfor holder ikke tradisjonell risikostyring

AI oppfører seg annerledes enn tradisjonell teknologi. Den er ikke alltid forutsigbar, og kan gi ulike svar på samme spørsmål.

Det gjør det vanskelig å vurdere sannsynlighet på klassisk vis. I stedet bør vi i større grad fokusere på konsekvenser:

Hva skjer hvis systemet tar feil? Hvilken påvirkning kan det ha på kunder, beslutninger og omdømme?

Dette er også tankegangen bak standarder som ISO/IEC 42001, som gir et rammeverk for styring av AI.

Hva bør ledelsen gjøre nå?

Basert på det vi ser i markedet, er dette et godt sted å starte:

  • Skaff oversikt over hvordan AI faktisk brukes i virksomheten (inkludert skygge-AI)
  • Definer tydelig hvilke data som ikke skal deles med åpne AI-tjenester
  • Gjennomfør konsekvensvurderinger av AI-bruk (konsekvens fremfor sannsynlighet)
  • Plasser eierskapet til AI-risiko i ledelsen, det er der den hører hjemme
  • Ta i bruk etablerte rammeverk for styring og kontroll, som ISO/IEC 42001 og NIST AI RMF.

Tre spørsmål det er verdt å stille

  • Har vi reell oversikt over hvordan AI brukes i dag – eller antar vi?
  • Har vi vurdert hva som kan skje hvis systemene tar feil?
  • Er dette forankret som et strategisk ansvar – eller behandles det fortsatt som et IT-tema?

Og avslutningsvis vil jeg si:

De virksomhetene som lykkes med AI fremover, er ikke nødvendigvis de som tar det i bruk raskest – men de som klarer å gjøre det med kontroll og ansvarlighet.

AI gir enorme muligheter. Men uten styring gir den også fra seg kontroll.