Farene for Nej til AI

Jeg ringede ind til et potentiel klients virksomhedsopkald sidste uge. Alle sikkerheds- og netværksfolk var der, plus ledelsen. Forskellige præsentationer dækkede emnerne i øjeblikket. Så begyndte nogen at forklare, hvordan hans tekniske teams bruger AI i deres daglige arbejde.

Præsentatoren var begejstret. Han havde fundet en måde at komprimere tre dages manuelt kopier-og-lim-arbejde ned til et par minutter ved hjælp af AI-værktøjer. Super cool, ikke? Jeg forstår, hvad han gjorde – og hvorfor han gjorde det. Dette er AI’s løfte!

Men som sikkerhedsperson i rummet tænker jeg: “Oh my God.” “Hvad er det værktøj? Hvem ejer det værktøj?” Fordi han putter kundeinformation ind i disse platforme – prissætningsdata. Måske finansielle oplysninger? Uanset hvad det måtte være. Alt for at accelerere sin arbejdsproces.

Så jeg stillede det åbenlyse spørgsmål: “Har I en AI-politik?” Vi gik på jagt. Fandt en besked begravet på acceptabel brug. Noget vagt om AI-værktøjer. Læser nogen det overhovedet? Sandsynligvis ikke. Du underskriver det under onboarding, og du er færdig.

Dine medarbejdere bruger allerede AI

Her er, hvad jeg har lært af at tale med virksomheder på tværs af alle brancher: AI er allerede overalt, uanset om du anerkender det eller ej. Seneste forskning bekræfter denne virkelighed – 75% af arbejdere bruger nu AI på arbejdet, næsten en fordobling på bare seks måneder.

Sidste uge i Houston mødte jeg en fyr, hvis virksomhed borer efter olie. De har en AI-platform, der analyserer jordens sammensætning og vejrforhold for at optimere boringens placering. Han forklarede, hvordan de tager regndata med i betragtning – “Vi vidste, at det regnede 18 dage mere end det gjorde i dette område, så oliemængden er sandsynligvis højere, hvilket giver boringen mulighed for at komme dybere.”

Imens bruger jeg AI til at oprette en rejseplan for Tyskland. Jeg har talt med virksomheder i sundhedssektoren, der bruger det til telesundhedsplatforme. Finanshold bruger det til risikomodeller. Jeg mødte endda en person, der driver en limonadevirksomhed, der udnytter AI på en eller anden måde.

Pointen er: AI er i alle brancher, alle arbejdsprocesser. Det kommer ikke – det er her. Og de fleste af disse organisationer er i samme båd som os. De ved, at deres medarbejdere bruger det. De ved bare ikke, hvordan de skal styre det.

Shadow IT bliver farligt hurtigt

Ved du, hvad der sker, når du siger til folk, at de ikke må bruge AI? Det er ligesom at sige til din teenager, at de aldrig må drikke. Til lykke, nu er de gået hen og drikker på de farligste måder, fordi du har skabt en forbudspolitik.

Tallene beviser denne virkelighed: 72% af generativ AI-brug i virksomheder er shadow IT, hvor medarbejdere bruger personlige konti til at få adgang til AI-applikationer.

Folk får en anden laptop. De bruger deres personlige telefon, der ikke er beskyttet af virksomhedens sikkerhed. Så bruger de AI alligevel. Pludselig mister du overblikket og skaber de eksakte huller, du forsøgte at forhindre.

Jeg har set dette mønster før. Sikkerhedshold, der siger “nej” til alt, ender med at drive folk under jorden – og mister al oversigt over, hvad der faktisk sker.

Sikkerhed bliver fjenden

Der er en opfattelse af, at sikkerhedshold er “de dårlige fyre i kælderen.” Folk tænker: “Oh, sikkerheden siger sandsynligvis nej alligevel, så lad os ikke besvære dem. Jeg gør det alligevel.”

Vi har skabt denne misforståelse. Og med AI antager folk, at vi vil lukke dem ned, så de besværer os ikke.

Jeg havde en udvikler, der kom hen til mig efter en konferencepræsentation. Han bruger API’er hver eneste dag og havde forsøgt at få sin sikkerhedsholds opmærksomhed på test og validering. Men han havde besluttet sig for ikke at spørge, fordi han regnede med, at de ville sige nej.

Tillidsunderskuddet koster alt

Her er den samtale, du ønsker: Nogen fra marketing kommer hen til dig og siger: “Hej, jeg vil bruge dette AI-værktøj. Hvad er vores holdning til det? Hvordan bruger jeg det sikkert?” Det er den rigtige måde at samarbejde med sikkerhed på.

Vi vil gennemgå det. Vi forstår, at AI vil være en del af forretningen. Vi siger ikke nej til det – vi vil, at folk skal bruge det sikkert. Men vi har brug for den samtale først.

Når folk antager, at sikkerhed vil blokere alt, stopper de med at spørge. De tilmelder sig med personlige e-mails, starter med at fodre virksomhedens data ind i ikke-gennemgåede platforme, og du mister al oversigt og kontrol. Resultatet er forudsigeligt: 38% af medarbejdere deler følsomme arbejdsoplysninger med AI-værktøjer uden arbejdsgivernes tilladelse.

Virksomheder vil bruge AI uanset hvad. Spørgsmålet er: Hvordan sikrer vi, at vores medarbejdere kan udnytte det sikkert uden at sætte virksomhedens data, privatliv eller sikkerhed i fare?

Start med smarte ja’er, ikke blanke nej’er

Her er, hvad der faktisk virker: proaktiv kommunikation. Send nyhedsbreve eller afhold 30-minutters webinarer, der siger: “Vi tillader AI inden for virksomheden. Her er, hvordan du gør det sikkert.” Optag sessionerne for folk, der går glip af dem.

Vis eksempler på medarbejdere, der har samarbejdet med sikkerhed med succes. Gør disse samarbejder synlige i stedet for at være en skyggeentitet, som folk antager vil lukke dem ned.

Du har brug for at bygge tillid over tid mellem sikkerhed og medarbejdere. Til sidst bruger vi alle AI på store og små måder. Jeg brugte det til at planlægge min Tysklandstur – fortalte det at oprette en tre-dages rejseplan og fik en fantastisk tur ud af det.

Fra et organisatorisk synspunkt har vi brug for at erkende, hvor AI sidder i forretningen. Vil det øge omsætningen? Sandsynligvis. Forretningsfaldet er klart: AI er gået fra ‘eksperiment’ til ‘essentiel’, med en stigning i virksomhedsudgifter på 130%. Så hvad gør vi? Hvordan giver vi beskyttelse samtidig med, at vi muliggør produktivitet?

Målet er ikke perfekt kontrol – det er umuligt. Målet er informeret AI-tilpasning med sikkerhedsforanstaltninger, der faktisk virker i praksis. Den nye risiko for sikkerhed er at blive isoleret fra AI-brug – brug, der sker med eller uden dig.

For virksomheder, der er alvorligt interesserede i at gøre det rigtigt, anbefaler eksperter at udvikle klare AI-styringspolitikker, der balancerer forretningsbehov med sikkerheds krav før shadow AI-brug spiraler helt ud af kontrol.