Danske virksomheders begejstring over Copilot for Microsoft 365 vil ingen ende tage – og med god grund. Men lige i hælene på AI-revolutionens kølvand følger et stort sikkerhedsproblem: Stort set alle virksomheder har enorme mængder af uklassificerede data, som står i vejen for sikker brug af AI.
Read the blog post in English
Anna Barkvall
Director Strategic Programs
Global Portfolio Management
Orange Cyberdefense Group
Bastian B. Eibner
Sr. Tech Specialist | Office 365
Security & Compliance
Microsoft
Mulighederne med generativ AI er svimlende, og fra mange sider ønsker medarbejdere adgang til Copilot for Microsoft 365, fordi løsningen kan effektivere deres arbejde i et hidtil uset omfang. Fordelene er indiskutable, men bag begejstringen lurer et sikkerhedsproblem, der har vokset sig stort gennem mange år, og som nu udfordrer sikker anvendelse af AI.
Du har måske hørt jeres IT-folk sige, at brugen af AI kræver, at I har bedre styr på jeres data? Men hvad betyder det? Det betyder, at jeres data ikke er klassificerede, og derfor kan en AI-assistent ikke vide, hvornår den finder og bearbejder fortrolige og ikke-fortrolige data. Sandheden er, at næsten alle de data, der flyder rundt i danske virksomheder, er uklassificerede. De har ingen formel sikkerhedsstatus – vurderingen er op til brugerne.
”Stort set alle virksomheder har et enormt "bagkatalog" af uklassificerede data, der er blevet opbygget over mange år. Samtidig har de fleste medarbejdere adgang til data af alle slags – også meget fortrolige. Sådan har det ganske vist været i mange år, men før AI skulle de findes manuelt. Det tog tid og gav anledning til at vurdere dem undervejs. Men den arbejdsproces bliver vendt op og ned, når man bruger AI”, siger Anna Barkvall, Director Strategic Programs Global Portfolio Management i Orange Cyberdefense.
Næsten ingen organisationer klassificerer deres data – heller ikke de mest fortrolige. Hvordan kan en AI-assistent så vide, hvilke data der skal behandles mere forsigtigt end andre?
Nu kan vi med ganske almindelig fritekst bede vores AI-assistent om at afsøge alle data inden for vores rækkevidde – også data vi måske slet ikke ved, vi har adgang til. En forespørgel kan f.eks. være: "Find alle dokumenter, der handler om omstrukturering af organisationen og skriv et resumé på 1000 ord" eller "Giv mig et referat af de vigtigste beslutninger på bestyrelsens seneste Teams-møde."
Det kunne vi ikke før, og vi kunne heller ikke sammensætte dataene på et utal af måder uden direkte menneskelig indblanding. Det kan Copilot gøre for os nu, men hvordan ved vi så, om nogle af de data, der bliver brugt, måske er strengt fortrolige? Den vurdering har stor betydning for, hvordan vi anvender dem bagefter.
På den måde medfører AI et langt større behov for at styre, hvor vi lagrer data, hvilken klassificering de har, hvem der må tilgå dem og hvordan de må bruges. Ifølge Anna Barkvall har hun allerede oplevet flere eksempler på, at strengt fortrolige data er blevet delt med eksterne modtagere, fordi en medarbejder havde fundet og bearbejdet dem med AI.
”Problemet strækker sig helt tilbage til, da pc'erne holdt deres indtog for over 40 år siden. Før det havde vi ret godt styr på klassificering af data. Men med digitaliseringen blev det langt nemmere at indsamle, kopiere og sprede data efter behov. Det har mange organisationer forsøgt at styre ved at indføre datapolitikker. Men de kræver, at medarbejderne kender dem og følger dem – også når de arbejder under pres. Tillid er godt, men kontrol er bedre, når det kommer til beskyttelse af vores kritiske data, og derfor kaster vi store ressourcer ind i at tage medansvar for sikker brug af Copilot”, siger Bastian B. Eibner, Senior Technical Specialist i Microsoft.
Sagen i en nøddeskal: Sikker udnyttelse af Copilot for Microsoft 365 kræver effektiv data governance. Men står man med enorme mængder af u-klassificerede data, kan det nærmest virke som en uoverskuelig opgave at klassificere dem. Det er her sikkerhedseksperter fra Orange Cyberdefense kommer ind i billedet.
”Der er ingen tvivl om, at data governance bliver en meget vigtig sikkerhedsdisciplin i de kommende år – også i forhold til compliance med ny sikkerhedslovgivning. Vores specialister starter typisk med at gennemføre assessments og opstille road maps. Da de fleste organisationer starter helt fra bunden, er det ofte en god idé at udrulle dataklassificering gradvist og indsamle erfaring undervejs. F.eks. ved at starte med afdelinger der arbejder med mange følsomme data – såsom ledelsen, HR eller R&D”, forklarer Anna Barkvall.
AI-baseret rådgivning om sikker datahåndtering kommer til at gøre en enorm forskel. Faktisk tror jeg, det kan fjerne hovedparten af de sikkerhedshændelser, vi ser i dag.
Med det rette mix af datakontrol, Managed Security Services og strategisk data governance kan Copilot yde et stærkt bidrag til sikkerheden. Især ved at hjælpe brugerne med at træffe de rigtige valg i det daglige arbejde med organisationens data.
”Forestil dig, at Copilot ikke bare finder og bearbejder de data, sådan som du ønsker, men også proaktivt råder dig om, hvordan du undgår at kompromittere datasikkerheden. Måske du uden at tænke over det prøver at lægge en fortrolig præsentation på et ubeskyttet drev i skyen? Eller kopiere den til en ukrypteret USB-nøgle? Den slags sker hele tiden, men det vil Copilot kunne hjælpe med at undgå. Det er en kendt sag, at brugeradfærd spiller en central rolle i enhver organisations sikkerhed. Derfor er der heller ingen tvivl om, at AI-baseret rådgivning om sikker datahåndtering kan gøre en enorm forskel. Faktisk tror jeg, det kan fjerne hovedparten af de sikkerhedshændelser, vi ser i dag”, siger Anna Barkvall.
Vi har allerede set eksempler på alvorlige brud på datasikkerhed, fordi en AI har fundet og bearbejdet fortrolige, men uklassificerede data.
Behovet for at implementere AI kommer typisk fra mange sider, men det er IT-afdelingen, der har ansvaret for at vurdere de risici, der følger med. Det kan føles som endnu en stor sikkerhedsopgave oven i alle de andre. Men det kan også ses som god anledning til at opnå alle de sikkerhedsfordele, som mere tidssvarende og effektiv data governance også fører med sig.
”Det er klart, at et sikkert datafundament under brugen af AI udgør en stor arbejdsopgave, hvor det gælder om at tage alle midler i brug. Det er kun store organisationer, der har musklerne til at løfte opgaven selv. Men da data governance nu er meget tæt forbundet til sikker brug af AI – som alle gerne vil have – så er det også en oplagt chance til at anmode ledelsen om et større sikkerhedsbudget. Hvis opgaven finansieres og gribes rigtigt an, er det ikke bare vejen til sikker brug af AI, men også en markant forbedring af organisationens generelle sikkerhed og compliance med ny lovgivning som NIS2 og AI Act”, konkluderer Anna Barkvall.
Som officiel Microsoft-partner og en af Europas stærkeste udbydere af Managed Security Services, kan vi hjælpe med at finde den direkte vej til effektiv dataklassificering og dermed sikker brug af Copilot for Microsoft 365. F.eks. ved hjælp af Managed Workspace Protection, mere sikkerhedsorienteret konfigurering af Copilot og implementering af Microsoft Purview, som kan anvendes til at kontrollere, beskytte, autoklassificere og monitorere organisationens data flow.
Orange Cyberdefense er en ledende europæisk cybersikkerhedsleverandører og Managed Security Services Provider (MSSP), anerkendt af både Gartner, Forrester og IDC. Orange Cyberdefense har over 3.000 medarbejdere, som leverer cybersikkerhedsrådgivning, it-sikkerhedsløsninger -og services til over 8.700 kunder fordelt på 160 lande. Vi har en global Threat Intelligence afdeling og 250 analytikere, fordelt på 18 SOCs, 14 CyberSOCs og 4 CERTs, som indsamler og analyserer globale data fra over 500 informationskilder 24/7. I 2023 var vores globale omsætning på 1.072 milliarder EUR. Orange Cyberdefense Danmark A/S har ca. 60 ansatte. Vi har kontorer i København og Århus, og vores kunder er både multinationale virksomheder, offentlige organisationer og myndigheder. Orange Cyberdefense er sammen med Orange Business en del af den franske telekoncern Orange Group, som har over 137.000 ansatte, 296 million kunder på verdensplan og en global omsætning på 44 milliarder EUR i 2023.