Er din virksomhed udstyret med klare retningslinjer, som gør det sikkert at udnytte AI’s mange fordele?
For at medarbejdere og virksomheder kan udnytte fordelene ved kunstig intelligens på en effektiv og sikker måde, er det vigtigt at have klare retningslinjer på plads.
Retningslinjer kan være med til at sikre, at brugen af AI ikke kompromitterer sikkerheden – samtidig med at de muliggør den fulde udnyttelse af AI-teknologiens potentiale.
Men det kan være en kompleks opgave at implementere disse retningslinjer. Især når det kommer til at forstå, hvad der er tilladt, og hvad der ikke er.
I den sammenhæng har vi kigget på virksomheden KMD, der har gjort store fremskridt i implementeringen af AI og indvilliget i at dele ud af sine erfaringer.
KMD’s retningslinjer for anvendelse af AI
På baggrund af den øgede interesse for AI og de potentialer, teknologien rummer, opstod der et naturligt behov nedefra i organisationen til at få udviklet retningslinjer.
Under ledelse af Andreas Reitzel, it-sikkerhedsspecialist hos KMD, blev der i foråret igangsat et projekt hos KMD med målet om at skabe en klar og velstruktureret oversigt over forskellige retningslinjer.
KMD’s retningslinjer er designet til at navigere i de nye muligheder og risici, der følger med AI. De dækker brugen af AI-chatbots som ChatGPT, Google Bard, GitHub Copilot, oversættelsestjenester og andre tredjepartsværktøjer, hvor brugere skal uploade information.
De generelle formål med vejledningen er:
- At fremlægge principperne og reglerne, som styrer brugen af AI-chatbots og andre onlineværktøjer inden for området.
- At adressere behovet for en autoritativ og fælles intern tilgang til, hvordan værktøjer inden for området kan bruges sikkert.
KMDs nuværende retningslinjer fokuserer udelukkende på det basale, simple niveau af AI-anvendelse.
Men arbejdet med at udvide disse retningslinjer til at omfatte mere avancerede niveauer, som den formelle og kommercielle anvendelse, er i gang.
”Det betyder ikke, at brugen af AI på disse højere niveauer er udelukket. Snarere indebærer det, at de gældende retningslinjer på disse niveauer er foreløbige,” fortæller Andreas Reitzel.
Proceduren for de højere niveauer inkluderer derfor en godkendelsesproces og kravet om, at de øvrige, eksisterende retningslinjer fortsat overholdes.
Dataindtastning og indstillinger
Når man anvender AI-værktøjer inden for KMD’s vejledningsrammer, skal man være ekstra opmærksom på, hvilken type information man deler.
”Det handler ikke om, hvad man ikke må bruge AI-chatbots til, men i stedet hvad man ikke må bruge af input. Det skyldes, at risikoen for datalæk kan være højere, når data gemmes på eksterne servere. Når data er ude af vores hænder, mister vi kontrol over informationen,” fortæller Andreas Reitzel.
For yderligere at beskytte de data, man arbejder med, er det også vigtigt at aktivere privatlivs- og fortrolighedsindstillinger på de relevante værktøjer.
Datainput
Andreas Reitzel understreger vigtigheden af at udvise forsigtighed og kritisk sans når man arbejder med AI-værktøjer:
“Som en generel regel bør man altid bruge sin sunde fornuft og være kritisk over for, hvilke typer af informationer man uploader eller stiller til rådighed for disse værktøjer. Brug ikke informationen før du med sikkerhed kan udelukke, at den givne information falder ind under en af ovenstående kategorier,” forklarer han.
Men der er informationer man hos KMD helt skal afholde sig fra at bruge:
- Persondata (defineret af GDPR)
- Kildekode og intellektuel ejendom
- Ophavsretligt beskyttet materiale
- Kundeinformationer
- Kontrakter
- Anden information klassificeret som ”fortrolig”
Derudover lægger man hos KMD også vægt på, at det ved brug af AI-chatbots er vigtigt at følge nogle grundlæggende principper.
God praksis
Hos KMD kan man ikke fritage sig selv fra noget ansvar ved at bruge en AI-chatbot.
Man er stadig ansvarlig for korrektheden, relevansen og lovligheden med hensyn til ophavsret, databeskyttelse eller anden relevant lovgivning, der kan være gældende for outputtet.
Derudover fremhæver Andreas Reitzel vigtigheden af at forholde sig kritisk og ansvarsfuldt til den information, disse systemer leverer. Her peger han på at:
“Medarbejdere i KMD anbefales generelt til ikke at gøre brug af AI-chatbots til research. Det skyldes simpelthen, at ingen af de fakta, der gives af en AI-chatbot, bør betragtes som troværdige uden, at man bekræfter dem gennem en sekundær, valid kilde også. Og selvom man bliver forsynet med kilder af AI-chatbotten, bør man ikke betragte dem som troværdige ved første øjekast.”
Som en anden ting skal man altid være gennemsigtig og ærlig omkring brugen af en AI-chatbot i sit arbejde.
Man bør derfor gøre det klart, at det arbejde, man deler med eller stiller til rådighed for nogen, er helt eller delvist lavet med hjælp fra en AI-chatbot.
Ved brug af kildekode
Hos KMD er delingen af kildekode med online tredjepartstjenester generelt ikke tilladt, men der findes specifikke undtagelser for AI-chatbots, hvis særlige regler og krav overholdes.
Andreas Reitzel peger her på vigtigheden i at stille sig selv nogle kritiske spørgsmål, før man beslutter sig for at anvende kildekode som input i AI-chatbots.
Han anbefaler, at man sikrer, at den anvendte kode ikke vil blive gemt af AI/LLM-systemet til fremtidig optimering. Derudover er det også afgørende, at koden ikke indeholder hemmeligheder eller følsomme data.
En anden vigtig foranstaltning er at indhente godkendelse fra den person, der er ansvarlig for det pågældende kodeafsnit, og sikre, at godkendelsen er specifik for den tilsigtede brug.
I den forbindelse fremhæver Andreas Reitzel tre centrale faktorer, man skal overveje før man søger eller giver sådan en godkendelse:
- Sikkerhed: Vil et potentielt læk af denne kode påvirke sikkerheden af det endelige produkt?
- Fortrolighed: Er der data i koden, der er strengt fortrolig, og som ikke bør risikeres at blive delt eksternt?
- Kritisk betydning: Er kildekoden, eller en del af den, forretningskritisk?
Hvis svaret på et eller flere af disse spørgsmål er ja, bør man genoverveje brugen af AI i det pågældende projekt.
Behovet for retningslinjer kom fra medarbejderne
Hos KMD har man tidligt anerkendt, at AI vil spille en stadig større rolle i at forme vores verden. Derfor satte man sig hurtigt for at finde en velovervejet balance i brugen af AI.
Målet for KMD var, at konkrete retningslinjer kunne være med til at fremme innovationen, samtidig med at man sikrer en ansvarlig håndtering af kritiske virksomhedsdata og en etisk anvendelse af teknologien.
”KMD håndterer information og informationssystemer, som er af stor betydning for borgere, myndigheder og virksomheder. Med dette følger et ansvar for at møde enhver ny teknologi med de nødvendige forholdsregler og nødvendige handlinger, så vi kan sikre, at vi handler modent i forhold til vores forpligtelser og omsorgspligt,” fortæller Carsten Challet, Chief Information Security Officer hos KMD.
Men arbejdet var ikke helt lige til.
Udviklingen af AI-retningslinjer
Det blev hurtigt klart, at de fleste virksomheder endnu ikke havde etableret retningslinjer, hvilket gjorde det udfordrende for KMD at finde eksterne inspirationskilder til at basere sit arbejde på.
For dengang handlede det ifølge den ansvarlige for implementeringen, Andreas Reitzel, mere om, hvordan man kunne anvende AI-chatbots og i mindre grad om, hvordan man burde regulere det internt på arbejdspladsen.
Derfor var det i høj grad en kombination af sund fornuft og eksisterende erfaringer internt i KMD med GRC (Governance, Risk and Compliance), som lå til grund for guidelinen.
”Reguleringen af AI ligger i et krydsfelt mellem legal compliance, informationssikkerhed, persondatabeskyttelse, dataetik m.m., så fra de områder har der været inspiration og erfaring at hente. KMD har jo også i flere år arbejdet med AI samt ansvarlig og sikker udvikling, så emnefeltet er ikke nyt for os,” forklarer Andreas Reitzel