Från att diagnostisera cancer på rekordtid till att avslöja bedrägerier – AI innebär en fantastisk potential. Men stora möjligheter innebär också stora risker.
Thomas Nilsson och Johan Åhs från informations- och cybersäkerhetsföretaget Certezza tar upp säkerhetsaspekter att ha koll på.
AI är redan en del av vårt samhälle och används för allt från att diagnostisera sjukdomar på rekordtid till att analysera banktransaktioner och förutspå klimatförändringar. Thomas Nilsson nämner precisionsdiagnostik för att förbättra cancerbehandlingsbeslut och patientresultat som ett exempel.
– I dag kan en analys ske på tjugo minuter, med bättre precision och till lägre kostnad, som tidigare kunde ta veckor, säger han.
Framstegen är enorma och utvecklingstakten går i rasande fart. Samtidigt är tekniken full av snubbeltrådar. AI kan ju vara hur smart som helst, men den behöver fortfarande data för att fungera. Ibland matas den med skyddsvärd information och vilket kräver rätt säkerhetsåtgärder.
Thomas Nilsson och Johan Åhs från Certezza menar att säkerheten måste tas på fullaste allvar om vi ska kunna dra nytta av tekniken på ett ansvarsfullt sätt.
– Inledningsvis behöver vi identifiera vilken information som måste skyddas. Det finns läckage som kan få allvarligare konsekvenser än andra, konstaterar Thomas Nilsson.
Anonymisering och syntetisk data
Olika verksamheter kan träffas av olika EU-rättsliga bestämmelser utöver regleringen av AI, bland annat de som framkommer av GDPR, NIS2 och DORA. Där kan man se ett mönster av bestämmelser kring till exempel riskhantering, säkerhetskrav och incidentrapportering.
– Men reglerna säger inte exakt vilka skyddsåtgärder som ska tillämpas, eftersom de snabbt skulle bli förlegade, säger Johan Åhs.
Det systematiska och riskbaserade informations- och cybersäkerhetsarbetet är den långsiktigt viktigaste strategin. Sedan tidigare är det allmänt känt att anonymisering kan vara en säkerhetsåtgärd för att minimera riskerna med hanteringen av personuppgifter.
– Med oåterkallelig anonymisering av personuppgifterna är det inte längre personuppgifter som hanteras. Om det är rätt utfört ska tilläggas, säger Johan Åhs.
Risken finns att det inte är oåterkallelig anonymisering utan snarare säkerhetsåtgärder som är reversibla, som kryptering, pseudonymisering och tokenisering. I de fallen är det fortsatt personuppgifter som hanteras och då måste rätt organisatoriska och tekniska säkerhetsåtgärder påföras över tid.
Ett annat exempel på en säkerhetsåtgärd är syntetisk data, artificiellt genererad data, som används istället för insamlad eller inhämtad data.
– Den informationen saknar kopplingar till riktiga personer eller riktiga objekt och används till exempel vid utveckling av AI-system, forskning och systemtestning, berättar Johan Åhs.
Riskabelt och dyrt
Trots att det finns lämpliga säkerhetsåtgärder innebär det inte att lösningarna anammar dem, varnar Thomas Nilsson. Många tenderar att vara optimistiska och lita på att leverantörerna av lösningen har vidtagit tillräckliga säkerhetsåtgärder.
Han tycker att det är en farlig inställning.
– Om känslig information hamnar i orätta händer kan det inte bara skada människors integritet eller organisationens rykte, det kan också bli en monetärt dyr affär givet sanktionsavgifterna, säger han.
Avslutningsvis lyfter Thomas Nilsson behovet av att definiera hur en AI-agent ska e-legitimera sig. Trots allt är ju en AI-agent inte en fysisk person och saknar rättskapacitet.
– Den här utmaningen måste hanteras skyndsamt. Förslagsvis genom att e-tjänstelegitimationsaktörerna har en utfärdandemodell som följer dagens delegationsordning, säger han.
Lotta Engelbrektson