AI-angrebsfladen vokser: Er din virksomhed klar?

AI er i rivende udvikling og bevæger sig hurtigt fra pilotprojekter og produktivitetseksperimenter ind i selve kernen af organisationers drift. Virksomheder bruger AI til at analysere data, automatisere arbejdsgange, forbedre beslutningstagning og udvikle nye tjenester. Inden for sundhedssektoren, transport, offentlig forvaltning og kritisk infrastruktur har AI potentiale til at skabe betydelig værdi.

Men den samme udvikling er også ved at omforme landskabet for cybertrusler. I takt med at store sprogmodeller og AI-agenter bliver mere avancerede, skaber de ikke blot nye muligheder for innovation. De åbner også et nyt angrebsområde. Mere avancerede modeller kan gøre det hurtigere, billigere og nemmere at identificere sårbarheder, automatisere dele af angreb og udnytte svagheder i den digitale infrastruktur. For mange organisationer skaber det et nyt strategisk dilemma: De har ikke råd til at sakke bagud på AI-området – men de har heller ikke råd til at indføre det uden at have den rette sikkerhed, infrastruktur og governance.

AI ændrer økonomien bag cyberangreb

Cyberangreb har traditionelt krævet tid, ekspertise og ressourcer. AI er ved at ændre det billede. Avancerede modeller kan hjælpe med at analysere systemer, identificere svagheder, skrive kode og automatisere gentagne opgaver. For forsvarssiden kan det styrke sikkerhedsindsatsen og reducere responstiden. For angribere kan det sænke adgangsbarrieren og gøre angreb lettere at skalere.

Anthropics Claude Mythos Preview har allerede illustreret , hvorfor det er vigtigt. Det britiske AI Security Institute konstaterede, at modellen udviste betydelige forbedringer i simuleringer af cyberangreb i flere trin, mens rapporteringen også tyder på, at den var i stand til at gennemføre en vanskelig cybersikkerhedstest, som tidligere evaluerede modeller ikke havde løst. Anthropic har holdt modellen inden for rammerne af et begrænset defensivt cybersikkerhedsprogram i stedet for at frigive den offentligt, hvilket understreger, hvordan kraftfuld AI både skaber nye muligheder og nye risici for misbrug.

Bekymringen drejer sig ikke om et bestemt værktøj, men om den generelle udvikling af AI-systemer og agenter, der kan øge hastigheden og kompleksiteten af både lovlige og ondsindede aktiviteter. Fremtidige AI-kapabiliteter kan hjælpe angribere med at finde sårbarheder, udnytte dårligt vedligeholdt infrastruktur eller udvinde værdi af stjålne data mere effektivt. Som følge heraf bliver gamle svagheder – systemer uden sikkerhedsopdateringer, uklare adgangsrettigheder, ubeskyttede data og dårligt styrede cloud-miljøer – endnu farligere.

For nordiske og europæiske organisationer er dette vigtigt, da mange er afhængige af kompleks digital infrastruktur, forsyningskæder og følsomme data. I sektorer som sundhedsvæsenet, transport, offentlige tjenester og kritisk infrastruktur udgør cyberhændelser ikke blot en økonomisk risiko. De kan forstyrre vigtige tjenester og i ekstreme tilfælde udgøre en fare for menneskers sikkerhed.

Det er ikke en strategi at undgå AI

Svaret er ikke at undgå AI. Virksomheder har brug for AI for at forblive konkurrencedygtige. De skal udnytte data mere effektivt, automatisere manuelle processer, forbedre beslutningstagningen og skabe bedre tjenester. Virksomheder, der undlader at gøre dette, risikerer at sakke bagud i forhold til både lokale konkurrenter og globale aktører med stærkere digitale kompetencer. Men at anvende AI uden det rette fundament medfører alvorlige risici.

Følsomme data kan eksponeres via offentligt tilgængelige værktøjer. Kritiske data kan blive behandlet i miljøer, som organisationen ikke har kontrol over. Medarbejdere kan tage AI i brug uden klare retningslinjer. Automatiserede agenter kan få adgang til systemer uden tilstrækkelig styring. Og organisationer kan blive afhængige af infrastruktur, der rejser spørgsmål om sikkerhed, overholdelse af lovgivning og jurisdiktion.

AI åbner nye muligheder for virksomheder, men skaber også nye angrebsflader. Løsningen er ikke at undgå AI, men at forstå, hvor ens data befinder sig, hvem der har adgang til dem, og hvilke værktøjer der anvendes. Det ansvar skal ligge hos ledelsen – ikke kun hos it-afdelingen,« siger Robin Frantzen, forretningsudviklingschef hos NetNordic.

Den egentlige udfordring er derfor ikke, om man skal bruge AI, men hvordan man bruger den på en sikker måde. Man kan se på spørgsmålet på følgende måde: Virksomheder bør ikke sakke bagud ved at undgå AI, men de bør heller ikke udsætte sig for risiko ved at implementere AI på en uegnet infrastruktur.

Hvorfor infrastruktur er blevet en del af AI-diskussionen

Avanceret AI kræver betydelig regnekraft, hvilket gør GPU-kapacitet til et strategisk infrastrukturspørgsmål. Men kapacitet alene er ikke nok. Virksomhederne skal også vide, hvor AI-arbejdsopgaverne kører, hvor dataene behandles, og hvem der har kontrol over miljøet.

For organisationer, der håndterer følsomme eller regulerede data, kan offentlige AI-tjenester give anledning til bekymringer vedrørende lovgivning, sikkerhed og overholdelse af regler. Derfor vinder lokal AI og private sprogmodeller stadig større betydning. Lokal AI indebærer, at modellerne kører i et kontrolleret miljø, enten på organisationens egen infrastruktur eller i en privat cloud.

For NetNordics vedkommende kan det betyde, at kunderne får adgang til sprogmodeller og GPU-kapacitet i nordiske datacentre, med isolerede miljøer, der ikke er forbundet med det offentlige internet.

Et privat AI-miljø kan bidrage til at holde dataene på nordisk jord, mindske afhængigheden af offentlige AI-platforme, reducere risikoen for datalækage og give organisationer bedre kontrol over infrastrukturen og omkostningerne. For organisationer, der håndterer følsomme data, kan dette gøre det muligt at innovere med AI uden at sende kritiske oplysninger ud i offentlige cloud-miljøer.

Datasuverænitet er ved at blive et sikkerhedsspørgsmål

Diskussionen om AI er også i stigende grad knyttet til datasuverænitet. Mange AI- og cloudtjenester drives af udbydere, der er underlagt udenlandsk lovgivning. For europæiske og nordiske organisationer rejser dette vigtige spørgsmål: Hvor behandles dataene? Hvem har adgang til dem? Hvilke lovgivningsmæssige rammer gælder? Hvad sker der, hvis dataene bliver genstand for anmodninger fra myndigheder uden for Europa?

Det er ikke sådan, at alle udenlandske cloudtjenester er usikre. Mange organisationer vil fortsat benytte globale cloudplatforme som en del af deres digitale infrastruktur. Men de skal være klar over de juridiske, driftsmæssige og sikkerhedsmæssige konsekvenser heraf – især når de håndterer følsomme data.

Dette gælder især for sundhedssektoren, offentlige organisationer, kritisk infrastruktur, finansielle tjenesteydelser og andre regulerede brancher. For disse organisationer er datasuverænitet ikke længere blot et juridisk eller indkøbsmæssigt anliggende. Det er ved at blive en del af cybersikkerhedsstrategien.

AI-agenter skaber en ny governance-udfordring

AI-agenter går et skridt videre end traditionelle AI-modeller, der besvarer spørgsmål, genererer indhold eller analyserer information. De kan udføre opgaver, hvilket gør dem betydeligt mere effektive – og mere risikable.

En AI-agent kan integreres i arbejdsgange, forretningssystemer, databaser eller produktionsmiljøer. Den kan hente oplysninger, udløse handlinger, opdatere systemer eller understøtte driftsprocesser. I praksis kan agenter komme til at fungere som digitale medarbejdere i en organisation.

Dette skaber en ny udfordring inden for adgangsstyring. Organisationer skal have overblik over, hvilke agenter der findes, hvad de kan udføre, hvilke systemer de har adgang til, hvem der har godkendt dem, og hvordan deres handlinger overvåges. De har også brug for procedurer til at gennemgå tilladelser og deaktivere agenter, der ikke længere er nødvendige.

En AI-agent med adgang til produktionssystemer bør underkastes samme kontrol som enhver anden privilegeret identitet. Uden en sådan kontrol risikerer organisationer at skabe alvorlige interne risici uden at være klar over det.

Patchning og robusthed bliver mere kritisk

Det nye angrebsareal for kunstig intelligens gør det også endnu vigtigere, at infrastrukturen er klar til udfordringen. Hvis kunstig intelligens gør det hurtigere at opdage sårbarheder, skal organisationerne blive hurtigere og mere systematiske i deres håndtering af systemopdateringer, styring af infrastrukturrisici og afhjælpning af kendte svagheder. Langsomme opdateringer, uklart ansvar og forældede systemer er allerede almindelige problemer. I et trusselsbillede præget af kunstig intelligens bliver de endnu farligere.

Det spørgsmål, som organisationer bør stille sig, er simpelt: Hvis angriberne kan handle hurtigere, er vi så klar til at reagere hurtigere? For mange vil det ærlige svar være nej.

Hvad organisationer bør gøre nu

Det første skridt er at få et overblik over den nuværende modenhed: hvor organisationen står i dag, hvor de største mangler findes, og hvilke risici der bør håndteres først. »Lav en oversigt over jeres systemer, leverandører, adgangsrettigheder og skygge-IT, og kortlæg derefter manglerne. Man kan ikke sikre det, man ikke ved eksisterer,« siger Frantzen.

En modenhedsvurdering kan afdække svagheder inden for infrastruktur, adgangsstyring, brug af cloud-løsninger, databeskyttelse, håndtering af sikkerhedshændelser og overholdelse af lovgivningen. Den giver desuden ledelsen et bedre grundlag for at prioritere investeringer.

Uddannelse er lige så vigtig. AI-sikkerhed er ikke kun et it-anliggende. Ledelsen, sikkerhedsafdelingen, den juridiske afdeling, compliance-afdelingen og de relevante forretningsenheder skal have en fælles forståelse af cyberrisici forbundet med AI, agentisk AI, sikker brug af sprogmodeller, datasuverænitet og myndighedernes forventninger.

Risikovurderingerne bør ligeledes opdateres. Mange af dem er ikke udformet med henblik på en verden, hvor AI-værktøjer og -agenter er integreret i den daglige drift. Virksomhederne bør gennemgå underleverandører, cloudtjenester, AI-værktøjer, forsyningskæder, kritiske data og driftsmæssige afhængigheder.

Identitets- og adgangsstyring bør være en prioritet. Virksomhederne skal have overblik over, hvem – og hvad – der har adgang til deres systemer, herunder medarbejdere, brugere med særlige rettigheder, servicekonti og AI-agenter. Adgangsrettighederne bør gennemgås, overvåges og fjernes, når de ikke længere er nødvendige.

Organisationer bør også kortlægge deres mest værdifulde data og systemer: hvad der er mest følsomt, hvor det opbevares, hvem der har adgang til det, og hvad der ville ske, hvis det lækkede eller blev utilgængeligt.

Endelig bør virksomhederne beregne de reelle omkostninger ved driftsstop. For nogle kan blot et par timers afbrydelse koste millioner. For hospitaler og kritiske tjenester kan konsekvenserne række langt ud over det økonomiske tab.

Fremtiden tilhører organisationer, der kan bruge AI sikkert

Kunstig intelligens vil blive en integreret del af den måde, organisationer konkurrerer, drives og leverer tjenester på. Den vil hjælpe dem med at udnytte data bedre, automatisere arbejdsgange og skabe ny værdi – men den vil også give angribere nye muligheder og øge presset på infrastruktur-, ledelses- og sikkerhedsteams.

Det er ikke holdbart at undgå kunstig intelligens. Men det er heller ikke sikkert at indføre den uden kontrol. De organisationer, der er bedst forberedt på den næste fase, vil være dem, der forstår det nye angrebsareal og handler i god tid. De vil kombinere innovation med stærkere sikkerhed, klarere styring og bedre kontrol over data og infrastruktur.

I en tid præget af avancerede store sprogmodeller (LLM) og AI-agenter er sikker innovation ikke længere en valgmulighed. Det er ved at blive en forudsætning for at forblive konkurrencedygtig, modstandsdygtig og troværdig.