Forstå AI-datasikkerhedsrisici

  • 4 minutter

AI-værktøjer ændrer, hvordan organisationer arbejder med data, men de introducerer også nye sikkerheds- og compliance-udfordringer. Traditionelle sikkerhedskontroller er ikke designet til at spore, hvordan AI bruges, eller hvilke data den får adgang til. Uden ordentlig synlighed og håndhævelse risikerer organisationer dataeksponering, overtrædelser af overholdelse og sikkerhedshuller.

Administration af AI-relaterede risici kræver indsigt i, hvordan organisationsdata tilgås og bruges under AI-interaktioner, sammen med beskyttelse af følsomt indhold og politikker, der forhindrer uautoriseret deling. I følgende afsnit forklares de vigtigste risici, som organisationer står over for, når medarbejdere interagerer med AI-værktøjer.

Vigtige AI-sikkerhedsrisici

Begrænset synlighed i brugen af kunstig intelligens

Mange organisationer mangler indsigt i:

  • Hvem bruger AI-værktøjer
  • Hvilke data deles
  • Sådan bruges eller gemmes AI-genereret indhold

Uden indsigt i disse områder bliver det vanskeligt at anvende beskyttelse eller vurdere risici.

AI-værktøjer falder generelt i tre kategorier:

  • Copilot-oplevelser: Microsoft-administrerede Copilots, der er integreret i Microsoft 365, f.eks. Microsoft 365 Copilot, Security Copilot, Copilot Studio og Copilot i Fabric
  • AI-apps til virksomheder: Organisationsforbundne AI-apps som ChatGPT Enterprise eller Azure AI-tjenester, der kan integreres via Microsoft Entra-dataconnectorer eller Azure AI Foundry
  • Andre AI-apps: Browserbaserede generative AI-værktøjer som ChatGPT (forbruger) og Gemini, der fungerer uden for Microsoft 365-miljøet

Forståelse af typen af AI-værktøj hjælper med at bestemme, hvilke beskyttelser der er tilgængelige, og hvordan du konfigurerer dem.

Dataeksponering i AI-interaktioner

AI-interaktioner kan eksponere følsomme data på flere måder. Diagrammet viser et almindeligt scenarie: En bruger indtaster følsomt indhold i en prompt, AI får adgang til overdelte eller ubeskyttede filer, og svaret viser disse data.

AI-interaktioner kan føre til utilsigtet dataeksponering gennem:

  • Følsomt indhold, der indtastes i prompter
  • AI-genererede svar, herunder fortrolige data
  • Opsummering eller henvisning til overdelt eller ubeskyttet indhold
  • Adgang til filer, der deles for bredt, f.eks. anonyme links eller tilladelser til store grupper

Organisationer har brug for kontroller på plads for at forhindre disse eksponeringer, før de sker.

Compliance og regulatoriske risici

AI-genereret indhold kan omfatte:

  • Regulerede data, der ikke kontrolleres korrekt
  • Oplysninger, der deles med eksterne værktøjer, der omgår sikkerhedsforanstaltninger for overholdelse
  • Aktivitet, der mangler revisionsspor, hvilket komplicerer rapporteringen

Disse huller skaber risici i henhold til databeskyttelseslove og interne overholdelsesstandarder.

Risici ved AI-genereret indhold

Ud over at analysere data producerer AI-værktøjer indhold, der kan introducere nye risici, såsom:

  • Generering af fortrolige eller følsomme oplysninger
  • Oprettelse af upassende eller ikke-kompatibel tekst
  • Lagring af indhold uden for beskyttede systemer

Uden tilsyn kan AI-genereret indhold skabe nye sikkerheds- og overholdelsesproblemer.

Afhjælpning af sikkerhedshuller i brugen af kunstig intelligens

AI-interaktioner fungerer anderledes end traditionel fildeling eller kommunikation. Organisationer skal:

  • Identificer, hvilke AI-værktøjer der er i brug, og hvordan de interagerer med organisationsdata
  • Spor, hvilke data der deles eller genereres
  • Anvend politikker, der forhindrer uautoriseret adgang eller misbrug

Forståelse af disse risici danner grundlaget for konfiguration af beskyttelse ved hjælp af Microsoft Purview.