Identifiera risker för informationssäkerhet vid användningen av generativ AI
Genom att arbeta proaktivt med informationssäkerhet minskar ni risken för negativa följder av incidenter som påverkar, eller hade kunnat påverka, organisationens information. Ni kan även effektivisera er informationshantering, öka nyttan av informationen och på sikt minska kostnaderna för informationshantering och informationsskydd.
Sammanfattning
Generativ AI innebär en omfattande behandling av information och därmed också risker för informationssäkerheten.
Genom att inventera de informationssäkerhetsrisker som kommer med användningen av en generativ AI-lösning och överväga hur de kan hanteras går det att minska risken för incidenter och konsekvenser för verksamheten.
Upprätta regler för vilken information som får, och inte får, matas in i AI-lösningen och från vilken utrustning.
Arbeta aktivt med informationsklassning och behörighetsstyrning, särskilt om den generativa AI-lösningen ska kopplas samman med befintliga system.
Vi rekommenderar att du läser igenom informationen nedan om vikten av ett systematiskt informationsarbete. Gå sedan igenom de förslag på frågor att ställa kring informationssäkerhet och generativ AI som vi tagit fram.
Informationssäkerhet och vikten av ett systematiskt informationssäkerhetsarbete
Alla är beroende av information i sin vardag, såväl privatpersoner som myndigheter, företag och andra organisationer. Därför är det viktigt att ha tillgång till den information som behövs, att den är korrekt och att det går att lita på att den är det.
Myndigheten för samhällsskydd och beredskap (MSB) beskriver informationssäkerhet på följande sätt:
Informationssäkerhet är arbetet med att förhindra att information läcker ut, förvanskas och förstörs, samt att rätt information ska finnas tillgänglig för rätt personer i rätt tid.
Informationssäkerhetsarbete innebär bland annat att inventera kapacitet och risker för att sedan göra en gap-analys som tydliggör vilka styrkor och förbättringsområden som finns.
Det finns flera standarder och certifikat som kan användas för att systematisera informationssäkerhetsarbetet. MSB har också ett stort utbud av information, vägledningar och verktyg för informationssäkerhetsarbetet på sin webbplats.
- Om informationssäkerhet (msb.se)
Länk till annan webbplats. - Metodstöd för systematiskt informationssäkerhetsarbete i organisationer (msb.se) Länk till annan webbplats.
Informationssäkerhet tangerar även flera andra frågor som behandlas i dessa riktlinjer, såsom offentlighet och sekretess, dataskydd och upphovsrätt.
Genom att arbeta proaktivt med informationssäkerhet minskar ni risken för negativa följder av incidenter som påverkar, eller hade kunnat påverka, organisationens information. Ni kan även effektivisera er informationshantering, öka nyttan av informationen och på sikt minska kostnaderna för informationshantering och informationsskydd.
De flesta offentliga aktörer kommer att omfattas av den kommande cybersäkerhetslagen
Vissa offentliga aktörer omfattas av lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, som genomför det så kallade NIS-direktivet.
Samtliga statliga myndigheter och de flesta kommuner och regioner kommer att omfattas av den lag som genomför det nya NIS 2-direktivet som ersätter NIS. NIS 2 innebär strängare krav på ett aktivt informationssäkerhetsarbete. Förslagen bereds för närvarande i Regeringskansliet och det är inte klart när lagstiftningen träder i kraft.
För vissa aktörer gäller även Säkerhetsskyddslag (2018:585), som inte behandlas närmare här.
Nya och förändrade informationssäkerhetsrisker och AI
Ett AI-verktyg kan introducera nya informationssäkerhetsrisker men också bidra till att accentuera befintliga brister.
Det finns gott om exempel från organisationer som inte haft en tillräcklig behörighetsstyrning och informationsklassning när AI-verktyg införts. Där har medarbetare med hjälp av AI-verktyget fått tillgång till information som de inte vetat att de haft tillgång till – och inte borde ha haft tillgång till. Även AI-verktygets hantering av inmatningsdata kan påverka informationssäkerhetsriskerna. Till exempel om leverantören använder inmatningsdata för träning av verktyget.
Aktivt informationssäkerhetsarbete med informationsklassning och behörighetsstyrning
Genomgående är det angeläget ur ett informationssäkerhetsperspektiv att vara tydlig med
- vem som har rätt till vilken information
- hur informationen får användas internt
- om information får delas externt och i så fall med vem.
Informationsklassning
Därför behövs fungerande rutiner för så kallad informationsklassning, det vill säga, en klassning eller värdering av information med hänsyn till vilka konsekvenser det skulle få om den skulle hamna utanför organisationen, bli felaktig eller otillgänglig.
Här bör organisationer alltså vara mer försiktiga med känsligare och därmed ”högre” klassad information. På samma sätt behövs en bedömning av vem som har behov och rätt att få del av information av viss klass.
Behörighetsstyrning
Ofta krävs även individuella bedömningar när det gäller behörigheten till viss information. Dessa behörigheter och informationsklassningar bör även ha genomslag i de system som används i organisationen, så att de stämmer överens med de faktiska klassningarna och behörigheterna. Lämpliga tekniska åtgärder för att säkra informationen från obehörig åtkomst, såväl internt som externt, bör även vidtas.
Vilken information får vi mata in i AI-verktyget utan att medföra några oacceptabla informationssäkerhetsrisker och vilken information får inte matas in? Är det tydligt för våra medarbetare?
Vilka är de största informationssäkerhetsriskerna för vår organisation när AI-verktyg används?
Behörighet till information
- Har vi ett fungerande arbetssätt och rutiner för medarbetares behörighet att ta del av information?
- Är arbetssätt och rutiner kring behörighet förankrat i praktiken, både rent fysiskt genom att information hålls avskild och i de system som används?
Informationsklassning
- Har vi ett fungerande arbetssätt och rutiner för informationsklassning?
Skydd och säkerhet
- Finns det några särskilda svagheter för informationssäkerheten i vår organisation?
- Bör vi vidta ytterligare åtgärder för att skydda vår information i förhållande till användningen av AI-verktyget?
MSB har också ett stort utbud av information, vägledningar och verktyg för informationssäkerhetsarbetet på sin webbplats.
Dokument och länkar
- Om informationssäkerhet (msb.se) Länk till annan webbplats.
- Metodstöd för systematiskt informationssäkerhetsarbete i organisationer (msb.se) Länk till annan webbplats.
- Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (riksdagen.se) Länk till annan webbplats.
- Säkerhetsskyddslag (2018:585) (riksdagen.se) Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: