Jobba tryggt med generativ AI: Så tacklar ni farhågorna bäst
Frågan alla ställer sig: Vågar vi använda ChatGPT-4, M365 Copilot och annan generativ AI i vår verksamhet – och i så fall hur?
Svaret är att ingen utomstående kan avgöra den saken åt er.
– Ni behöver själva hitta vägen framåt och få igång en konstruktiv och öppen dialog inom er organisation, både om möjligheter och risker. Att bara införa påbud funkar inte, säger Farshad Varahram, security compliance-expert på Atea.
Generativ artificiell intelligens (AI) erbjuder massor av möjligheter att spara tid i det dagliga arbetet. På arbetsplatser runt om i världen sitter medarbetare som lockas av att blixtsnabbt kunna sammanfatta innehållet i långa dokument, eller analysera information från olika datakällor och få hjälp med att ta fram projektplaner och förslag till beslut.
– Om det saknas en öppen dialog om de här verktygen och medarbetarna inte får förståelse om hur de fungerar och om de risker som finns, då kommer nyfikenhet att driva vissa medarbetare att börja använda dem i smyg i stället. Om det då inträffar en incident vet man inte var läckan kommer från, och då blir det ännu svårare att förbereda sig för konsekvenserna och hitta åtgärder, säger Farshad Varahram.
De nya verktygen ligger bara ett par knapptryck bort. Därför är det nödvändigt att omedelbart sätta fart på diskussioner mellan medarbetare och chefer på alla nivåer – och mellan olika delar av verksamheten – om både möjligheter och risker.
”När Wikipedia lanserades var det många som matade in påhittade saker. Jag upplever det som att vi är där nu igen, fast med AI”
Deltagarna har olika perspektiv på användningen av generativ AI
Nyligen lanserade Atea en AI-workshop som hjälper organisationer att få i gång de samtalen.
– Workshopdeltagarna har ofta olika perspektiv på användningen av generativ AI, säger Mathilda Schütt, informationssäkerhetskonsult på Atea och en av facilitatorerna på workshopen, och fortsätter:
– En del vill prova olika saker och se vad som händer, medan ett par chefer känner att just deras medarbetare inte bör använda generativ AI, medan andra ser massor av möjligheter och vill trycka gasen i botten. Så ser det ut, och det behöver varje organisation hantera.
Syftet med workshopen är att ge rätt förutsättningar att kunna ta aktiva beslut kring användningen av generativ AI. Farshad förklarar:
– På workshopen får alla deltagare en gemensam förståelse om möjligheter och risker, vilket ger en bra utgångspunkt för att ha konstruktiva samtal kring verksamhetens AI-användning. Dialogen bäddar för väldigt många saker. Utifrån den kan man sedan landa i riktlinjer, eller en policy.
”Alla nivåer i organisationen behöver förstå vad det innebär att använda AI på ansvarsfullt sätt.”
Verklighetstrogna scenarier: ”Många insikter uppstår”
Deltagarna ställs i workshopen inför olika scenarier kopplade till sin vardag i den egna verksamheten. När kan det innebära en risk att mata in information i AI-verktyg? Och hur kan de nya digitala hjälpmedlen användas utan risk?
Om verktygen kan användas rent säkerhetsmässigt – vilka fällor kan då finnas i outputen?
– Deltagarna får sedan dela med sig hur de tänkt i de olika scenarierna, och även vad de inte har tänkt på. Det uppstår många insikter och diskussioner, säger Mathilda.
Tänk dig själv att du har fått i uppgift är att summera en rapport baserat på ett kundavtal på 100 sidor. Du är i tidsnöd. Vad gör du? Generativ AI kan ge dig en sammanfattning på några sekunder. Du vet detta. Men känner du till vilka konsekvenser det kan få? Farshad förklarar:
– Även om du anonymiserar avtalet, och även om du tar bort de känsligaste delarna, så lär sig AI:n något av informationen som du faktiskt förser den med. Det kan räcka med att du eller dina kolleger delar information 3-4 gånger så kan AI upptäcka mönster, lägga ihop pusselbitar och analysera fram vilken organisation innehållet kan knytas till, och även hur ni arbetar.
En aspekt är just pusselbitarna och om AI:n får hela bilden, kan vi ge den det? Ja, det beror på vad vi får mata och träna den med utifrån de regler för AI vi tar fram. Vi behöver ha i åtanke att om den inte får tillgång till allt, så kan den inte veta allt, och då finns risk för bias.
”Verktygen är promptade till att vara hjälpfulla mot dig, så att du att använder tjänsten mer.”
Vad finns i bakgrunden?
Deltagarna blir varse det faktum att främmande länder, politiska krafter eller någon med starka ekonomiska intressen kan sträcka in handen i AI-verktygen och på olika sätt väva ihop information som matas in. Men inte bara det. Illasinnade aktörer kan även trycka in extrema mängder desinformation och därmed manipulera vad AI-verktygen genererar. Ingen vet i vilken utsträckning det sker, eller i vilka syften. Det är exempelvis ingen hemlighet att generativa AI-verktyg då och då "hallucinerar", bland annat i form av snedvridna, fördomsfulla eller fabricerade bilder av verkligheten.
– När Wikipedia lanserades var det många som matade in påhittade saker. Jag upplever det som att vi är där nu igen, fast med AI, säger Farshad.
Det gäller att bli medveten om denna baksida av de generativa verktygen för att inte gå på nitar. Ett gott råd är därför att bara använda svar från exempelvis ChatGPT inom områden som du har viss grundkunskap om. Då har du förutsättningar att kunna verifiera svaren.
Informationssäkerhet: Handlar om att skydda information från obehörig åtkomst, användning, avslöjande, störning, ändring eller förstöring. Inkluderar dataskydd, cybersäkerhet och integritetsskydd. Metoderna inom informationssäkerhet inkluderar kryptering, autentisering, nätverkssäkerhetsprotokoll, tillgångskontroller och utbildning i medvetenhet om säkerhet.
AI-trygghet: Målet med AI-trygghet är att skapa och underhålla AI-system som är tillförlitliga, rättvisa, transparenta och som inte skadar människor eller samhället. Det sker genom att identifiera och hantera risker associerade med utveckling och implementering av artificiell intelligens. Det innefattar etiska överväganden, förutseende av oavsiktliga konsekvenser, och säkerställande av att AI-system agerar på ett förutsägbart och säkert sätt.
– Tänk dig ett scenario där vi använder en AI för att hjälpa till med att skapa offerter genom att ge den tillgång till vårt kundhanteringssystem, vårt ekonomisystem och filer på en gemensam nätverksdisk. Det låter effektivt. Problemet uppstår dock om AI:n även stöter på andra typer av data, såsom information om anställdas löner och bonusar. I sådana fall kan AI:n börja göra egna tolkningar och dra slutsatser baserat på denna information, vilket vi inte hade förväntat oss, säger Farshad Varahram, security compliance-expert på Atea.
Vänlighet går före ärlighet
Det gäller att även rusta sig emotionellt. Det är exempelvis lätt att förblindas av att verktygen ger ett så professionellt och självsäkert intryck – ja, nästan sympatisk i många fall:
– Jag skrev avsiktligen en katastrofalt dålig text som jag bad ChatGPT att ge feedback på. Min text var hur ostrukturerad som helst, full med stavfel och grammatiska fel. Svaret blev ungefär, "Det är jättebra! Här är några saker som du kan ändra." Om jag i stället visat texten för mina kolleger, hade jag fått en ärligare respons: "Vad är det med dig? Vad är det här?".
AI-konsulten Emil Christoffersson, som även han är facilitator på workshopen, inflikar:
– Verktygen är promptade till att vara hjälpfulla mot dig, så att du att använder tjänsten mer, säger han och trycker på att det viktigt att förstå AI-tjänsterna för att inte bli naiv i användningen.
Att INTE använda generativ AI är inget realistiskt alternativ
Ja, risker och begränsningar med den generativa AI:n finns där. Och de ska inte viftas bort. Men lika sant är det här:
Organisationer som lär dig dra nytta av kraften i generativ AI kommer att få ett rejält försprång åren framåt, och de som avstår de nya möjligheterna kommer att hamna på efterkälken.
Så... vad behöver ni göra? Med de diskussioner som uppstår under workshopen blir det betydligt lättare att börja staka ut vägen framåt.
– Alla nivåer i organisationen behöver förstå vad det innebär att använda AI på ansvarsfullt sätt, säger Mathilda.
Annars blir det betydligt svårare att se både möjligheterna och riskerna för den egna verksamheten – och att få fram rätt riktlinjer som medarbetarna förstår och respekterar.
Utöver diskussioner krävs andra åtgärder
De öppna, konstruktiva diskussioner som uppstår på workshopen är en viktig del i att höja AI-medvetenheten generellt i organisationen.
Men det räcker förstås inte.
– Säkerhetsavdelningen behöver göra kontinuerliga risk- och sårbarhetsanalyser utifrån både lagkrav och hotbilder. Ledningen äger ytterst frågan om riskaptiten och behöver göra avgörande ställningstaganden; ”här är risker som vi kan ta” och "med den här typen av information är det för riskabelt att använda AI”, säger Farshad.
Även klassning av information är viktigt. Det ger inte bara en tydlighet kring vem som kan hantera vilken information, och i vilka sammanhang. Klassificerade data kan också användas till att automatisera arbetsflöden och processer med hjälp av machine learning, och till att ge chefer och medarbetare bättre analysmöjligheter med hjälp av business intelligence-verktyg. Att jobba tryggt med AI går alltså hand i hand med att bli ett AI-mogen verksamhet som tar vara på AI:s möjligheter.
Här är exempel på trygg och säker användning av generativ AI.
Tänk alltid på att inte förse AI-verktyg som ChatGPT med personlig eller konfidentiell data/information. Vid faktafrågor, ha ett kritiskt öga på det ni får tillbaka och lite inte till 100 procent på informationen.
- Sammanfatta öppen information. Exempelvis information från verksamhetens publika hemsida.
Prompt: ”Sammanfatta detta stycke: *lägg stycket här*” - Strukturera. Få förslag om hur du kan lägga upp en bra pitch, rapport, mail, summering osv.
Prompt: ”Kan du hjälpa mig att strukturera en pitch för min startup som fokuserar på *X*?” - Skaffa insikter. Till exempel om en bransch eller verksamhet.
Prompt: ”Vilka utmaningar står denna *branschen* inför” - Få hjälp med planering. Be om idéer och förslag till ett aktuellt projekt.
Prompt: “Jag planerar en resa till Paris. Vad ska jag tänka på?” - Text och redigering av öppen information.
Prompt: ”Hur kan jag omformulera det här avsnittet för att göra det mer lättläst?” - Idégenerering. Ge ingredienser, och låt AI:n skapa ett ”recept” utifrån det.
Prompt: ”Vi ska genomföra ett event för en kund, ett ungt och väldigt kreativt bokförlag. Deltagarna är mellan 20 och 25 år. Ge 10 förslag på lite lätt tokiga aktiviteter utomhus skulle få dem att skratta mycket tillsammans med oss.” - Lärande. ChatGPT kan ge förklaringar av komplexa koncept på ett sätt som för just dig att förstå.
Prompt: ”Hjälp mig att förstå hur generativ AI fungerar. Jag är inte alls tekniskt lagd. Vi har tio minuter på oss!” (Se lite längre ner på den här sidan vad ChatGPT 3.5 svarade när vi gav den detta prompt)
