Hem
Arrow right
Blogg
Arrow right
Artificiell intelligens
Arrow right
Skugg-AI: Osynliga risker och hur du hanterar dem

Skugg-AI: Osynliga risker och hur du hanterar dem

Artificiell intelligens
Digital strategi
skigg-AI
Tim Ohlen
2025-03-17

AI-utvecklingen går i en rasande takt framåt, med över 1 miljon AI-språkmodeller tillgängliga på plattformar som Hugging Face. Men denna snabba utveckling har skapat ett nytt fenomen på arbetsplatser, något som kallas för skugg-AI eller shadow-AI.

Under mina kundmöten ser jag ett återkommande mönster. När jag frågar vilka AI-verktyg de anställda använder får jag ofta höra att vissa använder ChatGPT, andra Microsoft CoPilot eller liknande verktyg. Men när jag ställer följdfrågan om företagslicenser visar det sig att många använder gratisversioner eller personliga licenser. Ännu mer oroande är att få företag har en formell AI-policy på plats – de flesta svarar ”Nej” eller ”Vi har ett utkast”.

Denna okontrollerade användning av AI-verktyg på privata och offentliga arbetsplatser kan utgöra en betydande säkerhetsrisk. Enligt Harmonics forskning står AI-användning på gratisnivå för lejonparten av läckage av känslig data. Till exempel matades 54 procent av de känsliga frågorna in på GPT:s gratisnivå. I den här artikeln förklarar jag vad skugg-AI innebär, vilka risker det medför, och hur ditt företag kan omvandla detta potentiella hot till en konkurrensfördel, om ni följer råden nedanför. 

Varför är skugg-AI en risk?

Skugg-AI kan verka harmlöst vid en första anblick – anställda använder ju bara verktyg för att effektivisera sitt arbete. Men det finns flera allvarliga risker:

Säkerhetshot och dataläckage

Många AI-tjänster använder insamlade data för att träna sina modeller. Om medarbetare skriver in eller laddar upp känslig företagsinformation kan det innebära att affärskritisk data hamnar i obehörigas händer.

Exempel: En anställd känner sig pressad av en deadline och laddar upp ett konfidentiellt kundavtal i ett AI-verktyg för att sammanfatta det, utan att inse att företaget bakom AI-plattformen kan använda texten för att förbättra sin modell. Eller att informationen skickas till ett icke EU-land som inte är godkänt enligt företagets säkerhetspolicy, samt att man då brutit avtalet mot sin kund att hantera dennes information på ett säkert sätt. 

Riskerna med fel licensmodell i AI-verktyg

Hur AI-verktyg hanterar data beror ofta på vilken typ av licens som används, eller vilken AI-språkmodell man använder:

  • Gratisversioner ("Free Licenses") AI-leverantörer kan använda inmatad data för att förbättra sina modeller. Det innebär att informationen potentiellt kan återanvändas eller analyseras av leverantören. Och istället för en licenskostnad så betalar du med din privata information.
  • Betalda företagslicenser ("Enterprise Plans") Många AI-plattformar erbjuder licensmodeller där data inte används för att vidareutveckla AI-modellen, utan endast behandlas internt inom organisationen. Dock finns risken fortfarande att informationen skickas fram och tillbaka till ett land som inte är godkänt inom företaget.

Risk för dataöverföring utanför EU

Många av de mest populära AI-modellerna, som OpenAI's ChatGPT, Google Gemini och Microsoft Copilot, är utvecklade av amerikanska företag. Detta innebär en potentiell risk att användardata överförs och lagras på servrar utanför EU, även när tjänsterna används inom Europa. Varför är detta ett problem?

  • Enligt GDPR måste vissa typer av känslig eller affärskritisk information hanteras inom EU, och får alltså inte skickas till tredjeländer utan adekvata skyddsåtgärder
  • Amerikansk lagstiftning, såsom CLOUD Act och FISA (Foreign Intelligence Surveillance Act), ger amerikanska myndigheter rätt att begära åtkomst till data som hanteras av företag under USA:s jurisdiktion – även om informationen lagras på europeiska servrar. FISA, särskilt genom dess bestämmelser som sektion 702, möjliggör dessutom att amerikanska signalspaningsmyndigheter kan samla in och analysera data utan att fullt ut behöva beakta de strikta skyddsåtgärder som GDPR föreskriver.
  • Många organisationer inom bank, hälsa och offentlig sektor har särskilda krav som förbjuder att data lämnar EU:s gränser

Hur företag kan hantera skugg-AI

Om Skugg-AI hanteras rätt kan den omvandlas från en risk till en resurs. Genom att identifiera och integrera de AI-verktyg som medarbetarna redan använder i en säker och reglerad miljö kan organisationen dra nytta av innovationen utan att äventyra säkerheten. Gå ut ur skuggan och in i ljuset – gör AI till en säker och strategisk tillgång. Här är några viktiga steg:

1. Skapa en tydlig AI-policy och håll den uppdaterad

Precis som företag har policys för IT-säkerhet och molntjänster bör det finnas en AI-policy. Policyn bör tydliggöra:

  • Vad som är betrodda AI-tjänster och icke betrodde AI-tjänster
  • Hur företagsdata får delas och bearbetas av AI-verktyg
  • AI-användning ska följa företagets informationsklassningsprinciper enligt ledningssystemet för informationssäkerhet
  • Vilka säkerhetskrav som gäller (t.ex. datalagring och kryptering)

Tips: Gör policyn lättförståelig och kommunicera den tydligt till alla anställda.

2. Utbilda medarbetarna

Många anställda använder AI i ett vällovligt syfte för att de ser möjligheter – inte för att de vill äventyra säkerheten. Genom utbildning kan du förklara riskerna och samtidigt vägleda dem till godkända AI-lösningar. Exempel på fokusområden:

  • Hur AI hanterar och lagrar data
  • Vilka typer av uppgifter som får och inte får behandlas av AI
  • Hur man kan validera AI-genererade resultat
  • Hur man kan "tvätta" sitt data innan promptfrågor skickas till AI-språkmodellen

3. Uppdatera säkerhetsstrategin för AI

Att hantera Skugg-AI handlar inte om att förbjuda AI, utan om att införa kontrollerade och säkra användningssätt. Se till att AI blir en integrerad del av din säkerhetsstrategi genom att:

  • Rådgöra med informationssäkerhetsansvarig på IT-avdelningen, för att säkerställa AI-användningens säkerhet
  • Kontinuerligt uppdatera AI-policyer och säkerhetsåtgärder
  • Hålla en flexibel inställning – AI utvecklas snabbt, och strategin måste anpassas därefter

Välj flexibla AI-verktyg för ökad säkerhet och kostnadskontroll

För att undvika Skugg-AI bör företag tillhandahålla säkra, godkända AI-verktyg. Viktiga krav vid val av AI-verktyg inkluderar:

Möjlighet att använda både lokala och publika AI-modeller

  • Lokala modeller: Gör det möjligt att köra AI-system internt utan att data någonsin lämnar företagets servrar. Detta möjliggör säker hantering av känslig information.
  • Publika modeller: Erbjuder kraftfullare språkmodeller med mer beräkningskraft och den senaste AI-teknologin, men kräver säkerhetsbegränsningar.

Tokens-baserad betalningsmodell för kostnadseffektivitet

  • Istället för dyra individuella prenumerationer är det möjligt att koppla upp sig mot leverantörer av AI-språkmodeller och deras API:er. På detta sätt får man istället en prismodell baserad på antalet tokens man förbrukar. Och kan enkelt skala upp och ner behovet. 
  • Detta kan bidra till att sänka kostnaderna samt skapa en större valfrihet av AI-modeller utifrån organisationens behov, som i sin tur främjar AI-användandet och de olika AI-språkmodellernas användningsområden. 

Högre säkerhet genom valmöjlighet mellan AI-modeller

  • Genom att själva styra vilka AI-modeller som används och hur data hanteras, kan företag stärka både säkerhet och regelefterlevnad.

Exempel: Ett företag kan välja att bearbeta känslig kunddata med en intern AI-modell, medan mindre känslig information skickas till en extern, kraftfull AI för analys och rapportgenerering.

Praktiska lösningar:

  • Säkerställ att ditt företag använder AI-verktyg som hostas inom EU och följer GDPR.
  • Om AI från en amerikansk leverantör måste användas, se till att den har specifika garantier kring EU-datalagring och att företagsavtal reglerar användningen av data.
  • Välj ett AI-verktyg där du själv kan påverka vilken AI-modell du använder, beroende på syfte och ändamål. 
  • Undersök EU-baserade AI-språkmodeller som alternativ, Mistral AI eller andra GDPR-anpassade AI-lösningar.

Slutsats: ersätt skugg-AI med säkra och kontrollerade AI-lösningar

Skugg-AI är en realitet på dagens arbetsplatser, men genom att förstå riskerna och implementera rätt strategier kan ditt företag omvandla hotet till en konkurrensfördel.

Att helt förbjuda AI är sällan möjligt – eller önskvärt. Istället handlar det om att ge anställda rätt verktyg, införa smarta säkerhetslösningar och skapa en tydlig AI-strategi. När AI används på ett ansvarsfullt sätt kan det driva innovation och effektivitet – men utan kontroll kan det skapa osynliga och allvarliga affärsrisker.

Har ditt företag en AI-strategi?

Om du vill få hjälp att ta fram en AI-policy eller införa säkra AI-lösningar, kontakta oss för en konsultation. Det är dags att ta kontroll över Skugg-AI innan det tar kontroll över ditt företag.

Kontakta oss!
No items found.
AI

Så hjälper vi våra kunder med AI

Att implementera artificiell intelligens i en organisation är ett av Digitalists expertområden.

Tim Ohlen

Välkommen Tim!

Tim Ohlen är Digitalists nya affärsområdesansvarige inom AI !

Vilgot Stjärnborg

Välkommen Vilgot!

Vilgot Stjärnborg är ny AI-utvecklare på Digitalist!

Lunds unviversitet

Ny kund i Lund!

Hurra! Digitalist har fått ett spännande Drupal-uppdrag av Lunds unviversitet!

Framgångsrika AI-strategier för offentlig och privat sektor

5 februari: Framgångsrika AI-strategier

Välkommen på frukost om insikter och praktiska exempel på effektiv förändringsledning.

God jul

VD har ordet: Julhälsning 2024

När vi nu närmar oss årets slut vill vi på Digitalist passa på att tacka för 2024.