Från säker kod till att säkra beteenden
Med AI-agenter rör vi oss nu snabbt från pilotprojekt till produktion, i alla branscher och samhällssektorer. Men till skillnad från uppgiftsspecifik automation planerar, beslutar och agerar AI-agenter i flera steg och system – på uppdrag av användare och team. Det här är inte bara en teknisk uppgradering. Det är ett nytt säkerhetsparadigm: vi säkrar inte längre bara kod – vi behöver säkra beteenden.
När allt fler organisationer anammar AI-first-strategier utan att samtidigt tänka igenom hur säkerheten ska förstärkas, skapas cybersäkerhetsrisker i två paralella dimensioner: ökad sårbarhet och långsammare återhämtning.
Vilket i själva verket är raka motsatsen till intentionerna i NIS2-direktivet, som ju många organisationer runt om i Europa just nu kämpar med att implementera…
En nyligen genomförd studie av Sapio Research, på uppdrag av teknikföretaget Fastly, visar att AI-first-organisationer (föga förvånande) har en betydligt högre sårbarhet – men också i genomsnitt 80 dagar längre återhämtningstid efter dataintrång. Det här återhämtningsgapet leder direkt till förlorade intäkter, längre driftstopp med skadat förtroende för varumärket, vilket leder till uppskattningsvis 135 % högre incidentkostnader jämfört med mer traditionella organisationer.
Den främsta orsaken till de ökade kostnaderna är att ingen riktigt vet vem som är ansvarig när något går fel. Det traditionella ansvarsutkrävandet urholkas snabbt när utvecklingsteam idag består av både människor och självtänkande, självlärande och självagerande AI-agenter.
Det förs helt legitima diskussioner om säkerhetsriskerna kring så kallad shadow AI – när medarbetare börjar använda AI-verktyg utan att det finns policys eller riktlinjer på plats. Men även godkända AI-verktyg kan bli en säkerhetsrisk när de får omfattande automatiserade behörigheter. När AI blir en privilegierad del av organisationens infrastruktur uppstår både nya och ökade risker. Risker som i många fall redan kan ha funnits under ytan, i takt med att medarbetare på eget initiativ börjat använda AI i sitt dagliga arbete.
Vägen framåt: Security by design
AI är inte här för att stanna. Den är här för att accelerera. Och med tanke på potentialen för innovation och ökad produktivitet finns det ingen väg tillbaka. Både organisationer – och inte minst medarbetare – har redan vant sig vid de effektivitetsvinster AI medför. Därför behöver vi fokusera på en säkrare väg framåt.
När vi går in i den agentbaserade AI-eran har security by design gått från att vara en ambition till att bli en överlevnadsfaktor. I det nya OWASP Top 10-ramverket för agentbaserade applikationer, som i den snabba AI-utvecklingen snarare fungerar som en kompass än ett statiskt ramverk, finns två viktiga råd att ta med sig in i arbetet:
- Undvik onödig autonomi – att införa agentbeteenden där det inte behövs, ökar attackytan utan att tillföra värde.
- Stark observabilitet är ett måste – utan tydlig insyn i vad agenter gör, varför de gör det och vilka verktyg de använder, kan onödig autonomi obemärkt öka attackytan och förvandla mindre problem till systemomfattande haverier.
Från mindre problem till systemomfattande haverier. Låt det sjunka in en stund…
Ledningar i alla organisationer behöver förstå att agentbaserad AI förstärker befintliga sårbarheter och introducerar helt nya. Beslut blir dynamiska och exekveringsvägar oförutsägbara.
En mer AI-säker framtid bygger på att organisationer inkluderar security by design-tänk i sin AI-implementering. Och det räcker inte att bara säkra kod. Vi behöver säkra beteenden – i hela organisationen.
Behöver ni öka er AI-trygghet? Fyll i formuläret så kontaktar vi er om vår kurs i Security and Privacy by Design.
