Slik gjør du Copilot for Microsoft 365 til et imponerende sikkerhetsverktøy
Mulighetene med generativ AI er svimlende
Interessen for Copilot for Microsoft 365 blant norske bedrifter er stor – og med god grunn. Men AI-revolusjonen skaper også et stort sikkerhetsproblem: De fleste bedrifter har enorme mengder ukategoriserte data, som drastisk øker risikoen for datalekkasjer når de behandles av AI.
Read the blog post in English
Anna Barkvall
Director Strategic Programs
Global Portfolio Management
Orange Cyberdefense Group
Bastian B. Eibner
Sr. Tech Specialist | Office 365
Security & Compliance
Microsoft
Mulighetene med generativ AI er svimlende, og ansatte ønsker tilgang til Copilot for Microsoft 365 fordi det kan øke produktiviteten deres i et enormt omfang. Fordelene er ubestridelige, men bak begeistringen lurer et sikkerhetsproblem som har vokst seg stort gjennom mange år og som utfordrer sikker bruk av AI.
Du har kanskje hørt IT-avdelingen si at "sikker bruk av AI krever bedre kontroll på våre data"? Hva betyr dette? Det betyr sannsynligvis at dine data ikke er klassifiserte, og derfor kan en AI-assistent ikke vite om den behandler fortrolige eller ikke-fortrolige data.
Sannheten er at nesten alle data som flyter rundt i norske bedrifter er ukategoriserte. De har ingen formell sikkerhetsstatus, og nå fjerner AI brukerne fra vurderingsprosessen. I tillegg kan AI finne mer data mye raskere."Praktisk talt alle selskaper har et enormt 'bakarkiv' av ukategoriserte data som har samlet seg opp over mange år. I tillegg har de fleste ansatte tilgang til data av alle slag – inkludert svært fortrolige. Dette er ikke noe nytt, men før AI måtte de hente dataene manuelt. Dette tok tid og ga muligheten til å vurdere dem underveis. Men den prosedyren er helt annerledes når man bruker AI", sier Anna Barkvall, Director Strategic Programs Global Portfolio Management i Orange Cyberdefense.
Nesten ingen organisasjoner klassifiserer dataene sine – ikke engang de mest fortrolige. Hvordan kan en AI-assistent da vite hvilke data som skal behandles mer forsiktig enn andre?
En AI-assistent kan skanne alt på sekunder
Nå kan vi med ganske vanlig fritekst be vår AI-assistent om å søke gjennom alle data innen rekkevidde – også data vi kanskje ikke engang vet at vi har tilgang til. En forespørsel kan for eksempel være: "Finn alle dokumenter som handler om omstrukturering av organisasjonen og skriv et sammendrag på 1000 ord" eller "Gi meg et referat av de viktigste beslutningene på styrets siste Teams-møte."
Dette har vi aldri kunnet gjøre før, og vi kunne heller ikke sette sammen dataene på utallige måter uten direkte menneskelig innblanding. Det kan Copilot gjøre for oss nå, men hvordan vet vi om noen av dataene som brukes, kanskje er strengt fortrolige? Den vurderingen har stor betydning for hvordan vi bruker dem etterpå.
På denne måten medfører AI et mye større behov for å kontrollere hvor vi lagrer data, hvilken klassifisering de har, hvem som kan få tilgang til dem og hvordan de kan brukes. Ifølge Anna Barkvall har hun allerede sett flere tilfeller av at strengt fortrolige data har blitt delt med eksterne mottakere fordi en ansatt hadde funnet og behandlet dem med AI.
"Problemet strekker seg helt tilbake til da vi begynte å bruke PC-er for over 40 år siden. Før det var vi ganske flinke til å klassifisere data. Men med digitaliseringen ble det mye lettere å samle, kopiere og distribuere data etter behov. Mange organisasjoner har forsøkt å håndtere dette ved å innføre datapolitikker. Men de krever at ansatte kjenner til dem og følger dem – også når de jobber under press. Tillit er bra, men når det gjelder å beskytte kritiske data, pleier kontroll å være bedre. Derfor investerer vi mye i sikkerheten rundt Copilot", sier Bastian B. Eibner, Senior Technical Specialist i Microsoft.
Hvordan komme i gang?
Kjernen i saken: Sikker bruk av Copilot for Microsoft 365 krever effektiv datastyring. Men hvis du står overfor enorme mengder ukategoriserte data, kan det virke som en umulig oppgave å klassifisere dem alle. Det er her sikkerhetseksperter fra Orange Cyberdefense kommer inn i bildet.
"Det er ingen tvil om at datastyring vil bli et veldig viktig sikkerhetstema i årene som kommer – også i forhold til overholdelse av ny sikkerhetslovgivning. Våre spesialister starter vanligvis med å gjennomføre vurderinger og lage de rette veikartene. Siden de fleste organisasjoner starter fra bunnen av, er det ofte en god idé å rulle ut dataklassifisering gradvis og samle erfaring underveis. For eksempel ved å starte med avdelinger som jobber med mye sensitiv data – som ledelse, HR eller F&U", forklarer Anna Barkvall.
AI-basert bistand om sikker datahåndtering vil gjøre en stor forskjell. Faktisk tror jeg det vil eliminere de fleste sikkerhetshendelsene vi ser i dag
Fra risikofaktor til kraftig sikkerhetsverktøy
Med riktig miks av datakontroll, administrerte sikkerhetstjenester og strategisk datastyring, kan Copilot gå fra å være en risikofaktor til å være et sterkt bidrag til sikkerheten. Spesielt ved å hjelpe brukerne med å ta de riktige valgene i det daglige arbeidet med organisasjonens data.
"Forestill deg at Copilot ikke bare finner og behandler dataene slik du ønsker, men også proaktivt gir råd om hvordan du unngår å kompromittere datasikkerheten. Kanskje du uten å tenke over det prøver å lagre konfidensielle data på en ubeskyttet sky-lagring? Eller kopiere dem til en ukryptert USB-nøkkel? Disse tingene skjer hele tiden, men basert på riktig datastyring vil Copilot kunne hjelpe med å unngå det. Det er velkjent at brukeradferd spiller en nøkkelrolle i sikkerhetsstillingen til enhver organisasjon. Derfor er det ingen tvil om at AI-basert rådgivning om sikker datahåndtering vil gjøre en stor forskjell. Faktisk tror jeg det vil eliminere de fleste sikkerhetshendelsene vi ser i dag", sier Anna Barkvall.
Vi har allerede sett eksempler på alvorlige brudd på datasikkerheten fordi en AI fant og behandlet fortrolige, men ukategoriserte data.
En åpenbar mulighet
Behovet for å implementere AI kommer typisk fra mange deler av en organisasjon, men IT-avdelingen må håndtere risikoene som følger med. Det kan føles som enda en stor oppgave oppå alle de andre. Men det kan også være en god mulighet til å oppnå alle sikkerhetsfordelene som mer effektiv datastyring også bringer med seg.
"Åpenbart er etableringen av et mer sikkert, klassifisert datafundament en stor oppgave. Bare store organisasjoner har musklene til å ta det på seg selv. Men siden datastyring nå er veldig tett knyttet til AI – som alle vil ha – er det også en unik mulighet til å be ledelsen om et større sikkerhetsbudsjett. Hvis oppgaven finansieres og tilnærmes riktig, vil det ikke bare føre til en tryggere bruk av AI, men også betydelig forbedre generell sikkerhet og lette overholdelsen av ny lovgivning som NIS2 og AI Act", konkluderer Anna Barkvall.
Orange Cyberdefense – for tryggere bruk av AI
Som offisiell Microsoft-partner og en av Europas ledende leverandører av administrerte sikkerhetstjenester, kan vi hjelpe organisasjonen din med å finne den direkte veien til effektiv dataklassifisering og sikker bruk av Copilot for Microsoft 365. For eksempel ved å bruke administrert arbeidsplasstbeskyttelse, mer sikkerhetsorientert konfigurasjon av Copilot og implementering av Microsoft Purview for kontroll, beskyttelse, automatisk dataklassifisering og konstant overvåking av dataflyten.
Om Orange Cyberdefense
Orange Cyberdefense er en ledende europeisk leverandør av cybersikkerhet og administrerte sikkerhetstjenester (MSSP), anerkjent av både Gartner, Forrester og IDC. Orange Cyberdefense har over 3.000 ansatte som leverer cybersikkerhetsrådgivning, IT-sikkerhetsløsninger og tjenester til over 8.700 kunder i 160 land. Vi har en global Threat Intelligence-avdeling og 250 analytikere, fordelt på 18 SOC-er, 14 CyberSOCs og 4 CERTs, som samler inn og analyserer globale data fra over 500 informasjonskilder 24/7. I 2023 var vår globale omsetning på 1,072 milliarder euro. Orange Cyberdefense Norway AS har ca. 60 ansatte og kotor på Lysaker utenfor Oslo.
Watch our webinar on demand
