Låt inte AI-regleringen gå ut över säkerheten
Det finns självklara etiska frågor kring AI och det är bra att tekniken regleras. Samtidigt behöver de som arbetar med cyberförsvar kunna utnyttja AI på ett effektivt sätt – detta för att inte hamna i underläge mot hotaktörer som aldrig kommer att följa några lagar, skriver Adam Marré, CISO på cybersäkerhetsföretaget Arctic Wolf.
Det finns självklara etiska frågor kring AI och det är bra att tekniken regleras. Samtidigt behöver de som arbetar med cyberförsvar kunna utnyttja AI på ett effektivt sätt – detta för att inte hamna i underläge mot hotaktörer som aldrig kommer att följa några lagar, skriver Adam Marré, CISO på cybersäkerhetsföretaget Arctic Wolf.
Som integritetsivrare vill jag inte att mina personuppgifter sprids och missbrukas. Men jag kan inte kontrollera vad som redan finns där ute, vilket tyvärr är alldeles för mycket. Jag får ofta meddelanden om dataintrång där mina uppgifter kan ha läckt ut. Det handlar då om enkla detaljer som e-post och telefonnummer, men det räcker för att skapa en hel del obehag. Det kommer ständigt sms och mejl från folk som jag vet försöker lura mig – ”Tyvärr har ditt paket blivit kvar här. Klicka på länken”.
Det är mer frustrerande än riktigt farligt. Men med AI riskerar vi att nätfisket också blir betydligt mer intelligent. Avsändaren kan se ut som en person som jag just träffat på ett event, kanske med en bild som kunde varit tagen då men som också den är förfalskad.
Helt realistiska ”deepfakes” är redan verklighet. De fall vi hittills sett uppmärksammar visserligen bara kända, offentliga personer, men det är en tidsfråga innan vem som helst kan drabbas. Vi är på väg mot en omgivning där all kommunikation – undantaget den som sker öga mot öga – måste granskas kritiskt, eftersom risken för bluff alltid finns närvarande.
Enklare att genomföra cyberbrott
Innan AI kom in i bilden blev ”Ransomware som tjänst” ett känt fenomen, där digitala brottsverktyg säljs på en underjordisk marknad. Då krävs inga djupare tekniska kunskaper av en hotaktör och ribban för att ägna sig åt cyberbrott har sänkts.
Genom AI får vi uppleva ännu ett hopp i utvecklingen, med attacker som blir allt svårare att upptäcka, som genomförs helt autonomt och där angriparen inte behöver kunna just någonting. Ett scenario där en AI-bot hittar måltavlan, genomför intrånget och även kräver in lösensumman utan inblandning av mänskliga aktörer känns inte avlägset.
EU ligger i täten med reglering och lagstiftning av användningen av AI. Tidigare i år antogs ett förslag till en AI-förordning som troligen träder i kraft 2026 och då även blir svensk lag. Jag menar att den behövs. Samtidigt är vi många som i grunden är positiva till kontroll och begränsning av AI men som bekymrar oss för överreglering.
Båda sidor behöver data till AI-modeller
Säkerhetsaspekter talar för att det ska råda en balans mellan reglering som syftar till integritetsskydd och möjligheterna att exempelvis företag utnyttjar kunddata för att träna sina AI-modeller. Skälet är att även hotaktörerna redan använder AI, och vi kan vara säkra på en sak: de bekymrar sig inte ett dugg för eventuell lagstiftning.
För skrupelfria aktörer finns enorma mängder tillgänglig information för att träna sina AI-modeller på. Läcksajter på nätets mörka delar fylls med stulet data från intrång. Och ännu mycket mer finns bekvämt åtkomligt på sociala medier och genom vanliga söktjänster.
För svenska myndigheter är principen om Öppna data en viktig del i digitaliseringen och det brukar från politiskt håll ses som ett demokratiskt framsteg, men det är naivt att tro att sådana tjänster inte kan missbrukas för oönskade syften, med AI som möjliggörare.
Reglering får inte motverka sitt syfte
Risken med överreglering är att den ger brottslingar ett försteg: De kan bygga bättre AI-modeller än ett företag som måste begränsa vilken typ av data de kan lägga in i modellerna. Även om det finns metoder som tokenisering och anonymisering för att hantera känsligt AI-data på ett säkrare sätt så riskerar vi att hamna efter AI-drivna hotaktörer som inte tar etiska hänsyn och på så vis kan skapa mer exakta modeller.
En fara med AI-lagstiftning är att den i praktiken mest blir en ruta att kryssa i för de laglydiga – företag och myndigheter vill känna sig bekväma och veta att de gör rätt. Om reglerna samtidigt bakbinder säkerhetsarbetet och ger angriparna ett försprång så motverkar de sitt syfte. Ingen kommer att kunna känna sig tryggare.
Adam Marré, Chief Information Security Officer på Arctic Wolf