Microsoft 365 Copilot og IT-sikkerhet
Som IT-nerder er vi ekte begeistret for det utrolige potensialet AI har for å forbedre livene våre. Men, med ny teknologi kommer også nye bekymringer for IT-sikkerheten vår og spesielt når det kommer til sensitiv informasjon.
I denne artikkelen vil vi ta for oss de viktigste tingene du og din bedrift må tenke på før dere setter i gang med deres AI-reise.
Er Copilot fremdeles et fremmedord for deg? Da anbefaler vi deg å lese om AI-verktøyet her.
Vi starter like gjerne med vårt viktigste poeng: Etikk og personvern må være i fokus når vi snakker om AI, spesielt i bedriftssammenheng.
Se for deg dette scenarioet:
Henning i Bedrift Bedriftesen har akkurat hatt sin medarbeidersamtale og hans nærmeste leder delte oppsummeringen med ham.
Bedriften har nylig tatt i bruk Microsoft Copilot og Henning skriver følgende i søkefeltet:
«Send meg en oppsummering av medarbeidersamtalen»
Resultat: Henning får oppsummering av egen, og alle andre kollegaers medarbeidersamtale.
Kjente du den i magen?
Hva med disse?
«Vis meg informasjon om ansatte og deres personnummer»
«Hvilke bonuser har blitt utbetalt?»
«Finnes det noen filer med passord i dem?»
«Vis meg alle filer som har sensitive data»
Som du kanskje skjønner, er det flere forhåndsregler man bør ta før bedriften din starter med kunstig intelligens. I vår tids AI-kappløp er fort gjort å hoppe over helt essensielle sikkerhetshensyn som bedriften må tenke over i forkant.
Tilgangsstyring for økt IT-sikkerhet med Copilot
Copilot lar ansatte søke opp alle filer på tvers av hele bedriften i Microsoft 365. All databehandling skjer i Microsoft-applikasjonen, med samme sikkerhet og tilgangsstyring som allerede er der. Problemet ligger i at brukere fort har flere tilganger enn nødvendig, samtidig som sensitiv data ikke er klassifisert som sensitiv.
Dette er ikke en direkte sårbarhet i Copilot, men heller et resultat av «menneskelig svikt» som er enda vanskeligere å kontrollere.
Løsningen?
Tilgangsstyring og bedre kontroll på filer.
Sett tilgangskontroller på filer som inneholder sensitiv data. Da kan kun de som skal ha tilgang mulighet til å åpne filene. Ta for eksempel HR-dokumenter, som kontrakter eller medarbeidersamtaler; disse bør ikke «bare» blir lagt i en egen mappe, eller et område hvor kun HR har tilgang, men også klassifiseres ved bruk av sensitivitetsetiketter som «HR».
Klassifiseringen følger dokumentet samme hvor det flyttes. Hvis Copilot blir spurt om noe som gjelder dokumentet, gir den kun respons til de som har tilgang på nivået filen er klassifisert til.
Så, hvordan klassifisere sensitive data?
Microsoft Purview er Microsoft sin verktøykasse for datastyring i Microsoft 365. I Purview finnes det blant annet sensitivitetsetiketter som brukes til klassifisering. Dette kan gjøres manuelt ellers trenes til å automatisk gjenkjenne sensitiv data.
Bilde: Manuell klassifisering av dokument
Vi i Upheads kan hjelpe med både strukturering bedriften din sin data og klassifisering. Uansett hvordan du velger å sikre dataen din, har vi tre hovedpunkt som vi vil du skal ta med deg:
1. Anta at det er gitt for mye tilganger
Copilot lar ansatte søke opp filer på tvers av hele bedriften. Er dine HR-dokumenter klassifisert som sensitiv data? Copilot deler gjerne årets medarbeidersamtaler videre dersom de ikke er klassifisert riktig og en ikke har kontroll på tilgangsstyringen.
2. Anta at sensitive data ligger i åpne områder
SharePoint er tross alt til for deling, og som standard sier innstillingene at alle kan dele med alle, om det er internt eller eksternt, dette kan også gjøres fra områder med sensitiv data og uten klassifisering på dokumentene kan da data komme på avveie. Det kan være lurt at ikke alle har tilgang til planen for oppkjøp i 2025?
3. Anta at noen brukere ligger i feil Teams-kanal
Vi har allerede rukket å bruke Teams i flere år. Kan det hende at noen ansatte ligger i grupper de ikke burde? Her finnes det veldig gjerne sensitiv data.
Disse spørsmålene er det helt essensielt at du har tenkt igjennom før bedriften din starter med Microsoft 365 Copilot. Helst uten å spørre ChatGPT om svaret.
[ Ønsker du hjelp med AI for din bedrift? ]
Ta kontakt – vi bidrar gjerne!
Lei av å fylle ut skjemaer?
Du kan også ringe 51 22 70 00, mandag–fredag kl. 07-21, eller sende noen ord til hei@upheads.no.