AI-tjänster blir allt vanligare inom organisationer, och vi ser en tydlig trend där både sanktionerade och osanktionerade AI-verktyg används frekvent i olika delar av verksamheten.
Som jag nämnt i tidigare inlägg har vi bra verktyg för att både övervaka vilka AI-tjänster som används och vilken typ av data som skickas till dem.
Det handlar om att organisationen behöver:
◾ Inventera vilka AI-tjänster som används
◾ Ta beslut om vilka som ska vara tillåtna
◾ Utbilda användarna kring dessa beslut
◾ Blockera de som inte är godkända
Utvärderingen av en AI-tjänst bör inkludera:
◾ Vem som äger tjänsten
◾ Var datan lagras
◾ Vilka säkerhetsfunktioner och regulatoriska krav den följer
Mycket av detta kan vi hantera via Microsoft Defender for Cloud Apps, där vi både kan inventera aktuell användning och jobba proaktivt genom att gå igenom Cloud App Catalog.
Till exempel kan vi enkelt se hur många som använder Deepseek, läsa mer om tjänsten – och vid behov begränsa eller blockera den.
Vi kan också välja att endast uppmärksamma användaren om att användningen övervakas.
Här är ett exempel på hur slutanvändarupplevelsen ser ut för en managerad klient när vi använder alternativet ”Monitored”.
När det gäller vilken typ av data som används i dessa AI-lösningar, är det här Microsoft Purview kommer in i bilden.
Som jag skrivit om tidigare hette produkten helt enkelt AI Hub under preview – men har nu fått det lite mer formella (och inte alls särskilt korta) namnet: Data Security Posture Management (DSPM) for AI.
Har vi redan gjort jobbet att skapa detektioner av vår kritiska/känsliga data kommer den lista om den förekommer i någon av dessa AI-tjänster. Har vi inte påbörjat detta arbete – så är det hög tid att göra det nu!
Med hjälp av Endpoint DLP får vi möjligheten att styra vilken data som får användas i olika AI-tjänster – och vid behov blockera den helt.
Genom att skapa listor över våra AI-tjänster kan vi kategorisera dem:
◾ Vilka vi vill övervaka
◾ Vilka vi vill notifiera användaren om
◾ Vilka vi helt vill blockera från att ta emot känslig data
Vill vi enkelt se vilka domäner som tillhör respektive Generative AI-tjänst, kan vi exportera detta direkt från Defender for Cloud Apps med hjälp av funktionen Export domains.
För att styra vilken data får användas i vilken AI-tjänst, behöver vi först bygga upp listor med Sensitive Service Domain Groups i Purview.
Mitt förslag är att dela upp dessa i två kategorier:
- Tjänster som inte är godkända att användas med känslig data
- Tjänster som är godkända, men där vi vill ha förhöjd kontroll
Här kan vi antingen importera CSV filen vi exporterade från Defender for Cloud apps eller lägga in domänerna för hand när vi skapar upp en domain group. I mitt exempel, LMM unsanction sites och LMM sites
Därefter skapar vi Endpoint DLP policies som styr detta. Vi kan välja mellan följande alternativ:
◾ Audit – för att övervaka
◾ Block with override – för att uppmärksamma användaren
◾ Block – för att helt förhindra användning
Effekten blir till exempel att vi blockerar användaren från att använda känslig data i Deepseek, men tillåter att samma data används i ChatGPT – efter att användaren uppmärksammats.
Klicka på bilderna/filmerna nedan för att få dem i full upplösning och bra kvalité
Personligen hade jag helst blockerat Deepseek helt – men det är upp till varje organisation att fatta det beslutet.
Det viktigaste är att ta kontrollen och göra ett aktivt val.
Lycka till
IT-Säkerhetsguiden 