Slik beskytter SMB-er sensitive data mot KI-misbruk – en praktisk sjekkliste

Stadig flere norske SMB-er tar i bruk KI-verktøy som Microsoft 365 Copilot – ofte uten å ha full oversikt over hvilke data disse verktøyene faktisk får tilgang til. Kombinasjonen av regnskapssystem, OneDrive/SharePoint og KI-agenter kan skape uventede sikkerhetshull dersom tilganger, delingsinnstillinger og databehandleravtaler ikke er på plass. Denne artikkelen går gjennom konkrete tiltak SMB-er kan iverksette – fra Copilot-spesifikke innstillinger til hvordan man bør følge opp regnskapsleverandøren – for å sikre at bedriftsdata ikke misbrukes eller havner på avveie.

Microsoft 365 og Copilot-spesifikt

  • Gjennomgå Copilot-tilganger – Microsoft 365 Copilot arver brukerens eksisterende tilganger. Hvis noen har for vide rettigheter (f.eks. tilgang til hele SharePoint i stedet for kun sin avdeling), vil Copilot kunne hente frem og oppsummere data de egentlig ikke burde se
  • Sensitivity labels (merking av sensitivitet) – bruk Microsoft Purview til å merke dokumenter som «Konfidensielt» eller «Kun intern bruk». Riktig konfigurert kan dette hindre at Copilot inkluderer slikt innhold i svar til uautoriserte brukere
  • Deaktiver «Connected Experiences» / optional diagnostic data der det ikke er nødvendig, i Microsoft 365 admin-senteret
  • Sjekk om organisasjonen har Copilot-lisens i det hele tatt – uten aktiv lisens skal ikke bedriftsdata brukes til trening av offentlige modeller, men det er verdt å verifisere i leieavtalen/DPA-en (databehandleravtalen)

SharePoint/OneDrive

  • Prinsippet om minste privilegium – gå gjennom delingsinnstillinger jevnlig. Unngå «Alle i organisasjonen kan redigere»-lenker som standard
  • Fjern gamle, ubrukte deling-lenker – disse er ofte en glemt inngangsport, spesielt hvis en KI-agent (intern eller ekstern) får bred søketilgang
  • Aktiver revisjonslogging (audit log) i Microsoft Purview slik at dere kan spore hvem/hva som har åpnet eller endret filer

Det nettbaserte regnskapssystemet

Dette er ofte den største blindsonen:

  • Sjekk leverandørens databehandleravtale (DPA) – spør eksplisitt: Brukes våre data til å trene KI-modeller, deres egne eller tredjeparts? Mange regnskapssystemer har innført KI-funksjoner (f.eks. automatisk bilagsgjenkjenning) uten at kundene er klar over datadelingsvilkårene
  • Se etter en «opt-out av KI-trening»-innstilling – flere leverandører (f.eks. Tripletex, Fiken, PowerOffice, Visma) har egne personvernsider som beskriver dette. Verdt å sjekke direkte
  • To-faktor autentisering (2FA) er et must for regnskapssystemet, siden det ofte er koblet til bank og betalingsløsninger

Generelle tiltak på tvers

  1. Retningslinjer for KI-bruk – lag en enkel policy for ansatte: hvilke KI-verktøy er godkjent, og hvilke data (kundedata, personnummer, økonomital) skal aldri limes inn i offentlige KI-chatboter (ChatGPT, Gemini, osv.)
  2. Data Loss Prevention (DLP) – Microsoft 365 har innebygde DLP-regler som kan varsle eller blokkere hvis f.eks. et fødselsnummer eller kontonummer forsøkes delt eller limt inn i en ekstern tjeneste
  3. Skjulte «shadow AI»-verktøy – kartlegg om ansatte bruker private KI-kontoer (privat ChatGPT-abonnement) til jobbrelaterte oppgaver. Dette er en av de vanligste lekkasjekildene i SMB-er
  4. Kryptering og backup – sørg for at OneDrive/SharePoint har versjonering aktivert, slik at data kan gjenopprettes ved feil eller misbruk
  5. Personvernforordningen (GDPR) – husk at all bruk av KI på persondata (kunde-/ansattopplysninger) må ha rettslig grunnlag og eventuelt DPIA (personvernkonsekvensvurdering) hvis risikoen er høy

Praktisk startpunkt

For en SMB uten dedikert IT-sikkerhetsressurs, vil jeg anbefale å starte med:

  1. Les databehandleravtalen til regnskapssystemet nøye
  2. Gjennomgå delingstillatelser i SharePoint/OneDrive
  3. Lag en enkel, kort KI-brukspolicy for de ansatte

/Ofte Stilte Spørsmål

Hvordan fungerer phishing-angrep mot bedrifter?

phishing-angrep skjer vanligvis via e-post der angripere utgir seg for å være en legitim avsender, for eksempel en leverandør eller leder i selskapet. Målet er ofte å lure ansatte til å klikke på skadelige lenker, oppgi passord eller gjennomføre betalinger.

Hva er den største cybertrusselen mot små og mellomstore bedrifter?

Den største cybertrusselen mot små og mellomstore bedrifter (SMB) er industrialisert og AI-drevet nettkriminalitet, der særlig sofistikert phishing og løsepengevirus (ransomware) dominerer trusselbildet.

Hva er 3-2-1-regelen?

3-2-1-regelen er gullstandarden for backup 3 kopier av dataene: Du skal ha originaldataene pluss to sikkerhetskopier. 2 ulike medier: Lagre kopiene på forskjellige typer lagringsenheter (f.eks. PC, NAS, og sky). 1 kopi utenfor huset:Én backup skal alltid oppbevares på en annen fysisk lokasjon (f.eks. i skyen).

Hvor kan norske bedrifter få oppdatert informasjon om cybertrusler?

Norske bedrifter kan få oppdatert informasjon fra nasjonale myndigheter og fagmiljøer som publiserer analyser, råd og varsler om cybersikkerhet.

Hvilke bransjer er mest utsatt for cyberangrep i Norge?

Flere bransjer er spesielt utsatt for cyberangrep, blant annet produksjon, detaljhandel og e-handel, regnskap og økonomitjenester, helse og omsorg, samt byggebransjen.

Hvor ofte bør en bedrift ta backup av data?

Bedrifter bør ta regelmessige sikkerhetskopier av kritiske data, helst daglig. Backup bør lagres både sikkert og offline slik at den ikke påvirkes av ransomware-angrep eller andre sikkerhetshendelser.

Hvorfor bør bedrifter bruke Tofaktorautentisering?

Tofaktorautentisering (MFA) gir et ekstra sikkerhetslag ved at brukere må bekrefte innlogging med en ekstra faktor, for eksempel en kode fra mobiltelefonen. Dette gjør det mye vanskeligere for angripere å få tilgang til kontoer selv om passordet blir stjålet.

Hva er CEO-svindel?

CEO-svindel er en type phishing der angriperen utgir seg for å være en leder i bedriften. De sender ofte en e-post til en ansatt i økonomi eller administrasjon med en hasteforespørsel om å overføre penger til en konto.

Personvern (GDPR)

Dette nettstedet bruker informasjonskapsler slik at vi kan gi deg best mulig brukeropplevelse. Informasjon om informasjonskapsler lagres i nettleseren din og utfører funksjoner som å gjenkjenne deg når du kommer tilbake til nettstedet vårt og hjelpe teamet vårt med å forstå hvilke deler av nettstedet du synes er mest interessante og nyttige.

– Personvernerklæring (GDPR)