Den teknologiske horisont udvides konstant og med den følger spændende innovationer som fx ChatGPT, der er et af mange eksempler på AI. Men hvad kan denne nye teknologi betyde for den almindelige dansker og især for dem, der leder landets små og mellemstore virksomheder?
Introduktion til ChatGPT
ChatGPT er absolut ikke ene om at repræsentere det, vi kalder AI. Det er imidlertid den løsning, rigtig mange taler om. ChatGPT eller tilsvarende løsninger er en webbaseret brugergrænseflade, hvor man kan indtaste et spørgsmål eller en række kommandoer (også kaldet "prompts"), som systemet herefter giver et bud på.
Tænk på ChatGPT som en utrættelig digital personlig assistent (eller en virkelig hurtig studentermedarbejder), der altid er klar med svar, forslag og forklaringer på tværs af en bred vifte af emner.
ChatGPT i hverdagen
Tænk på Ole, en skolelærer fra Odense. Han er i tvivl om, hvilken bog om rumforskning han skal anbefale til sin klasse. Han spørger ChatGPT:
"Kan du anbefale en god bog om rummet for unge?"
ChatGPT kunne svare:
"Selvfølgelig! 'Rummets vidundere for nysgerrige unge' er en populær bog, der forklarer komplekse rumkoncepter på en letforståelig måde for unge læsere."
Lone, indehaver af en kaffebar i København, tænker på, hvordan hun kan gøre sin kaffe mere unik. Hun spørger:
"Hvad er en sjov og unik ingrediens, jeg kan tilføje kaffe?"
ChatGPT’s forslag:
"Hvad med at prøve lavendel? En smule lavendel sirup kan give din kaffe en aromatisk og beroligende twist, men husk også at indrette din kaffebar i en hyggelig og skandinavisk stil. Mange andre kaffebarer i København er indrettet i mere italiensk stil."
Michael, som hader Excel, er i tvivl om, hvordan en formel skal se ud, hvis han gerne vil regne den procentvise øgning mellem celle A1 og B2. Han spørger ChatGPT:
”Hvordan skriver jeg en formel, der regner den procentvise stigning mellem tallet i A1 og B2?”
ChatGPT’s forslag:
”Hvis du vil anvende denne formel i et regneark som Excel (eller lignende programmer), og du har tallet i celle A1 som dit "gamle tal" og tallet i celle B2 som dit "nye tal", kan du indsætte følgende formel i en celle for at beregne den procentvise stigning: =(B2-A1)/A1*100.”
Mange vil nok tænke, at det er det samme som at "google", men AI er noget andet. AI lærer af sig selv og benytter sig ganske rigtigt af mange konkrete informationer, som man også selv kunne finde på nettet, men vigtigst er, at AI forsøger at forstå kontekst og levere et svar ud fra en masse variabler.
ChatGPT og SMV’er: Mulighederne er mange
For SMV-lederen kan ChatGPT være en sand guldgrube:
Rådgivning: Uden behov for eksterne konsulenter kan ledere få hurtige råd om skatteforhold, markedsføringsmetoder eller HR-praksis.
Kreativ brainstorm: Mangler du et nyt slogan for din butik? Spørg ChatGPT! Forestil dig, at Peter, en lokal detailhandlende, spørger: "Hvad er et fængende slogan for min skobutik?" ChatGPT svarer: "Træd frem i verden med stil!"
Vigtige overvejelser
Den begejstring, der omgiver ChatGPT, skal dog balanceres med et ansvarsfuldt blik for datasikkerhed:
Fortrolighed: Selvom ChatGPT som udgangspunkt – efter hvad vi ved – ikke gemmer samtaler, bør brugere undgå at dele privat eller følsom information.
Herudover ved vi ikke med 100 % sikkerhed, om ChatGPT bruger de indtastede data til at svare andre på tilsvarende spørgsmål. Det vil være et problem, hvis man beder ChatGPT sortere og sammenfatte en trendanalyse på en masse kundedata, hvorefter disse data (eller konklusionerne heraf) benyttes til, at en konkurrent indirekte får svar på et spørgsmål, som du har stillet. Et tænkt eksempel kunne være, hvis en automekaniker i Slagelse har spurgt ChatGPT om, hvilke markedsføringstiltag der kunne være relevante for at differentiere sig i forhold til sine konkurrenter i lokalområdet Her kunne man forestille sig, at automekanikerens konkurrenter kunne spørge, hvad automekanikere omkring Slagelse gør for at markedsføre sig.
Kritisk tænkning: Alt hvad ChatGPT foreslår, bør tages som vejledning og ikke endegyldige svar. Mange eksperter i AI udtaler dog, at tiden med "det tomme papir" er slut. AI gør, at hvor man før i tiden startede en opgave ved stirre på et tomt dokument i Word, så vil man have et udgangspunkt med AI-genereret materiale, som man så kan forfine og tilpasse.
Forstå AI: ChatGPT lærer fra de data, den trænes på. Det betyder, at den kan være biased, og den kan ikke erstatte menneskelig dømmekraft.
Tidligere i denne artikel har jeg refereret til ChatGPT som en virkelig hurtig studentermedarbejder. Det er på ingen måde for at tale studentermedarbejdere ned. Tværtimod. Ofte er disse medarbejdere ekstremt effektive og dygtige – og kan slå informationer op på måder, som vi andre ikke kan. Men erfaringen mangler naturligvis. Derfor skal man give helt tydelige og klare instrukser, fordi der ikke er et erfaringsgrundlag at trække på. ChatGPT eller tilsvarende løsninger skal derfor instrueres (promptes) meget klart og tydeligt om, hvad målet er.
AI-løsninger trækker på en masse historisk data. Så husk også, at bias er en væsentlig faktor. Hvis man kunne spørge ChatGPT om, hvilken person der ville være den bedste direktør i en given virksomhed, ville systemet uden ret meget tvivl pege på en mand, fordi den tager udgangspunkt i erfaringer fra fortiden.
Så, hvad gør vi?
ChatGPT repræsenterer en spændende tid i skæringspunktet mellem teknologi og dagligdagsliv, også for SMV’er. Men som med alle teknologiske fremskridt er det vigtigt at anvende den med omtanke. Den kan være et stærkt supplement til forretningen og hverdagen, så længe vi husker at beskytte vores data og bevare vores kritiske sans.
Microsoft lancerer inden længe sin store AI-satsning til bl.a. Office-pakken. Det vil blive synligt i alle mulige små tilføjelser i de programmer, vi kender i forvejen. I Microsoft Teams vil man kunne bede om at få et sammendrag af igangværende møder, som man kommer for sent ind i. En mail i Outlook kan indeholde nogle sætninger, som gør, at Outlook automatisk fortæller dig, at du må bede nogen lave en præsentation til det møde, der omtales i mailen – og at det vil være fint at adressere 10 udvalgte punkter.
AI skal ses som det nye og meget vigtige i den igangværende IT-alder. Da vi fik de personlige computere, anede vi ikke, hvilken revolution der ventede i måden at drive forretning på. Det samme gjorde sig gældende, da vi fik internettet, og det må forventes at gå på samme måde med AI. Vi har ingen ide om, hvordan vores hverdag ser ud om 5-10 år.
Det er en ledelsesopgave aktivt at beslutte, hvilke data og informationer der i virksomhedsregi må bruges til AI, og om en påtænkt AI-løsning skal være online eller kun baseret og tilgængelig for interne medarbejdere, så data ikke slipper ud. Helt overordnet bør ledelsen tage stilling til, om AI-løsninger kan ændre på den måde, de enkelte funktioner i dag passer deres arbejde.
Selvom vi ikke kender fremtiden, så er det sikkert, at den bliver spændende!
På læsiden af GDPR eller nyt stormvejr på vej?
Næppe er vi blevet færdige med implementering af GDPR (persondataforordningen), før ny dataregulering er på vej fra EU. Denne gang handler det om ePrivacy-forordningen, der er en opdatering af det nuværende ePrivacy-direktiv (cookie-bekendtgørelsen), som regulerer indsamling og brug af elektroniske data.
Hvor GDPR blev hilst velkommen som en tiltrængt, konkurrenceforbedrende strømlining af datareguleringen i EU, er der imidlertid risiko for, at en overregulerende ePrivacy-forordning kommer til at modarbejde intentionen i EU's privacy- og dataprojekt.
GDPR - godt for konkurrencevilkårog dataetik
Da vi passerede 25. maj, mødte vi en ny virkelighed, hvor indsamling, opbevaring og brug af data er blevet strømlinet og strammet op på tværs af alle EU-lande.
Det er godt, at konkurrencevilkårene nu er ens, selv omden langsommelige tilblivelse af den danske databeskyttelseslov samt manglende forudgående vejledninger og orientering gjorde det svært for de danske virksomheder at tilpasse sig de nye regler. Spørgsmålet var, hvordan for-ordningen egentlig skulle tolkes i praksis.
Forløbet medførte imidlertid en god og sund debat, for når virksomheder, organisationer og myndigheder indsamler vores data, er det kun rimeligt, at de også passer godt på dem og bruger dem med omhu.
Samtidig er vi også nødt til at bevare en pragmatisme i datareguleringen, for ellers bliver vi låst og tør til sidst ikke foretage os noget af frygt for de hårde sanktioner, Datatilsynet nu kan pålægge os.
Det vil være en katastrofe i en digital tidsalder, hvor data spiller en stadig vigtigere rolle i virksomheders, organisationers og myndigheders muligheder for at træffe bedre beslutninger og opnå større sikkerhed.
Fornuften sat over styr med ny forordning?
Det er netop de digitale data, der også er i centrum i den nye ePrivacy-forordning, som forventes vedtaget i år. Den er en tiltrængt opdatering af det nuværende ePrivacy-direktiv, idet retningslinjerne for ePrivacy skal justeres, så de passer til principperne i GDPR, og samtidig er der også erfaringer fra implementeringen af det eksisterende direktiv.
Det betyder bl.a., at der vil blive lempet en smule på reglerne for brug af eksempelvis tekniske cookies, idet det tyder på, at man fremover ikke behøver at indhente samtykke til anvendelse heraf.
Til gengæld skal brugeren have bedre mulighed for at fravælge markedsføringscookies. Browser-udbyderne pålægges at skabe en default-indstilling, hvor brugeren kan takke nej. Indstillingen gælder derefter overalt, hvor brugeren surfer. Det er en kærkommen opdatering, der virker både rimelig og fornuftig, og som vil rette op på mange års misforståelser af, hvad en cookie bør og kan.
ePrivacy omhandler imidlertid også brugen af offentlige, åbne data i registre som fx telefonbøger (også kendt som 118-nummeroplysningsdata). I det forslag til ePrivacy-forordningen, der blev fremsat i begyndelsen af året, var der lagt op til, at enhver person, der optages i en offentlig fortegnelse, skulle give sit samtykke i overensstemmelse med samtykkereglerne i GDPR, og at dette skulle ske som et aktivt tilvalg med en fornyet godkendelse hver 6. måned.
Teledata er med til at skabe vækst
Mange vil måske umiddelbart tænke, at telefonbøger og nummeroplysningstjenesten, som vi traditionelt har kendt den, allerede er fortid. Imidlertid udgør netop disse registre nogle af de vigtigste grundregistre for ikke blot at kunne overholde GDPR’s regler om ajourføring af persondata, men også for at give virksomheder muligheden for at kunne målrette kommunikation og markedsføring mod forbrugerne og dermed kunne afsætte deres varer og skabe vækst og værdi for samfundet.
Uden de nationale teledata har virksomhederne ikke den nødvendige adgang til kontaktoplysninger på nye potentielle kunder. Derfor er det vigtigt allerede nu at sætte sig ind i udkastet til den nye forordning og deltage aktivt i debatten, så det kan sikres, at EU ikke lovgiver imod egne interesser.
Risiko for de facto-monopol til giganterne
Virkeligheden er, at hvis SMV’er, herunder selvstændigt erhvervsdrivende, pålægges denne regulering, opstår deret de facto-monopol på kommunikations- og oplysningstjenester, som kun de største globale spillere vil have styrken til at kunne håndtere. Det handler om evnen til at kunne ekspandere på forbrugermarkedet og indhente nødvendige samtykker til videre anvendelse af data til bl.a. markedsføring.
Der er en risiko for, at dette bliver unødigt besværligt eller nærmest umuligt for små og mellemstore europæiske virksomheder, og dette er stik imod EU’s intention med GDPR.
Teledata er allerede godt reguleret
Ud over at det teknisk ville være nærmest umuligt at indhente de foreslåede samtykker, vil det også være en unødvendig forstyrrelse af privatpersoner at indhente samtykke til en databehandling, som gennem årtier har fungeret uden problemer.
Anvendelsen af teledata til markedsføring og opdatering af kunde- og medlemsdata er i dag reguleret i Teleloven,Markedsføringsloven, Dørsalgsloven, Databeskyttelsesloven og CPR-loven. Herunder findes den såkaldte Robinson-liste, hvor privatpersoner har mulighed for at foretageet fravalg, dvs. skrive sig på listen og dermed opnå beskyttelse mod uopfordrede henvendelser.
Derudover kan enhver person direkte hos sit teleselskab til enhver tid frabede sig videregivelse af sit navn, adresse og telefonnummer. Dermed er forbrugerne allerede i dag ganske godt beskyttet mod uønsket, uopfordret markedsføring.
Danmark kæmper for at bevarepragmatismen
Ved granskning af det første forslag til den nye ePrivacy-forordning blev det hurtigt klart, at den var mere omfattende og indgribende i virksomheders mulighed for at bygge eller anvende både digitale og analoge kommunikationstjenester.
I samarbejde med Dansk Erhverv, Dansk Markedsføring og en lang række andre interessenter blev der udarbejdet en rapport, der dokumenterede de store konsekvenser, den nye forordning ville få for dansk erhvervsliv. Det har ført til, at den danske regering aktivt arbejder for at få pragmatismen og fornuften tilbage i ePrivacy.
Indtil videre ser det ud til at lykkes, for i den seneste version af teksten er der tilføjet en mulighed for, at man nationalt kan lovgive om fravalgsbaserede nummerregistre.
Det betyder, at man i Danmark kan vedtage at fravige udgangspunktet i ePrivacy-forordningen og vælge en løsning, hvor borgerne har mulighed for at gøre indsigelse mod registreringen af deres oplysninger. Dette er præcis, som det fungerer i dag.
Forordningen vil have en stor effekt for virksomheders og organisationers fortsatte handlekraft og værdiskabende brug af data. Eftersom forordningen imidlertid endnu ikke er vedtaget, fortsætter arbejdet med at oplyse om de reelle konsekvenser, hvis man i en misforstået ePrivacy-rusglemmer fornuften
Redaktionsslutdato: 25. april 2019
Der er talt og skrevet meget om de ændringer i lovgivningen om persondatabeskyttelse, som trådte endeligt i kraft i maj 2018. Mange taler og skriver stadig om det, og måske har nogen efterhånden vendt det døve øre til.
Der er mange, der har ventet på at se, hvilke konsekvenser det skulle have, hvis man som almindelig dansk virksomhed ikke håndterer sin persondatabeskyttelse tilstrækkeligt, for selv om vi alle gerne vil leve op til love og regulativer, kan det være svært med motivationen, hvis der ikke er en konsekvens.
Idet der er tale om en EU-forordning, har vi set reglerne håndhævet i forskellige Europæiske Datatilsyn, og her er der udstedt bøder, som har været langt over, hvad vi har set under de gamle regler (et EU-direktiv, som i Danmark var udmøntet i Persondataloven).
I marts 2019 kom det danske Datatilsyn med den første politianmeldelse, hvor det anbefales, at et taxaselskab idømmes en bøde på 1,2 mio. kr. Taxaselskabet har behandlet almindelige persondata om deres kunder i længere tid, end der er hjemmel til, og det er dette forhold, taxaselskabet i givet fald måtte få en bøde for.
Efter det oplyste har der ikke været datalæk eller problemer med it-sikkerheden generelt.
Det danske Datatilsyn indikerer dermed, at alene det at have data til rådighed – som i øvrigt ikke er følsomme – i ”for lang tid”, kan give en velvoksen bøde.
Om det er rimeligt eller ej, forholder vi os ikke til, men vigtigt er, at selv den helt almindelige virksomhed i sin fortegnelse (GDPR, art. 30) tager stilling til, hvor lang tid data må opbevares, før de skal slettes.
Datatilsynet har – og er – på tilsynsbesøg hos en række virksomheder, og man fokuserer specielt på, at virksomhederne har styr på fortegnelser (oversigt over, hvilke personoplysninger der behandles), placering af data (inden for eller uden for EU), risikoafvejning og databehandlere (underleverandører).
GDPR er ikke en døgnflue. Alle er nødt til at forholde sig til GDPR.
Fra den 26. september 2019 skelner man ikke længere mellem portrætter og situationsbilleder, når det gælder GDPR. Alle billeder, der lægges på nettet, skal nu behandles, som om de var portrætbilleder.
Men det rejser unægteligt også en række spørgsmål for både offentligt ansatte og private virksomheder, der jævnligt lægger billeder op på sociale medier. For hvad må man, og hvad må man ikke?
Siden 2002 har Datatilsynet skelnet mellem de to typer billeder, der har to forskellige formål. Portrætter afbilder personer; situationsbilleder en stemning, en aktivitet eller – som navnet antyder – en situation.
I de senere år har der dog hersket tvivl om, hvornår et billede bliver til et portræt, og hvornår det kun viser en situation.
Når man offentliggjorde et situationsbillede af myldretiden på Københavns Hovedbanegård kl. 9 mandag morgen, skulle man ikke have et samtykke fra de mennesker, der måtte optræde på billedet. Til gengæld var samtykke et krav, når der var tale om et portræt.
Netop den sondring – når et billede går fra at være en situation til at være et portræt – har mange haft svært ved i praksis. Derfor har Datatilsynet besluttet, at man ikke længere skelner mellem de to.
Den nye praksis fra Datatilsynet: Billeder og GDPR
Når man overvejer, om et billede må offentliggøres på nettet, eller om man må anvende det til et andet formål, uden at man har indhentet samtykke fra de mennesker, der optræder på billedet, skal man udføre en helhedsvurdering.
Helhedsvurderingen betyder – populært sagt – at man skal behandle billedet som enhver anden personoplysning. Man skal altså tage stilling til følgende:
- Der skal være et formål med offentliggørelsen af billedet.
- Det overvejes, om de mennesker, der optræder på billedet, skal oplyses om, at billedet offentliggøres til et bestemt formål. Den, der offentliggør det, har oplysningspligten.
- Man skal sikre, at der er en gyldig grund til at offentliggøre billedet.
- Der skal tages hensyn til børn og unge.
Det får måske det hele til at lyde simpelt, men vi vil fremhæve to skjulte faktorer, der i praksis kan gøre det besværligt at offentliggøre, hvad man tidligere kaldte et situationsbillede uden samtykke.
Den første faktor er ”de og det afbildede”. Personoplysninger opdeler man i kategorierne almindelige, fortrolige og følsomme personoplysninger. Afhængigt af typen er det såkaldte hjemmelskrav forskelligt.
Eksempelvis kan en skole bruge en “interesseafvejningshjemmel”, hvis skolen vurderer, at de har en interesse i at vise et billede af skolens aktiviteter. Den gælder fx, når billedet er i kategorien almindelig personoplysning.
Når billedet bliver til en følsom oplysning, kan man ikke længere bruge billedet, fordi det alene er i skolens interesse.
Det er derfor vigtigt at overveje følgende i forhold til billeder og GDPR:
- Har nogen af personerne på billedet, en tydelig sygdom eller et tydeligt handicap?
- Kan man aflæse noget om personens samfundsmæssige situation (tro, seksuelle overbevisning osv.)?
- Kan man – baseret på lokationen – antage noget om personens helbred eller samfundsmæssige situation? Som konkrete eksempler kan nævnes billeder af besøgende i en kirke eller tilsvarende religiøs enhed, eller billeder af deltagere til events, der støtter en bestemt overbevisning.
Vi vil dog understrege, at selv om skoler og andre institutioner godt kan offentliggøre billeder af børn og unge uden forældres samtykke, skal man give en særlig beskyttelse til den gruppe - blandt andet fordi de ikke har samme bevidsthed om konsekvensen, når billeder af dem bliver lagt online.
Almindelige eller følsomme oplysninger – et eksempel
Et eksempel kunne være en familie med et barn i 3. klasse. Af en eller anden god grund har familien navne- og adressebeskyttelse.
En dag ser forældrene, at skolen uden at informere om det har taget et billede af barnets klasse, hvor de bager julekager, og har delt billedet på skolens Instagram-profil.
Under normale omstændigheder er skolen i sin gode ret til at offentliggøre billedet, så længe ingen af børnene har noget identificerbart handicap, eller så længe billedet ikke afslører deres religion, og hvis blot skolen har en legitim interesse i at offentliggøre billedet, som i dette tilfælde fx kunne være at vise, hvor dejligt børnene har det på skolen.
Nu er situationen imidlertid den, at data om barnets lokation ikke længere er almindelige personoplysninger, men en fortrolig information.
Den skal derfor beskyttes, som var den følsom. Derfor ville man kunne få den fjernet – eller få barnet skåret ud af billedet.
Skulle skolen af uransagelige årsager ikke ville gå med til at fjerne billedet, kan skolen meldes til Datatilsynet.
Vores anbefaling er, at hvis barnet af en eller anden årsag ikke skal fotograferes, bør man melde det klart ud (gerne på skrift) til både lærere og ledere.
GDPR for den enkelte?
Billeder af personen selv
Den nye praksis gør det lettere for en privatperson at udfordre virksomheder, hvis de offentliggør billeder af én på nettet.
Hvis man ser et billede af sig selv på nettet, kan man i princippet gå ud fra, at virksomheden holder sig inden for lovens rammer, i kraft af at de burde have taget højde for de ting, der er beskrevet tidligere i denne artikel.
Hvis man imidlertid mener, at billedet afslører følsomme informationer om én selv, kan det være, at virksomheden har begået en fejl ved ikke at få et samtykke fra personen. I dette tilfælde kan man bede virksomheden om at redegøre for, hvorfor de mener, de har ret til at offentliggøre billedet.
Hvis man er uenig med dem, kan man bede dem om at fjerne billedet. Hvis ikke de gør det, kan man melde dem til Datatilsynet – man skal dog altid selv tage kontakt til virksomheden først.
Tilbagetrækning af samtykke
Hvis man har givet samtykke til offentliggørelse af et billede, er det ikke ensbetydende med, at man ikke kan få det fjernet. Et samtykke kan nemlig altid tilbagekaldes. Det betyder, at virksomheden ikke længere må bruge det.
Det betyder dog ikke, at virksomheden skal slette alle data, den har indsamlet, mens samtykket var gyldigt. Det samme gælder offentlige institutioner.
Billeder i virksomheder/organisationer
Den nye praksis betyder, at en virksomhed altid skal kunne dokumentere en gyldig grund til at uploade et billede.
Praksis fjerner ikke behovet for at tage stilling til, om billedet kan intimidere et eller flere af de mennesker, der er på billedet. Man skal stadig tage hensyn til, hvad billedet afbilder.
Billeder af ansatte, som tydeligvis har taget godt for sig af juleøllen, må derfor ikke lægges op. Den eneste undtagelse vil være, hvis personen selv har givet sit samtykke til det. Vi anbefaler, at samtykket fås, når branderten er aftageten smule.
Det er vigtigt at understrege, at hvis virksomheden har indhentet et generelt samtykke til at tage og offentliggøre billeder af en arbejdssituation, gælder den ikke her. Den skal i dette tilfælde indhente unikt samtykke.
Datatilsynet skriver derudover, at det normalt vil kræve et samtykke at offentliggøre følgende:
- Billeder af besøgende hos lægen, kunder i banken og i fitnesscentret eller lignende.
- Billeder af besøgende på en bar, natklub, diskotek eller lignende.
- Billeder af ansatte på arbejde i en privat virksomhed eller hos en offentlig myndighed.
Mere overskueligt atoffentliggøre billeder
Det positive ved den nye praksis er, at hvis man har en klar grund til at offentliggøre billeder af sine ansatte, vil man ikke behøve at indhente samtykke hver gang, man vil offentliggøre et billede af dem. Man skal imidlertid kunne argumentere for, at virksomhedens interesse overgår den privates.
Man er dog ikke fri af oplysningspligten; man skal informere de ansatte, inden man bruger billedet. Skulle en ansat bede om at få fjernet et billede, som virksomheden ikke kan se, skader personen, og kan den dokumentere en legitim grund til, at billedet er offentliggjort, er den ikke tvunget til at fjerne det.
Alt i alt
GDPR er kommet for at blive. At det måske kan virke som noget ”bøvl”, opvejes forhåbentlig ved, at vi vel alle har en interesse i, at vi passer på hinanden og vores data.
Det er ikke sjældent, at IT-projekter ender i grøften. Oftest hører man dette om offentlige IT-projekter, og man tænker måske nok, at det ”kun sker for naboen”. Men det tænker naboen også – og det sker også for naboen.
Det ses ofte, at beslutninger om IT-anskaffelser træffes hurtigere og uden en reel analyse, end hvis der var tale om indkøb af en kaffemaskine til kontorets medarbejdere. Her udformes der analyser af behov, kaffekvalitet, antagelser om dagligt forbrug, om maskinen skal leases, om den skal serviceres osv.
Ofte sker udskiftning af et økonomisystem baseret på mavefornemmelser og nogle hurtige telefonopkald til tre forskellige firmaer. Disse firmaer får til opgave at komme med en listepris på et standardsystem, som ”selvfølgelig skal kunne det samme som det, vi har i dag”.
Så bliver det svært. Leverandøren skal hurtigt forstå situationen og behovet og i øvrigt levere til det halve af, hvad det nuværende system koster i dag. Det er lige her, vejen til et dyrt og ufuldstændigt IT-projekt starter.
Er det leverandøren, der ikke har forstået, hvad ’vi’ har brug for? Er det fordi, leverandøren vil sælge? Med det antal forfejlede IT-projekter, der er set gennem tiderne (og her tænkes der ikke kun på de store dyre offentlige projekter), var det måske muligt, at det ikke kun er leverandøren, der er problemet.
Et klassisk eksempel
En virksomhed skal have nyt økonomisystem. Det nuværende kan ikke opdateres længere. Det virker, men det er jo også smart at kunne læse bilag ind automatisk og at kunne sende elektroniske fakturaer. Der skal en udskiftning til.
Kravspecifikationen, som det hedder, når man som brugervirksomhed (kunde) ønsker at specificere, hvad IT skal kunne, er klar: ”Vi skal kunne det samme – og så alt det smarte nye”.
En 2-3 leverandører inviteres på kaffe. Virksomhedens direktør eller økonomichef fortæller, at ”de jo sådan set kører helt standard”. Det er imidlertid ikke helt tilfældet, konstaterer leverandøren 3-4 måneder inde i implementeringsforløbet. Så hober regningerne sig op, og man skændes om, hvem der skal betale for overskridelserne. Direktøren for virksomheden siger, at ”det burde leverandøren da have fundet ud af, inden der blev afgivet tilbud. Det er jo leverandøren, der er den profes-
sionelle”.
I et godt samarbejde må begge parter agere professionelt. Virksomheden behøver ikke nødvendigvis at have hverken advokater, IT-specialister eller IT-projektledere ved sin side
– blot sund fornuft.
Et alternativ til ovenstående kunne være, at leverandøren engageres til at foretage en foranalyse for derpå at afgive tilbud på den påtænkte opgradering af økonomisystemet. Dermed lægges der tilpas med kræfter i afdækning af behov, specielle rapporter, integrationer til øvrige systemer mv. Den juridiske del kan efterfølgende udformes, så leverandøren påtager sig risikoen, hvis denne ikke selv har afdækket behovet korrekt.
Noget andet er dokumentation af IT-systemer. Ofte er det sådan, at virksomheder er langt mere interesserede i deres leverancer og produktion end i, hvordan de leverer. Underforstået: Er der en plan, hvis IT-systemet ikke fungerer? Er der en oversigt over servere, backup, test af backup, telefonnumre til teknikere, overblik over infrastruktur mv.? Det er samme situation som ved en forsikring; det er nemmere og billigere at retablere tingene, hvis man har taget sine forholdsregler.
Som leder af en virksomhed, hvor IT er vigtig, er man også leder af IT. Det behøver man ikke være IT-ekspert for at kunne håndtere. Med forberedelse, sund fornuft og måske erkendelsen af behovet for at bruge ekstern ekspertise til at styre, dokumentere og lede projektet kommer man langt, og det kan som regel betale sig.
Beredskab og nødplaner er i nogles ører noget, som politi og brandvæsen tager sig af. Men et beredskab er noget, som alle virksomheder kan have en fordel ved at tænke ind – inden et problem indtræder.
Fredag den 11. marts 2011 rystede et undersøisk jordskælv havbunden i Stillehavet 130 km øst for Japans kyst. Med en gigantisk styrke på 9 målt på richterskalaen udløste jordskælvet en tsunami, der bevægede sig med 700 km i timen mod kysten; en altødelæggende kraft, der skulle koste over 15.000 mennesker livet. Flodbølgen nåede en højde på op til 40 meter og skyllede op til 10 km ind i landet. Denne historie kender vi dog som noget andet og noget mere end blot en beretning om en dødbringende naturkatastrofe. Det er historien om Fukushima-katastrofen.
Lige så snart atomkraftværket i Fukushima kunne registrere jordskælvet, slukkede reaktorerne automatisk. Det skulle de gøre som en sikkerhedsforanstaltning, men på grund af en række problemer slukkede hele elforsyningen. Kølepumperne kunne derfor ikke pumpe videre og køle kernen, og som alle, der har set Tjernobyl-serien, ved, kan overophedning have katastrofale konsekvenser. Derfor havde man et backup-system: En række dieselgeneratorer slog til, så kølepumperne atter kunne afkøle de brandvarme reaktorkerner.
Denne korte opridsning af begyndelsen på katastrofen indeholder to bærende elementer for, hvad mange mennesker tænker, når de hører ordene ”beredskab” og ”nødplaner”: Noget, der kræver politi og brandvæsen, og måske også, at én teknisk løsning overtager en anden – i det her tilfælde den klassiske dieselgenerator, der genererer strøm til kølepumperne. Men Fukushima-katastrofen er også et eksempel, der viser, hvor vigtig en beredskabsplan kan være for mindre virksomheder, der måske ikke engang er i nærheden af katastrofen. Vi bevæger os igen mod Japan.
Når din fail-over fejler
Dieselgeneratorerne, et fail-over-system, der får kritiske funktioner til at virke igen, kørte kort efter, at systemet kunne registrere et jordskælv, og elnettet fejlede. Plan B fungerede, som den skulle. Det, man imidlertid undervurderede og efterfølgende fik stærk kritik for, var risikoen for en tsunami. Netop den mangel førte til, at generatorerne druknede. Alle undtagen én. Og når en fail-over fejler – når plan B ikke virker – har man nogle gange en plan C: Batterier, der afløser en dieselgenerator. Batterierne har imidlertid kun få timers levetid. Uden strøm, og dermed uden kølepumper, skete det, der ikke måtte ske: Eksplosioner og nedsmeltning i et atomkraftværk.
Atomkatastrofen kunne have været undgået, hvis en tilstrækkelig og tilfredsstillende risikovurdering var blevet foretaget. Det var ikke tilfældet, og advarsler fra tsunamistudier var blevet ignoreret gang på gang.
Ikke alene havde man tæt på 16.000 døde i Japan, men også et radioaktivt udslip, der krævede evakuering i mindst 20 kilometers radius. Japans regering spillede også det politisk sikre kort ved at lukke over 50 atomkraftværker, hvilket resulterede i mindre elkapacitet og et behov for at importere energi i form af kul og olie for at kunne opfylde det største energibehov– med tilhørende forurening og helbredsproblemer. Borgere og virksomheder måtte indstille sig på at bruge mindre elektricitet i et stykke tid.
Fra Fukushima til Kongens Nytorv
I de følgende måneder kunne verden mærke konsekvenserne af atomulykken. Leverancer blev forsinkede, eller leverandører måtte lukke ned. Det påvirker ikke kun den nedlukkede virksomhed, for hvis et nøgleprodukt bliver forsinket eller udebliver, så påvirker det også anden-, tredje- og måske endda også fjerdepart.
Et banalt eksempel kommer fra Magasin du Nord, hvor man kunne opleve prisstigning på nogle cremer. Det skyldtes, at katastrofen ødelagde marker, hvor man producerede vigtige ingredienser til brug for cremeproduktionen. Selv om banaliteten – og ikke mindst fraværet af cremers påtrængende nødvendighed for menneskeheden – er fremtrædende i eksemplet, så viser det ikke desto mindre en kausalitet, som man aldrig nogensinde kunne have forberedt sig på ved at fokusere på årsag.
Har du forberedt dig på en tsunami?
Hvis man skulle forberede sig på alt, bliver listen lang. Og det er også sandsynligt, at den øvelse ville køre in absurdum.Skal man som virksomhed i Danmark forberede sig på en tsunami i Japan, fordi der er sandsynlighed for, at man måske mister et vigtigt produkt, hvis det måske sker?
Lad os ikke dvæle ved de åbenlyse absurditeter. Det er ikke engang sikkert, at vi ved, at dele af vores produkt har sin oprindelse i Japan. Vi gik og troede, det var 100 % svensk.
Men man kan i virkeligheden godt forberede sig på den tsunami. Så længe man ikke fokuserer på selve tsunamien, men de konsekvenser den kunne have, nemlig hvordan ens daglige drift kan blive påvirket. Hændelsen er sådan set underordnet; det kan være en eksplosion i et atomkraftværk i Fukushima, men det kunne lige så godt være, at din leverandør ikke kan levere varen af en anden årsag.
Uanset årsagen, så mangler du dit produkt eller den tjeneste, som du så ikke kan sælge videre til dine kunder. Hvad gør duså? Kan du skaffe det et andet sted fra? Kan et lignende produkt gøre det? Er det et nøgleprodukt i din virksomhed eller blot en pakke tyggegummi, du bruger til at få lidt ekstra kroner i mersalg, og som kan skiftes ud med en pakke pastiller?
Det er derfor ikke nødvendigvis nyttigt at fokusere på katastrofale hændelser. I stedet er det vigtigt at tænke på, hvilke konsekvenser tsunamien kan have.
Er det tab af viden? Måske fordi en nøgleperson i din virksomhed ikke længere er til stede, og ingen andre kender dennes arbejdsopgaver? Det kan være regnskabspersonen, der månedligt opsætter en rapportering for at holde styr på likviditeten. Eller it-nørden, der jo er vant til at komme og fikse tingene. Er det tab af en salgskanal? Hvilken? Web, telefon eller fysisk butik? I hvor høj grad påvirker hvert tab din forretning?
Med andre ord: I stedet for at forestille dig alle mulige dommedagsscenarier, så se på, hvordan din daglige drift kan blive forstyrret af uforudsete forhold. Med det indledende eksempel fra Japan og den virkelighed, vi oplever med coronavirussen i dag, behøver jeg næppe at understrege, at alt i virkeligheden kan ske.
Analyse af risici - virksomhedens daglige drift
Ovennævnte overvejelser kan sættes op i en tabel, som kan se ud, som vist i figuren nedenfor. Den viste figur er en risikovurdering. Det er en analyse af, hvilken situation man er i lige nu. Det gør man for at kunne træffe en beslutning om, hvorvidt virksomheden skal finde på at gøre noget, inden en uheldig situation indtræder.
Læg mærke til, at de nævnte eksempler er generelle og ikke går i detaljer om, hvorvidt der er risiko for, at kloakvand vil stige op i kælderen. Det er en del af det nævnte – ligesom den menneskelige faktor også er en del af det nævnte. For det er jo muligt, at salgskanal 3 netop håndteres af nogle gode folk, der tager telefonen, når kunder ringer ind til hovednummeret. Men hvad nu, hvis telefonsystemet ikke fungerer? Hvad nu, hvis disse folk ikke er til stede? ”Hvad nu, hvis” er ikke interessant for virksomheden. Tab af salgskanal 3 er interessant – og vigtig – for din virksomhed.
Herefter kan man se på, hvilke organisatoriske foranstaltninger man kan gøre for at aktivere en nødplan, få driften op til minimum, for til sidst at være tilbage i optimal daglig drift. Lige i dette tilfælde ville man måske ikke foretage vidtgående foranstaltninger, men udelukkende fokusere på kommunikation om det.
| Sandsynlighed | Påvirkning | Faktor | ||
| Scenarie | (1-10) | (1-10) | (SxP) | |
| 1 | Tab af viden (nøglepersonsafhængighed) | 5 | 8 | 40 |
| 2 | Tab af it-leverandør (outsourcet) | 2 | 10 | 20 |
| 3 | Tab af salgskanal 1 (webshop) | 3 | 8 | 24 |
| 4 | Tab af salgskanal 2 (butik) | 4 | 7 | 28 |
| 5 | Tab af salgskanal 3 (telefon) | 2 | 4 | 8 |
| 6 | … | |||
| 7 | … |
Kommunikation, når uheldet indtræffer– vi er her stadigvæk!
I tilfældet med telefonen kunne det fx være relevant at skrive på sin hjemmeside og de sociale medier, at telefonerne ikke virker i øjeblikket, men at man arbejder på at løse problemet.
Det kan også være relevant at have klare procedurer for, hvem man skal orientere ved større driftsforstyrrelser – og nok også hvem man skal kontakte, hvis kaffemaskinen går i stykker.
Som vi kan se, så handler det ikke om, hvorvidt der kan ske et jordskælv i Stillehavet, men om, hvilke funktioner og områder i din virksomhed der øger sårbarheden for din daglige drift.
Husk også din kollega
Til sidst synes jeg, det er vigtigt at gøre opmærksom på noget, man egentligt ikke ser så meget af i beredskabsplaner – selv om vi ser mange udøve det i dag: Hvad gør vi, hvis vi mister det kollegiale fællesskab?
Her skal man gøre op med sig selv, om man blot ser sine ansatte som en ressource, der holder bundlinjen sort, eller om man ser sine kolleger som de mennesker, der besjæler virksomheden og giver den dens værdi. Her kan en lille ting som et telefonopkald fra chefen, der tjekker op på én, gøre den store forskel.
Så, hvad gør man?
Det hele starter med en risikoanalyse. Det kan enten være en Excel-øvelse med tal, grafer, farver og lamper, der blinker, eller det kan være det, vi kalder en kvantitativ vurdering (walk-through) af, hvilke faktorer der gør, at dagligdagen opretholdes. Altså enten en afart af førnævnte tabel, hvor risici identificeres og sandsynliggøres i forhold til påvirkningen af den daglige drift, eller – hvis dagligdagen er til at overskue – engod mavefornemmelse og tankemæssig gennemgang af væsentlige arbejdsprocesser.
Dette kan munde ud i en beredskabsplan, som ikke alene indeholder kontaktoplysninger på kritiske leverandører, bank, revisor, forsikring, kontaktoplysninger til kolleger (og deres ægtefæller) osv. Planen kunne imidlertid også indeholde nogle tanker om, hvad vi gør, hvis det ikke er muligt at møde op på kontoret, hvis håndværkerens bil ikke kan køre, hvis webshoppen er nede osv.
Mellem risikoanalyse og beredskabsplan kan der også være en række arbejdsopgaver, der imødegår/begrænser skaderne. Et aktuelt eksempel kunne være at sikre, at hjemmearbejdspladser kan fungere, at webshoppen har en ”nødside”, at der er et alternativ til betalingsløsningen på webshoppen mv.
Det er ikke nødvendigvis enkelt at forberede sig, men det er bedre at forberede sig end ikke at gøre det, og i lighed med at vi udarbejder driftsbudgetter, er beredskabsplaner noget, der ikke nødvendigvis lever op til virkeligheden, når den indtræffer.
Derfor er en test af et konkret scenarie en god ide, og – efter min erfaring – også ret underholdende for virksomhedens medarbejdere. Man afholder jo også brandøvelse på store skibe, så hvorfor ikke også teste en virksomheds beredskab.
GDPR og beskyttelse af persondata var på alles læber for tre år siden, da lovgivningen trådte i kraft. Hvad så nu? Var deten døgnflue? Har vi i mellemtiden lært noget om, hvorvidt bøderne blev så store, som man forstod, de skulle være?
Vi har alle dage skullet beskytte persondata. Vi har helt tilbage fra 1979 haft en lovgivning om det. I 2018 blev en ny lovgivning om persondatabeskyttelse – GDPR – implementeret, og mange talte meget (og længe) om den. Bøderne skulle blive (meget) store, hvis man forbrød sig mod reglerne; der skulle dokumenteres, beskrives, overvejes, tilknyttes databeskyttelsesrådgivere, udformes databehandleraftaler og formuleres procedurer for dette og hint. Var det overhovedet muligt at passe sit arbejde vel vidende, at ens telefon indeholdt en telefonbog med kollegaer? Hvad med billederne af ens børn på ForældreIntra? Skulle alt slettes? Måtte vi overhovedet tage et billede af nogen mere? Hvad med samtykke? Der var vild forvirring i mange kredse.
Der var tale om en forordning. Altså en europæisk lov, der (næsten) én til én skulle implementeres i medlemsstaterne. Der var ikke noget at gøre. Sådan var det bare. Rådgiverne var ellevilde; nu skulle der bruges timer og males skræmmebilleder – og sendes regninger. Selv kontorforsyningsvirksomheder ville have en bid af GDPR-kagen, når de solgte makuleringsmaskiner med løftet om at kunne blive GDPR-klar ved at makulere alle persondata.
Hvor er vi så nu? Det er et faktum, at der tilbage i 2018 var meget lidt sikkerhed for, hvad vi som helt almindelige virksomheder skulle gøre. Var det for galt? Burde Datatilsynet, myndigheder eller EU have udformet vejledninger og skabeloner på forhånd? Ja, måske. Imidlertid er det lovgivning, og praktisk talt alle love skal tolkes og prøves. Hvis Datatilsynet havde udformet alt for mange skabeloner og standardbeskrivelser, skulle man som virksomhed ”passe ind” i en kasse.Det havde nok heller ikke været for smart.
Siden GDPR trådte i kraft, er der på EU-plan udstedt bøder for lidt over 277 mio. euro. Altså lidt over 2 mia. danske kroner.I Danmark er der indtil videre afsagt dom for 150.000 kr. Datatilsynet havde godt nok anbefalet bødestørrelse på 1,5 mio. kr., men byretten i Aarhus lagde niveauet lavere. Dommen er dog anket. Herudover venter retssager (pt. 7 stk.) på i alt 2,7 mio. kr. Historisk er der i Danmark udstedt meget få og meget små bøder, så der er bestemt sket en ændring med GDPR.
Bøder er ikke det, der skal motivere. Det er trods alt det at følge en lov, der skal motivere. Er der så fundet en metode, så det kan gøres enkelt og nemt? Ja og nej. Siden 2018 er vi blevet væsentligt klogere på, hvordan en typisk dansk SMV skal registrere brugen af persondata. Der kræves en fortegnelse, en risikovurdering, nogle procedurer, politik og et årshjul og muligvis nogle kontroller til at vise, at persondatabeskyttelse er en aktivitet, som virksomheden prioriterer. Gør alle det? Nej, det er nok ikke tilfældet, og mange forestiller sig også, at det at have en databehandleraftale er tilstrækkeligt.
Ud over domme, afgørelser, og mange, mange tusinde klagerog henvendelser til Datatilsynet, er der også alt det som absolut kan karakteriseres som en akademisk øvelse. En dom i EU-regi afgjorde i sommeren 2020, at data placeret i USA de facto opbevares ulovligt. Der er mange detaljer i dette, men med ét blev praktisk talt samtlige store cloud-tjenester ulovlige, og hvem kan se bort fra at benytte disse?
Siden er der kommet nogle juridiske ændringer, men sagen er ikke helt død. Giver alt dette værdi, og er det i ånden af tilblivelsen af GDPR? Ja og nej. GDPR fortæller, at data ikke må forlade EU (med visse undtagelser). Når USA så ikke betragtes som et sikkert land, opbevares data ulovligt, hvis de ligger påMicrosofts servere (også selv om datacenteret er i EU). Er detirriterende og meget lidt praktisk? Ja, måske. Nu er det svært at komme uden om USA i al almindelighed, men se på beskyttelsen i, at vi ikke vil have vores børns data placeret hos virksomheder og i lande, hvor der ikke er fundamentale rettigheder. Det er vel på en måde mere til at forstå. Måske.
Tilbage står, at hvis man er en helt almindelig virksomhed i Danmark, er man nødt til at gøre noget; GDPR er kommet for at blive. Forvirringen tilbage fra 2018 er aftaget. Vi er blevet klogere på, hvad der konkret skal gøres. Det er blevet lidt mere simpelt. Der er efterhånden dukket en del webbaserede it-løsninger op på nettet, som gør det enklere at komme igennem GDPR-processen.
Virksomheder inden for visse sektorer samt visse offentlige myndigheder vil fremover blive underlagt strammere regler på it-sikkerhedsområdet.
EU-Parlamentet godkendte i maj 2022 et direktiv - NIS2 - der skal sikre, at medlemslandene i februar 2024 har implementeret ny lovgivning. NIS2 har til formål at højne informations- og cybersikkerhedsniveauet i virksomheder inden for bl.a. energi, forsyning, sundhed, finans og it. Virksomhederne i disse sektorer skal bl.a. have implementeret et basalt it-sikkerhedsniveau.
NIS2 er – som navnet indikerer – version 2 af NIS: Net- og informationssikkerhed. Der er tale om en udvidelse i forhold til både brancher og sektorer. Det væsentlige er, at sikkerhedsniveauet skal kunne dokumenteres, og væsentligt er det også, at der er tale om krav, der omfatter hele forsyningskæden således, at også underleverandører og samarbejdspartnere er omfattet. Leverer en virksomhed til en NIS2-compliant virksomhed, vil det dermed ikke være utænkeligt, at leverandøren tillige skal være dokumenteret NIS2-compliant.
Lovgivningen vil kræve, at virksomheden håndterer it-sikkerhedsforhold, der på mange måder relaterer sig til ISO 27002-kontroller. Dem er der flere, der i forvejen kender, hvis virksomheden har en ISAE 3402- eller 3000-erklæring. Eksempelvis skal virksomheden tage stilling til samt implementere foranstaltninger inden for områderne: risikostyring, sikkerhedspolitik, hændelsesstyring, leverandørstyring, kryptografi, HR og beredskab. Altså forhold vi kender fra ISO 27002, men reelt også fra GDPR.
Det er afgørende, at virksomheder, der direkte eller indirekte relaterer sig til de brancher, der forventeligt omfattes af reglerne, forbereder sig på den kommende lovgivning. Før vi ser regler, vejledninger og beskrivelser fra Folketinget og diverse offentlige myndigheder, bør virksomheder forberede sig ved at arbejde med ISO-standarden.
Modsat GDPR må vi forvente, at de organisationer, der vil være underlagt NIS2, skal søge godkendelse og er underlagt Erhvervsstyrelsens tilsyn.
Direktivet skal udmøntes i dansk lovgivning, og arbejdet pågår allerede. Dette kan give mindelser tilbage til 2016, hvor databeskyttelseslovgivningen (GDPR) blev vedtaget til implementering i 2018, men vejledninger og instrukser først kom meget sent. Sikkert var det imidlertid, at der ville blive uddelt bøder ved manglende compliance. Det samme er formentlig tilfældet ved NIS2; lever virksomhederne ikke op til NIS2 i februar 2024, må der påregnes bøder.
Konsulentbranchen inden for cybersikkerhed har næppe haft det bedre end nu, og lovgivere, forsikringsselskaber og brancheforeninger taler meget om cybersikkerhed. Men hvad er cybersikkerhed egentlig for noget, og er det i virkeligheden en betegnelse, som dækker over flere forskellige emner?
Og bør SMV-virksomheden gør noget mere end blot at tegne en forsikring og installere antivirus-software?
Hvad er cybersikkerhed?
IT-sikkerhed er nok den betegnelse, som de fleste brugte, før det begyndte at hedde cybersikkerhed. IT-branchen har en stolt tradition for at opfinde nye ord og begreber for eksisterende temaer, så det er der intet nyt i.
Spørger man ChatGPT (den kunstige intelligens, der findes på internettet, og som kan svare på alt), er svaret følgende: ”Cybersikkerhed er beskyttelsen af digitale systemer, netværk og data mod cybertrusler og angreb. Det inkluderer beskyttelse mod hacking, malware, phishing, dataoverførsler, identitetstyveri og andre former for onlinesikkerhedstrusler. Målet med cybersikkerhed er at beskytte organisationers og enkeltpersoners informationsteknologi-infrastruktur og data mod uønskede eller skadelige handlinger.”
Så det er altså det, vi tidligere har kendt som ’IT-sikkerhed’ (ChatGPT er i øvrigt enig).
Vælger man at nedbryde betegnelsen til noget mere håndgribeligt, kan det være følgende: ”Cybersikkerhed er den forretningsmæssige sikkerhed for, at vores IT-systemer også virker som forventet i morgen, og at vi kan stole på de data, der er i systemerne – og kun med adgang for de personer, vi har besluttet at give adgang.”
Ingen virksomhedsleder er i tvivl om, at hvis lagerbeholdningen af varer bliver stjålet, brænder eller bliver fordærvet, så har virksomheden et forretningsmæssigt problem. Det er også en udfordring, hvis virksomhedens 3 sælgere siger op på samme tidspunkt. Tilsvarende hvis bogholderiet ødelægges eller forsvinder.
Forannævnte kan give større eller mindre problemer, men det virker som om, mange virksomhedsledere fortsat tænker, at store problemer med cybersikkerhed kun opstår hos naboen, eller at man blot kan betale sig fra det – ”det er sikkert bare en teknisk dims, der skal skiftes ud.” Det er en lidt pudsig holdning, for ingen – uanset om man er håndværksmester eller leder af en ”kontororganisation” – kan vel benægte, at det vil være mere end almindeligt irriterende, hvis IT en dag ikke virker. Det kunne måske endda være katastrofalt.
Konkrete eksempler på angreb
Udfordringen er sandsynligvis, at mange ikke er klar over de latente risici. Mange tænker måske, at ”vi bruger standardsystemer, så vi kan altid få hjælp fra nogen”, eller ”vi bruger Microsoft Cloud, og de er helt sikre og pålidelige.”
Faktum er imidlertid, at Microsoft var utilgængelig i det meste af 12 timer en dag i januar 2023. Et andet faktum er, at sikkerheden i Microsoft Cloud-løsningerne ofte er et tilvalg, som virksomhederne selv skal foretage. Det kommer ikke ’ud af boksen’, som mange måske tror. Tilsvarende har en moderne bil mange sikkerhedssystemer, men de kan alle sammen deaktiveres.
I en standard cloud-løsning er de fleste sikkerhedssystemer slået fra. Man skal selv vurdere, hvad der er relevant og skal aktiveres. Denne gang ramte det Microsoft, men risikoen er den samme for de fleste andre store cloud-leverandører. Desuden er det lidt firkantet beskrevet her, men ikke desto mindre er det tankevækkende.
En anden årsag til den manglende aktive ageren ift. IT-sikkerhed i danske SMV’er er, at vi oftest kun hører om problemer med IT-sikkerheden, når det er store organisationer, der bliver udsat for nedbrud. Alle kan nok huske, da Mærsk måtte bruge mange millioner kroner på at få styr på tingene efter et angreb på deres IT-systemer, ligesom vi har hørt om nedbrud og angreb på andre store danske virksomheder og offentlige myndigheder.
De fleste tænker nok, at angrebene har været målrettet disse virksomheder, og det kan heller ikke udelukkes. Men det kan med større sandsynlighed være tilfældigt, at Mærsk blev ramt. Det kan lige så godt være den lokale håndværksmesters iPhone, der pludselig ikke virker.
Et relativt nyt eksempel, som rigtig mange danskere blev berørt af, var angrebet på 7-Eleven. Et ransomware-angreb gjorde, at butikkerne var lukket i flere dage – i visse tilfælde helt op til 1 uge.
Der er ingen forsikring, der i fuldt omfang dækker tabet ved sådan en hændelse, og når problemet opstod, fordi en medarbejder klikkede på et ”forkert” link, kunne IT-systemet (måske) have været konfigureret med nogle vandtætte skotter, så problemet ikke var blevet et nationalt problem, men kunne have været begrænset til at være lokalt. Kun 7-Eleven ved det, men det kunne måske have været muligt at begrænse spredningen af problemet med det rette set-up.
GDPR-regler og anden regulering
De nugældende GDPR-regler blev indført i 2018, og siden da er der kommet en del direktiver og forordninger, der skal højne IT-sikkerheden dels generelt, dels i specifikke brancher eller markeder. I skrivende stund er der 11 forordninger på vej, som vil være relevante for f.eks. forsyningskritiske virksomheder (NIS2), IT-virksomheder, der arbejder med softwareløsninger, kunstig intelligens og meget mere.
Lovgiverne vil gerne beskytte individet, men vil samtidig fremme konkurrenceevnen. Sidstnævnte kan til dels også oversættes til, at niveauet skal højnes i virksomheder og organisationer, således at der ikke lides driftstab, at personhenførbare oplysninger ikke offentliggøres ved en fejl, at kunstig intelligens ikke træffer forkerte beslutninger mv. De næste år bliver spændende!
Husk at tænke IT-sikkerhed!
Mulighederne for at fremme konkurrenceevnen er i øvrigt helt reel, for en undersøgelse fra november 2022 fra Industriens Fond med hjælp fra Analyse & Tal og Grant Thornton Danmark viser, at virksomheder oplever en målbar forbedring af konkurrenceevnen, når de igangsætter konkrete initiativer inden for cybersikkerhed.
Analysen viser blandt andet også, at nogle virksomheder har implementeret forskellige tiltag i forhold til at opnå sikkerhedsgodkendelser, har udarbejdet en sikkerhedspolitik eller har måske endda indhentet en revisorerklæring (ISAE 3402 eller ISAE 3000) eller ISO 27001-certificering. Formålet i virksomhederne har imidlertid været af kommercielt hensyn, idet der har været behov for at kunne ”berolige” kunder og samarbejdspartnere, mens ønsket om at forstå trusselsbilledet og implementere nødvendige sikkerhedstiltag har fyldt mindre. Se mere herom påhttps://cyberbarometer.dk/
For SMV-virksomheden er det væsentligt at tænke IT-sikkerhed – eller IT-styring – ind i den daglige drift. Det bør også være et element i bestyrelsens årshjul. Det medfører konkurrencefordele, og det giver en sikkerhed for, at man som virksomhed har tænkt sig om, afdækket risici og forberedt nødplaner, når (ikke hvis) noget ikke går, som det plejer.
Det er efterhånden de færreste, der ikke har hørt om kunstig intelligens (AI). For mange – også for nogle af os, der arbejder med it – er AI et emne, man har respekt for. For det er ikke bare en smartere og hurtigere Office-pakke, og det er svært at overskue konsekvenserne af AI på længere sigt.
Nogle af os husker Terminator-filmene med Arnold Schwarzenegger i hovedrollen. Helt tilbage i 1984 blev et fremtidsscenarie præsenteret med nogle etiske overvejelser, der faktisk ikke er helt ved siden af virkeligheden. Skynet, som i filmene var supercomputeren, der forsøgte at tage magten fra menneskene, var så intelligent og altomfattende i sin kontrol, at menneskene var i fare. Ikke fordi computeren som sådan var ond, men fordi computeren vurderede, at menneskene var bedst beskyttet fra dem selv ved at slå dem ihjel.
Hele scenariet var i princippet ret godt set af forfatter-teamet, for AI fungerer på den måde, at computeren selvlærer. Den lærer ud fra kendt materiale, fx alt hvad der står på internettet, samtlige bøger, alt hvad der står på Facebook osv. Den lægger masser af variabler ind i output, og disse er baseret på fx demografi, historiske afgørelser i forsikringssager, juridiske afgørelser eller blot Facebook-kommentarer, hvor profilen analyseres mht. geografisk oprindelse, alder, køn, sygdomshistorie og meget mere. AI benytter enormt mange informationer til at tage beslutninger, og disse baseres ikke kun på ”kolde variabler”, blot fordi computeren kan læse mange informationer hurtigt, men AI lærer undervejs, afvejer og effektuerer beslutninger.
Og det er det sidste, altså beslutninger, der var omdrejningspunktet i Terminator-universet. Skynet-computeren passede bedst på mennesker ved at tage den overordnede kontrol, for det var angiveligt i vores interesse, når vi nu ikke kunne passe på os selv. AI har heldigvis indlagt bias, hvis funktion er at fungere som etiske pejlemærker. EU arbejder på direktiver og forordninger, som skal regulere, hvordan vi må bruge AI, og det er godt – og trygt!
Stort potentiale
AI's indvirkning på samfundet er allerede tydelig. Personlige assistenter som Siri og Google Assistant giver os information og hjælper os med opgaver. Sociale medier bruger AI til at tilpasse vores feeds og anbefale indhold. I erhvervslivet benyttes AI til at analysere store datamængder og træffe beslutninger. Inden for medicin og sundhedspleje hjælper AI med avancerede diagnosemetoder og behandlingsmuligheder.
Selvom AI i dag primært ses i form af afgrænsede værktøjer som fakturagodkendelse, bilagshåndtering osv., udvikler teknologien sig hastigt. Maskinlæring og såkaldt dyb læring gør det muligt for AI at lære og forbedre sig over tid, hvilket åbner for et væld af nye muligheder.
AI's potentiale er enormt. Vi kan forvente, at AI vil spille en større rolle i mange aspekter af vores liv. Inden for sundhedssektoren kan AI revolutionere diagnosticering og behandling ved at analysere genetiske data og medicinsk historik. Inden for transportområdet kan selvkørende biler og droner forbedre effektiviteten og sikkerheden. I uddannelsesøjemed kan AI tilpasse undervisningen individuelt til elever og gøre læringen mere engagerende. Inden for forretningsverdenen forventes det, at AI vil skabe nye forretningsmodeller og optimere arbejdsprocesser, og der kan opstå nye jobmuligheder inden for AI-udvikling og -vedligeholdelse. Samtidig kan nogle jobfunktioner blive automatiseret, hvilket alt andet lige vil kræve en omstilling af arbejdsstyrken.
AI’s anvendelsesmuligheder spænder bredt. Mange, særligt studerende, benytter AI som hjælp til at løse opgaver, og nogle bruger endda AI til at forfatte et afslag på kæresteanmodninger på Tinder. AI kan bruges til at skrive nye Thomas Helmig sange, og i den lidt mere måske kedelige og produktive ende kan AI helt afløse funktioner på arbejdsmarkedet; AI kan bidrage i logistik-afdelinger i forhold til at finde den optimale rute for en transportvirksomhed, løse opgaven med at placere gods på skibe, skrive markedsføringsmateriale baseret på læring fra lydoptagelser fra de seneste henvendelser fra kunder i virksomhedens kundeservice osv.
Udfordringer og bias i AI
Selvom AI har potentiale til at skabe positive ændringer, er der også udfordringer, der skal håndteres. Bias i AI-algoritmer er en bekymring. Hvis træningsdata er præget af fordomme eller diskrimination, kan AI-systemer generere uhensigtsmæssig gentagelse af sådanne data. For eksempel kan rekrutteringsalgoritmer favorisere visse persongrupper og undertrykke mangfoldighed.
Der er også risiko for at miste kontrol over AI-systemer. Når AI bliver mere kompleks og autonomt, kan det blive svært at forudsige, hvordan det vil reagere i forskellige situationer. Dette rejser spørgsmål om både ansvar og ansvarlighed.
AI og lovgivning: GDPR, NIS2 og fremtiden
EU har erkendt behovet for at regulere AI og beskytte borgernes rettigheder. GDPR er allerede et skridt i denne retning, idet det styrer, hvordan personlige data behandles. GDPR's principper om databeskyttelse, gennemsigtighed og samtykke er også relevante for AI-applikationer.
Network and Information Systems Directive (NIS2) fokuserer på cybersikkerhed og beskyttelse af kritiske infrastrukturer. Idet AI bliver en integreret del af disse systemer, er det vigtigt at sikre, at AI-implementeringer er beskyttet mod angreb og sårbarheder.
Fremtidig lovgivning kan fokusere på specifikke områder som ansvarlighed, bias og autonomi. Der kan indføres krav om gennemsigtighed i AI-beslutninger og mekanismer til at håndtere bias. Regler for ansvar for skader forårsaget af AI-systemer kan også blive udviklet. På EU-plan arbejdes der med ’AI Act’, som netop skal regulere, hvordan virksomheder og myndigheder må implementere AI. Forordningen herom forventes endeligt vedtaget inden for 6-12 måneder til implementering i 2025 eller 2026.
Konklusion
AI's påvirkning på vores samfund er allerede mærkbar, og dens potentiale er stort. Mens AI kan bringe positive forandringer, er det vigtigt at tackle udfordringer som bias og manglende kontrol. EU-lovgivning som GDPR, NIS2 og den kommende ’AI Act’ skaber en ramme for regulering af AI, men fremtidig lovgivning vil blive nødvendig for at adressere de specifikke udfordringer og muligheder, som AI bringer med sig.
Med den rette balance mellem teknologisk innovation og etiske overvejelser kan AI blive en kraftfuld ressource for samfundet. Og så må vi bare sætte vores lid til, at Skynet ikke bliver en realitet.