Ansvar i en värld av no code och AI: Vem skyddar datan?

No code- och low code-plattformar förändrar hur företag utvecklar sina applikationer. Nu kan avdelningar som marknadsföring och HR skapa egna verktyg, vilket innebär att IT inte längre är den enda aktören. Men med denna ökning av kreativitet och innovation uppstår viktiga frågor kring säkerhet och ansvar.

Joshua Goldfarb, säkerhetsexpert på F5, påpekar att det är företagets ansvar att säkerställa att applikationerna de använder är säkra.

”Det spelar ingen roll om en människa, en no code-plattform eller en AI skriver koden – det är företaget som använder applikationen som bär det juridiska och säkerhetsmässiga ansvaret,” säger han.

Problematiken med skugg-IT har länge funnits, där system utvecklas utanför IT-avdelningens kontroll. Nu, med AI-verktyg, kan vi se en ny variant kallad skugg-AI, där anställda använder AI-tjänster utan insyn från säkerheten.

Analytiker varnar för att många företag står inför säkerhetsrisker på grund av denna utveckling. Många anställda använder redan AI-verktyg utan att informera sina arbetsgivare.

”Om en medarbetare bygger en kodlös app på egen hand eller matar in kunddata i en billig AI-tjänst finns inga garantier för att integritet, sekretess eller regulatoriska krav ens kommit i fråga,” säger han.

Den snabba spridningen av AI-verktyg som skriver kod har också sina risker. Studier visar att AI-genererad kod ofta har brister i säkerheten.

”Det finns en fantastisk innovationskraft i tillgängliggörandet av applikationsutveckling med nya low-code eller no code plattformar men utan tydliga direktiv och regelverk från företagen blir det ett potentiellt eskalerande risk,” förklarar Jens Skyman, regionchef för Norden och Baltikum på F5.

Det handlar inte bara om misstag; det finns exempel på skadliga komponenter skapade med AI.

”När en utvecklare på insidan gör ett misstag skapas sårbarheter av misstag. Med AI-tjänster som du inte kontrollerar vet du inte vilka motiv som finns bakom,” säger han.

Det är en vanlig missuppfattning att ansvaret förflyttas bort från företaget när externa plattformar används. I verkligheten är det företaget som använder appen som bär huvudansvaret.

Joshua Goldfarb betonar att även om en leverantör är känd kan de bli hackade.

”Att en leverantör är välkänd innebär inte att de inte kan bli hackade. Och även om du använder en betrodd tjänst är det fortfarande du som är ansvarig för vad som händer med dina applikationer och din kunddata,” säger han.

För att skydda sig mot skugg-AI rekommenderar han att företag bör ha tydliga riktlinjer för AI- och no code-användning, centralisera plattformar med inbyggda säkerhetskontroller och utbilda personalen.

Genom att etablera en stark policy och tillhandahålla utbildning kan företag undvika riskerna med skugg-AI och främja en säker och innovativ miljö.