Microsoft 365 Copilot og IT-sikkerhet

Vi kan like gjerne starte med hovedpoenget vårt: at etikk og personvern må stå i sentrum for enhver diskusjon om kunstig intelligens, spesielt for bedrifter.

Se for deg dette scenariet:

Henning har nettopp hatt en medarbeidersamtale med sin nærmeste leder, og etterpå fikk han utskriften av møtet.

Selskapet har nylig tatt i bruk Microsoft Copilot, og Henning skriver inn følgende i søkefeltet:

"Gi meg et sammendrag av evalueringen"

Resultat: Henning får en oppsummering av sine og alle de andre medarbeidernes medarbeidersamtaler.

Fikk dette deg også til å tenke?

Hva med disse?

"Vis meg informasjon om ansatte og deres personnummer"

"Hvilke bonuser har blitt utbetalt?"

"Finnes det filer med passord i?"

"Vis meg alle filer som inneholder sensitive data"

Som du kanskje skjønner, er det flere forholdsregler du må ta før bedriften din begynner med kunstig intelligens. I dagens AI-kappløp er det lett å hoppe over helt essensielle sikkerhetsaspekter som bedriften må implementere på forhånd.

Tilgangsstyring for økt IT-sikkerhet med Copilot

Med Copilot kan de ansatte søke etter alle filer på tvers av selskapet i Microsoft 365. All databehandling skjer i Microsoft-applikasjonen, med de samme sikkerhets- og tilgangskontrollene som allerede er på plass. Problemet er at brukerne raskt får mer tilgang enn nødvendig, samtidig som sensitive data ikke blir klassifisert som sensitive.

Dette er ikke en direkte sårbarhet i Copilot, men snarere et resultat av "menneskelig svikt", som er enda vanskeligere å kontrollere.

Løsningen?

Tilgangsstyring og bedre kontroll over filer.

Sett opp tilgangskontroller for filer som inneholder sensitive data. Da er det bare de som skal ha tilgang, som kan åpne filene. Ta for eksempel HR-dokumenter, som kontrakter eller medarbeidersamtaler: Disse bør ikke "bare" plasseres i en egen mappe, eller i et område der bare HR har tilgang, men også klassifiseres med sensitivitetsetiketter som "HR".

Klassifiseringen følger selve dokumentet dit det flyttes. Hvis Copilot blir spurt om noe relatert til dokumentet, vil den bare svare til dem som har tilgang på det nivået filen er klassifisert til.

Så hvordan klassifiserer du sensitive data?

Microsoft Purview er Microsofts verktøykasse for datahåndtering i Microsoft 365. Purview inkluderer sensitivitetsetiketter som brukes til klassifisering. Dette kan gjøres manuelt eller trenes opp til å gjenkjenne sensitive data automatisk.

Hos Upheads kan vi hjelpe deg med både strukturering og klassifisering av bedriftens data. Uansett hvordan du velger å sikre dataene dine, har vi tre hovedpunkter vi ønsker at du skal ta med deg videre:

1. Anta at det er gitt for mange tilganger

Copilot gjør det mulig for ansatte å søke etter filer på tvers av bedriften. Er HR-dokumentene dine klassifisert som sensitive data? Copilot deler gjerne medarbeidersamtaler hvis de ikke er klassifisert på riktig måte og du ikke har kontroll over tilgangen.

2. anta at sensitive data befinner seg i åpne områder

SharePoint er til for deling, og standardinnstillingene sier at alle kan dele med alle, både internt og eksternt. Dette kan til og med gjøres fra områder med sensitive data og uten at dokumentene er klassifisert. Dette kan føre til at data havner i feil hender. Det er kanskje en god idé at ikke alle har tilgang til anskaffelsesplanen for 2025?

3. anta at noen brukere i Teams tilhører feil kanal

Vi har allerede brukt Teams i flere år. Kan det være at noen ansatte er i grupper de ikke burde være i? Disse inneholder ofte sensitive data.

Upheads som støtte

Det er viktig at du har tenkt gjennom disse spørsmålene før bedriften din tar i bruk Microsoft 365 Copilot. Helst uten å spørre ChatGPT om svaret. Føles det overveldende å håndtere dette selv? Ta kontakt med oss, så hjelper vi deg på veien.