AI-sikkerhed & Guardrails

AI-sikkerhed beskytter hvert eneste AI-system i virksomheden — prædiktive ML-pipelines, computer vision- og NLP-modeller, generativ AI og LLM'er samt agentbaseret AI, der handler på egen hånd. Den dækker selve modellerne, de data der træner og fodrer dem, de prompts og forespørgsler der driver dem, de output og handlinger de frembringer, og de integrationer de berører. Trusselsfladen er ukendt for klassisk applikationssikkerhed: modelforgiftning, fjendtlige input, prompt injection (OWASP LLM01), jailbreaks, lækage af følsomme data gennem output, overdreven handlefrihed hos værktøjsbrugende agenter og drift i idriftsatte modeller. Det er vigtigt, fordi AI rykker ind i kundevendte, beslutningstunge og indtægtskritiske workflows hurtigere, end traditionelle kontroller blev bygget til — en enkelt ustyret model kan eksponere IP, lække reguleret data eller forstærke insiderrisiko i maskinhastighed.

Promptfiltre blokerer specifikke input — nøgleord, regex-mønstre, kendte jailbreak-strenge. Guardrails er et bredere politiklag, der styrer både input og output i kontekst: branchespecifikke begrænsninger, regler på afdelingsniveau, geografisk baserede grænser, indholdsmoderation, håndhævelse af begrænsede emner, validering af svar mod virksomhedens politik, reduktion af hallucinationsrisiko og eskalering til menneskelig godkendelse for output med høj risiko. Filtre er et udgangspunkt; guardrails er den driftsmodel, der lader dig idriftsætte AI på forsvarlig vis.

De fleste programmer skal flugte med NIST AI RMF (det amerikanske AI-risikorammeværk, 2023), EU AI Act (i kraft siden 1. august 2024, med risikotrinsforpligtelser, der gælder frem til 2027), ISO/IEC 42001 (den dedikerede standard for AI-ledelsessystemer, 2023), ISO/IEC 27001 (informationssikkerhed), GDPR (personoplysninger i prompts, træningsdatasæt og output), DORA, hvor AI indgår i en finansiel virksomheds ICT-tredjepartsregister, og HITRUST eller HIPAA, hvor der er sundhedsdata involveret. Sektor- og delstatsspecifikke lag tilføjer PCI DSS for kortholderdata, Colorado AI Act, NYC Local Law 144 for automatiseret beslutningstagning ved ansættelse samt nye nationale rammeværker (UK ICO's AI-vejledning, BSI AIC4 i Tyskland, CNIL's AI-handlingsplan i Frankrig, MeitY's vejledning om ansvarlig AI i Indien).

Som et managed program, der dækker hele AI-landskabet — klassisk ML, computer vision, NLP, generativ AI og agenter. Adgangskontrol, guardrails for prompts og output samt databeskyttelse på hver eneste model; AI-specifik trusselsdetektion (mappet til OWASP LLM Top 10 og MITRE ATLAS) koblet ind i din SIEM og en 24×7 SOC; risikovurdering og adfærdsanalyse for AI-interaktioner; AI-hændelsesrespons med forensisk logning og automatiseret inddæmning; løbende red teaming, VAPT og postureovervågning; human-in-the-loop-tilsyn for output med høj risiko; og governance af modellivscyklussen fra træning til drift-detektion. Compliance-dokumentation indsamles løbende i forhold til NIST AI RMF, ISO 42001, EU AI Act, ISO 27001, GDPR, DORA og HITRUST, så audits og bestyrelsesrapportering er evidensbaserede frem for ad hoc.