AI-sikkerhet og Guardrails

AI-sikkerhet beskytter alle AI-systemer i virksomheten — prediktive ML-pipelines, modeller for datamaskinsyn og NLP, generativ AI og LLM-er, og agentbasert AI som handler på egen hånd. Den dekker selve modellene, dataene som trener og mater dem, prompter og spørringer som driver dem, utdata og handlingene de produserer, og integrasjonene de berører. Trusselflaten er ukjent for klassisk applikasjonssikkerhet: modellforgiftning, fiendtlige inndata, prompt-injeksjon (OWASP LLM01), jailbreaks, lekkasje av sensitive data gjennom utdata, overdreven handlefrihet hos verktøybrukende agenter og drift i utrullede modeller. Det er viktig fordi AI tas i bruk i kundevendte, beslutningsstyrende og inntektskritiske arbeidsflyter raskere enn tradisjonelle kontroller var bygd for — én enkelt ustyrt modell kan eksponere immaterielle rettigheter, lekke regulerte data eller forsterke innsiderisiko i maskinfart.

Prompt-filtre blokkerer spesifikke inndata — nøkkelord, regex-mønstre, kjente jailbreak-strenger. Guardrails er et bredere retningslinjelag som styrer både inndata og utdata i kontekst: bransjespesifikke begrensninger, regler på avdelingsnivå, geografisk baserte grenser, innholdsmoderering, håndheving av begrensede temaer, validering av svar mot bedriftens retningslinjer, reduksjon av hallusinasjonsrisiko og eskalering til menneskelig godkjenning for utdata med høy risiko. Filtre er et utgangspunkt; guardrails er driftsmodellen som lar deg ta i bruk AI på en forsvarlig måte.

De fleste programmer må samsvare med NIST AI RMF (USAs risikorammeverk for AI, 2023), EUs AI-forordning (i kraft siden 1. august 2024, med forpliktelser per risikonivå som gjelder frem mot 2027), ISO/IEC 42001 (den dedikerte standarden for AI-styringssystemer, 2023), ISO/IEC 27001 (informasjonssikkerhet), GDPR (personopplysninger i prompter, treningssett og utdata), DORA der AI står i ICT-tredjepartsregisteret til en finansiell enhet, og HITRUST eller HIPAA der helsedata er involvert. Bransje- og delstatsspesifikke lag legger til PCI DSS for kortholderdata, Colorado AI Act, NYC Local Law 144 for automatiserte ansettelsesbeslutninger, og fremvoksende nasjonale rammeverk (UK ICOs AI-veiledning, BSI AIC4 i Tyskland, CNILs AI-handlingsplan i Frankrike, MeitYs veiledning om ansvarlig AI i India).

Som et administrert program som dekker hele AI-porteføljen — klassisk ML, datamaskinsyn, NLP, generativ AI og agenter. Tilgangskontroll, guardrails for prompter og utdata samt databeskyttelse på hver modell; AI-spesifikk trusseldeteksjon (kartlagt mot OWASP LLM Top 10 og MITRE ATLAS) koblet til din SIEM og 24×7 SOC; risikoscoring og atferdsanalyse for AI-interaksjoner; AI-hendelseshåndtering med etterforskningslogging og automatisert inneslutning; kontinuerlig red-teaming, VAPT og overvåking av sikkerhetstilstand; menneskelig kontroll i sløyfen for utdata med høy risiko; og styring av modellens livssyklus fra trening til driftdeteksjon. Etterlevelsesbevis samles inn kontinuerlig mot NIST AI RMF, ISO 42001, EUs AI-forordning, ISO 27001, GDPR, DORA og HITRUST slik at revisjoner og styrerapportering er bevisdrevet fremfor tilfeldig.