Sikring av AI-kontoer - toveis-autentisering og mer
AI-kontoer er ekstra attraktive for hackere fordi de gir tilgang til bedriftskommunikasjon, dokumenter og sensitiv informasjon. Sikring er kritisk.
Hvorfor AI-kontoer er ekstra attraktive for hackere
Tilgang til kommunikasjon
Bedriftens e-poster, interne dokumenter og sensitive diskusjoner
Phishing-verktøy
Kan generere troverdige phishing-e-poster på perfekt norsk
Historikk
Tidligere samtaler inneholder ofte sensitiv informasjon
Dataeksfiltrasjon
Kan brukes til å gradvis lekke data uten å bli oppdaget
Vanskelig å oppdage
Misbruk ser ofte ut som normal aktivitet
Minimum sikkerhetstiltak for alle AI-kontoer
1
Toveis-autentisering (2FA/MFA)
- ALLTID påkrevd for bedriftskontoer
- Bruk authenticator-app (Google, Microsoft, Authy)
- Unngå SMS (kan kapres)
- Backup-koder sikret på trygt sted (passordmanager)
2
Sterke, unike passord
- Minimum 16 tegn
- Passordmanager (1Password, Bitwarden, LastPass)
- Aldri gjenbruk passord fra andre tjenester
- Månedlig reminder om passordbytte for admins
3
Single Sign-On (SSO) der mulig
- ChatGPT Business/Enterprise støtter SSO
- Microsoft Copilot via Entra ID
- Claude Enterprise støtter SSO
- Fordel: Sentralisert kontroll over tilgang
4
Tilgangsstyring
- Kun gi tilgang til de som trenger det
- Fjern tilgang ved jobbskifte/slutt (samme dag!)
- Regelmessig review av aktive brukere (quarterly)
- Role-based access der tilgjengelig
5
Logging og monitoring
- Aktiver audit logs (Enterprise-planer)
- Overvåk unormal aktivitet
- Alert ved pålogging fra ukjente lokasjoner
- Månedlig gjennomgang av aktivitet
Tekniske tiltak på nettverksnivå
- Blokker personlige AI-tjenester - chat.openai.com for private kontoer
- Tillat kun bedriftsdomener - team.openai.com, claude.ai/enterprise
- DNS-filtering - Blokkering på DNS-nivå
- Proxy-regler - Kontroll via corporate proxy
✅ AI-sikkerhet sjekkliste
For alle bedriftskontoer: