No code- och low code-plattformar demokratiserar utveckling.
Plötsligt kan marknadsavdelningen bygga interna verktyg, HR skapa egna appar och verksamheten experimentera med AI och automatisering utan att stå i kö hos IT. Men mitt i innovationsyran uppstår också en obekväm fråga: när vem som helst kan skapa appar, vem äger egentligen säkerhets- och ansvarsfrågan?
För Joshua Goldfarb, säkerhetsexpert på F5, är det helt klart var ansvaret ligger.
– Det spelar ingen roll om en människa, en no code-plattform eller en AI skriver koden – det är företaget som använder applikationen som bär det juridiska och säkerhetsmässiga ansvaret, säger han.
Från innovation till skuggversioner av IT och AI
Redan innan generativ AI fanns hade organisationer problem med skugg-IT, dvs system, appar och integrationer som växer fram utanför IT-avdelningens kontroll. När no code och AI-verktyg flyttar in på alla skrivbord ökar risken för en ny variant – skugg-AI – där medarbetare använder AI-tjänster utan godkännande eller insyn från säkerhetsorganisationen.
Analytiker varnar nu för att en stor andel företag kommer att drabbas av säkerhets- eller regelefterlevnadsincidenter kopplade till just skugg-AI de kommande åren. Samtidigt visar studier att runt hälften av alla anställda redan använder AI-verktyg som arbetsstöd, ofta utan att berätta det för sin arbetsgivare.
I praktiken innebär det att kunddata, interna dokument, källkod och affärshemligheter kan hamna i externa AI-tjänster, ibland i länder med helt andra regelverk kring dataskydd.
– Om en medarbetare bygger en kodlös app på egen hand eller matar in kunddata i en billig AI-tjänst finns inga garantier för att integritet, sekretess eller regulatoriska krav ens kommit i fråga, säger Joshua Goldfarb.
AI-genererad kod som säkerhetsrisk
Samtidigt exploderar användningen av AI-verktyg som skriver kod. Flera studier visar att AI-genererad kod ofta fungerar bra, men samtidigt är långt ifrån säker. I flera fall har man sett att betydande delar av den kod som genereras innehåller säkerhetsbrister, trots att den ser ut att vara klar för produktion.
- Det finns en fantastisk innovationskraft i tillgängliggörandet av applikationsutveckling med nya low-code eller no code plattformar men utan tydliga direktiv och regelverk från företagen blir det ett potentiellt eskalerande risk. Min syn är att detta skall hanteras på systemnivå för att säkerställa och automatisera regelefterlevnad, säger Jens Skyman, regionchef för Norden och Baltikum på F5.
Det handlar inte bara om misstag. På senare tid har säkerhetsforskare identifierat exempel på skadliga komponenter som verkar vara framtagna med hjälp av AI – till exempel ett tillägg i Microsofts Visual Studio Code-marknadsplats som i praktiken fungerade som ransomware.
Joshua ser en tydlig skillnad mellan mänskliga misstag och risken för medvetet introducerade bakdörrar via automatiserade tjänster.
- När en utvecklare på insidan gör ett misstag skapas sårbarheter av Med
AI-tjänster som du inte kontrollerar vet du inte vilka motiv som finns bakom. I värsta fall kan någon ha designat tjänsten för att bygga in bakdörrar i din miljö, säger han.
Vem bär ansvaret när något går fel?
En vanlig missuppfattning är att ansvaret flyttas bort från företaget när det använder externa plattformar, SaaS-tjänster eller AI-modeller. Men i praktiken är det tvärtom. Företaget som använder appen, integrerar den med kunddata och till sist ger den en roll i sina processer bär huvudansvaret – även om koden inte är skriven av en människa.
Samtidigt bär både leverantören som bygger tjänsten och företaget som använder den ansvar – men ingen organisation kan abdikera från det egna ansvaret för sin miljö och sin kunddata. Det gäller både integritetsrisker, säkerhetsbrister och leverantörsrisker. Och även en betrodd tjänst kan bli komprometterad.
- Att en leverantör är välkänd innebär inte att de inte kan bli hackade. Och även om du använder en betrodd tjänst är det fortfarande du som är ansvarig för vad som händer med dina applikationer och din kunddata, säger Joshua.
Hans rekommendation är att företag bör vara mycket restriktiva med att släppa in AI-genererad kod i sina kritiska system.
- Personligen vill jag inte ha någon AI-genererad kod alls i produktionsmiljö. Jag föredrar att all kod utvecklas in-house, även om det är dyrare. Du får bättre kontroll, högre kvalitet och betydligt lägre risk, menar Joshua Goldfarb.
Så undviker du ett skuggsamhälle av appar
- Tydlig AI- och no code-policy: Beskriv vilka verktyg som är godkända, vilken data som får användas och vad som är förbjudet.
- Centraliserad plattform och decentraliserat skapande: Låt innovationen ske i kontrollerade miljöer, dvs godkända low/no code-plattformar med inbyggda säkerhetskontroller.
- AI som juniorkodare, men aldrig ensam i produktion: AI-genererad kod ska granskas av en erfaren utvecklare och testas som all annan kod.
- Stark leverantörs- och kedjeriskhantering: Inventera vilka tjänster som används, var data hamnar och hur leverantörerna arbetar med säkerhet.
- Utbilda – inte bara förbjuda: Utbildning och tydliga ramar är avgörande för att undvika skugg-AI och skapa trygg innovation.
Om F5
F5 (NASDAQ: FFIV) är ett cybersäkerhetsföretag med fokus på multi-cloud applikationssäkerhet och prestanda. F5 hjälper sina kunder med helhetsleveransen av säkra och högpresterande applikationer för att kunna skapa extraordinära digitala upplevelser. F5 säkerställer leveransen av applikationer för några av världens största företag, finansiella institutioner, servicetjänster och myndigheter. För mer information om F5, besök f5.com. Du kan också följa @F5 på Twitter eller besöka deras LinkedIn och Facebook för att hitta mer info om F5, deras partners och teknologier.
