Sjálfhýst gervigreind og öryggisábyrgð: Stjórnin getur orðið byrði

Arnar, forritari hjá nýsköpunarfyrirtæki í Reykjavík, sat fyrir framan skjáinn klukkan þrjú að nóttu. Hann hafði nýlega innleitt sjálfhýsta gervigreindargátt til að tryggja að viðkvæm fjárhagsgögn viðskiptavina yfirgæfu aldrei íslenska innviði.

En þegar hann skoðaði kerfisatburðarásina sá hann eitthvað sem olli honum skelfingu: óþekkt IP-tala hafði nálgast API-lyklana þeirra í gegnum gamla veikleika sem hann hafði gleymt að loka.

Stjórnin sem hann sóttist eftir hafði breyst í martröð vegna einnar handvöðu í öryggisviðhaldi.

Blekkingin um sjálfvirkt

öryggi Mörg fyrirtæki snúa sér að sjálfhýstum lausnum í þeirri trú að staðsetning gagna jafngildi öryggi gagna.

Samkvæmt skýrslu Stanford Institute for Human-Centered AI (Stanford HAI) hafa 78% fyrirtækja þegar innleitt gervigreind í rekstur sinn árið 2024 [1]. Þessi þróun endurspeglar vaxandi þörf á fullveldi gagna, en hún dregur einnig fram hættulega misskilning.

Sjálfhýsing færir ábyrgðina frá þjónustuveitanda yfir á herðar fyrirtækisins sjálfs. Ef innri ferlar eru ekki traustir, getur „örugga“ gáttin orðið að opnum dyrum fyrir óviðkomandi.

Gögn frá Cisco Systems sýna að 72% fyrirtækja hafa miklar áhyggjur af persónuvernd gagna þegar kemur að gervigreind [2]. Á Íslandi hefur Persónuvernd ítrekað bent á að ábyrgðaraðilar verði að sýna fram á virka stjórn á öllum vinnslustigum. Það er ekki nóg að „eiga“ vélbúnaðinn; raunverulegt öryggi krefst stöðugrar vöktunar og skilnings á því að hver nýr tengipunktur er hugsanleg árásarleið. Þetta er sérstaklega mikilvægt þar sem kerfi eru oft samtengd mörgum mismunandi módelum og þjónustum.

Frá stjórn yfir í eftirlit:

Hinn raunverulegi kostnaður við sjálfhýsingu Þegar teknar eru ákvarðanir um innleiðingu gervigreindar verður að vega saman þægindi og stjórn. Sjálfhýsing er ekki ókeypis valkostur; hún krefst fjárfestingar í mannauði og tíma.

Meðalkostnaður vegna gagnaleka á heimsvísu er nú 4,88 milljónir USD [3].

Fyrir lítið eða meðalstórt fyrirtæki getur slíkt atvik verið banvænt, sérstaklega þegar tekið er tillit til þess að 74% allra gagnaleka í fyrirtækjum tengjast mannlegum þáttum [4]. Þetta þýðir að það er ekki tæknin sjálf sem bilar oftast, heldur vinnubrögð fólksins sem stýrir henni.

Hér að neðan má sjá samanburð á mismunandi nálgunum við hýsingu gervigreindargátta: | Mælikvarði | Miðlæg skýjalausn | Sjálfhýst gervigreindargátt | Staðbundin vélbúnaðarhýsing |

|:--- |:---: |:---: |:---: |

| Uppsetningartími (mínútur) | 5-10 | 60-120 | 1440+ |

| Mánaðarlegur rekstrarkostnaður (EUR) | 500-1000 | 50-150 | 2000+ |

| Einkunn fyrir fylgni við reglur (1-10) | 6 | 10 | 9 |

| Svartími API (ms) | 150-300 | 30-80 | 10-25 |

| Uppitími (%) | 99,99 | 98,5 | 95,0 |

| Tíðni öryggisuppfærslna (fjöldi/mán) | 10-20 | 2-5 | 1-2 | Eins og taflan sýnir, þá vinna miðlægar lausnir þegar kemur að uppitíma og hraða innleiðingar.

Fyrir fyrirtæki sem hafa ekki tök á að reka eigið öryggisteymi 24/7, getur skýjalausn verið öruggari kostur þrátt fyrir minni stjórn.

Hins vegar veitir sjálfhýsing yfirburði í svartíma og regluvörslu, sem er lykilatriði fyrir fyrirtæki sem starfa samkvæmt ströngum kröfum eins og þeim sem settar eru fram í EU AI Act, þar sem sektir geta numið allt að 35 milljónum EUR [5]. Sjálfhýst gervigreindargátt (Self-hosted AI Gateway) er miðlægur stjórnunarstaður sem hýstur er innan eigin innviða fyrirtækis til að stýra, fylgjast með og tryggja samskipti milli innri forrita og ýmissa gervigreindarmódela án utanaðkomandi hýsingar.

Samkvæmt skýrslu Verizon Business tengjast flestir gagnalekar því að notendur fylgi ekki settum öryggisferlum [4]. Þetta þýðir að tæknilega lausnin sjálf er sjaldan veikasti hlekkurinn; það er hvernig hún er rekin og hver hefur aðgang að henni. Í íslensku samhengi þýðir þetta að jafnvel þótt gögnin séu geymd hjá innlendum hýsingaraðila eða á eigin netþjónum, dregur það ekki úr kröfum um herðingu kerfa. Þvert á móti eykst þörfin á sértækri tækniþekkingu innanlands til að bregðast við flóknum ógnum sem herja á sjálfstæða innviði.

Rekstur á eigin gátt krefst stöðugrar árvekni, prófunar á innbrotum og skipulagðrar vöktunar sem mörg smærri fyrirtæki vanmeta í upphafi vegna einfaldleika nútíma hugbúnaðaruppsetninga.

Þrjú dýrkeyptustu mistökin

við sjálfhýsta gervigreind Við greiningu á öryggisatvikum hjá fyrirtækjum sem hýsa eigin lausnir koma ákveðin mynstur í ljós. Þessi mistök eru oft afleiðing af of miklu trausti á tæknina og of litlu trausti á stjórnunarferla. 1. Hunsun á öryggisuppfærslum og umsjón með öryggisplástrum: Margir telja að þegar kerfið er komið í gang sé verkinu lokið.

Hins vegar koma nýir veikleikar í ljós daglega. Án sjálfvirks ferlis til að bregðast við þessu, verður kerfið fljótt að skotmarki. Þetta er sérstaklega hættulegt í gervigreindarumhverfi þar sem veikleikar í undirliggjandi bókasöfnum geta verið notaðir til að stela módelum eða gögnum.

• Hunsun á gagnaafritun og endurheimtaráætlunum: Þótt gögnin séu á þínum vélum, eru þau ekki ónæm fyrir spilliforritum eða vélbúnaðarbilunum. Ef þú hefur ekki prófað endurheimt gagna á síðustu sex mánuðum, áttu í raun ekkert afrit. Margir gleyma því að gervigreindargáttir geyma oft mikilvægar stillingar og söguleg gögn sem eru ómissandi fyrir daglegan rekstur.
• Óreiða í réttindastýringu eða vöntun á aðgangsstýringu: Of ríkuleg réttindi til notenda og forrita eru ein algengasta orsök þess að lítilsháttar innbrot verður að stórfelldum gagnaleka. Meginreglan um lágmarksréttindi er oft fórnað fyrir „þægindi“ við forritun, sem skilur kerfið eftir berskjaldað ef einn aðgangur komst í rangar hendur. Þessi mistök draga úr þeim ávinningi sem sjálfhýsing á að veita. Án strangs aga í rekstri er betra að nýta sér þjónustu sem sérhæfir sig í öryggisviðhaldi. --- Áætlað er að notkun gervigreindar í fyrirtækjum muni halda áfram að aukast hratt á næstu árum. Sérfræðingar Deloitte Global spá því að eftirspurn eftir öruggum innviðum muni halda áfram að vaxa þar sem 66% fyrirtækja segja gervigreind þegar hafa aukið framleiðni þeirra [6]. Þetta þýðir að þrýstingurinn á örugga hýsingu mun aðeins aukast. Fyrir Arnar í Reykjavík var þetta lærdómsrík reynsla. Hann áttaði sig á því að sjálfhýst gátt er lifandi kerfi sem krefst sömu athygli og dýrmætustu eignir fyrirtækisins. Hann innleiddi loks stranga stýringu á öryggisuppfærslum og skerti aðgangsheimildir verulega. Þótt kerfið sé nú flóknara í rekstri, gefur það honum það raunverulega öryggi sem hann sóttist eftir í upphafi, en með fullri meðvitund um þá ábyrgð sem fylgir því að vera eigin skipstjóri á tæknihafinu.

Heimildir

[1] https://hai.stanford.edu/ai-index/2025-ai-index-report -- Skýrsla Stanford HAI sýnir að 78 prósent fyrirtækja hafi tekið upp gervigreind árið 2024

[2] https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html -- Gögn sýna að 72 prósent fyrirtækja telja persónuvernd vera helstu áhættuna við notkun gervigreindar

[3] https://www.ibm.com/reports/data-breach -- Meðalkostnaður vegna hvers gagnaleka á heimsvísu er 4,88 milljónir USD árið 2024

[4] https://www.verizon.com/business/resources/reports/dbir/ -- Rannsóknir sýna að 74 prósent gagnaleka hjá fyrirtækjum megi rekja til mannlegra mistaka

[5] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai -- Hámarkssektir samkvæmt gervigreindarlögum ESB geta numið 35 milljónum EUR

[6] https://www.deloitte.com/us/en/about/press-room/state-of-ai-report-2026. html -- Deloitte skýrsla sýnir að 66 prósent fyrirtækja tilkynna um aukna framleiðni vegna gervigreindar