Hur du skyddar dina företagsfiler från AI-säkerhetshot

AI är här för att stanna, och företag har precis börjat ta reda på hur de ska utnyttja dess kraft för att driva sin verksamhet. Varje dag skyndar sig företag att integrera AI i otaliga arbetsflöden: Det används för att sammanfatta dokument, automatisera rapporter, skapa prediktiv analys och leverera support med chattbotar. Dessa förändringar sker snabbt och öppnar nya dörrar för företag stora och små, men dessa förändringar utsätter också potentiellt företagens värdefulla proprietära data för nya risker.

När företag gör sin konfidentiella information tillgänglig för AI är det inte alltid klart om denna information kan återanvändas eller indexeras av stora språkmodeller (LLM) som träningsdata. Det finns också många exempel på känslig information som oavsiktligt exponerats av AI-verktyg. Dessa är inte bara integritetsbekymmer; de är säkerhetsrisker som alla företag måste överväga innan de använder AI-verktyg på sina lagrade filer.

Hur AI kan utsätta dina filer för risker utan att du vet om det

AI har utvecklats och spridits i en exponentiell takt. Medan de flesta människor är mest bekanta med chattbotarna, som ChatGPT eller Claude, har Big Tech integrerat generativa AI-system som kan mata in, indexera och sammanfatta innehåll i kalkylblads-, dokument- och e-posttjänster. Denna integration ger kraftfulla funktioner, men den introducerar betydande risker som få människor är medvetna om.

Enligt en AI-säkerhetsundersökning från 2025(nytt fönster) fick Microsoft Copilot – som är inbäddat i verktyg som Excel, Word och SharePoint – åtkomst till nästan 3 miljoner känsliga poster per organisation under första halvåret ensamt. Den fann också att organisationer i genomsnitt hade mer än 3 000 interaktioner med Copilot där känslig affärsinformation kunde ha exponerats. Och en Google-studie sa att 90 % av arbetarna(nytt fönster) inom teknikindustrin använder AI för att skriva eller modifiera kod. Även om dessa siffror är uppblåsta måste organisationer räkna in AI-verktyg i sin hotmodell.

Detta är en ny typ av säkerhetsrisk. Dessa filer delades inte externt. Faktum är att de kanske inte har delats alls. Men eftersom de lagrades i filer som Copilot kunde få åtkomst till, kunde informationen de innehåller ha samlats in utan att användarna insåg det.

Detta kan få allvarliga konsekvenser. Polisen i Schweiz(nytt fönster) (källa på franska) och FBI i USA(nytt fönster) har redan befunnits använda ChatGPT-loggar som en del av sina utredningar. Om Big Tech-företag är ett exempel kan du förvänta dig att AI-företag snart kommer att ta emot hundratusentals databegäranden från USA:s och EU:s regeringar, om de inte redan gör det.

Säker datalagring är otroligt svårt när AI-verktyg är så djupt inbäddade i de applikationer du använder varje dag. Filer som lagras i företags-drives blir sökbara, sammanfattningsbara och i slutändan sårbara, vilket suddar ut de traditionella säkerhetskoncepten för åtkomst, behörighet och tillsyn.

Hur är det med Google Workspace & Gemini?

Dessa risker är inte begränsade till Microsoft Copilot. Google Workspace integrerar på liknande sätt sitt AI-verktyg, Gemini, direkt i Drive, Sheets och Docs.

Många företag kommer sannolikt att se på Google Workspace med Gemini-integration som en stark standard. Enligt Googles egen webbplats(nytt fönster): ”Dina data granskas inte av människor eller används för generativ AI-modellträning utanför din domän utan tillstånd.”

De regler som Google använder för att ta information för att träna sitt AI-system beskrivs dock på ett sätt som skapar en gråzon och väcker frågor:

• Google använder nu faktiskt konsumentchattar och filuppladdningar för att träna Gemini som standard om man inte valt bort det.
• Google Geminis(nytt fönster) supportsidor varnar för att information som delas med dess Gemini-appar kommer att granskas av människor och kan användas som en datauppsättning för att träna AI.
• I sin integritetsförklaring för Gemini varnar Google användare(nytt fönster) för att inte dela konfidentiell information.
• Företagsdokumentation lämnar utrymme för tolkning med fraser som ”utan tillstånd”.
• Säkerhetsleverantörer har flaggat för förhållanden under vilka företagsdata skulle kunna bli träningsindata, särskilt när AI-funktioner blir mer tätt integrerade i fillagring, sökning och arbetsflödesverktyg.

Denna brist på tydlighet är oroande när Gemini är integrerat i Drive, Docs och Sheets. Det är inte bara en fråga om felaktig delning av filer, utan om hur dessa filer oavsiktligt blir en del av AI-arbetsflöden. Hur kommer AI:n att mata in, indexera, analysera och lagra uppmaningar eller utdata, och kommer dessa loggar fortfarande att vara under din organisations kontroll?

Även ett välstyrt system som Google Workspace är icke-privat och closed-source. Sådana system kan mildra många risker, men för företag som innehar mycket känsliga data kan den nivå av förtroende som krävs fortfarande vara för hög.

Hur du hittar en privat AI för ditt företag

Varje fil du laddar upp till eller delar med ett AI-aktiverat system utökar din attackyta. Att helt enkelt ladda upp filer till molnlagring kan exponera dessa filer för AI-träning, beroende på din tjänst och ditt paket. Om dessa uppladdningar behålls, indexeras eller är tillgängliga på sätt som du inte är medveten om eller inte kan kontrollera, är ditt proprietära värde i fara.

Innan ditt företag väljer ett AI-verktyg bör du fråga om du kan garantera att det eller dess fillagringssystem inte kommer att behålla eller exponera kritiska data.

Här är två konkreta krav du bör ställa på alla affärs-AI-verktyg:

• Noll datalagring: AI-systemet bör inte logga eller lagra uppmaningar, svar eller filuppladdningar utöver affärssessionen om det inte uttryckligen krävs – och dessa loggar bör vara under ditt företags fulla kontroll.
• Ingen extern träning: Ditt företags data (inklusive lagrade filer) får inte användas för att träna andra modeller utanför affärsdomänen eller delas över hyresgäster.

Vad du kan göra nu

Innan du kan välja rätt verktyg måste du bedöma din situation och se till att du inte oavsiktligt exponerar känsliga data redan:

• Genomför en riskauditering av AI-fillagring: Identifiera alla delade drives, teammappar och molnlagring där AI-verktyg ansluter, och kartlägg sedan vilka verktyg som matar in eller indexerar dessa filer.
• Definiera en tydlig styrningspolicy för filinmatning i AI: Specificera vilka AI-verktyg som är godkända, vilka filtyper som är tillåtna, om indexering av förvaringsfiler är avstängd osv.
• Kräv en leverantör/lösning som erbjuder privat AI med stränga kontroller: Välj en AI-assistent som erbjuder ”inga loggar, ingen träning, ingen delning” som baslinje.
• Övervaka och begränsa ”skugg-AI”, eller enskilda medlemmar i ditt team som använder AI utanför ditt säkerhetsteams ramverk, och obehöriga filuppladdningar till AI-verktyg. Tvinga fram via metoder för förebyggande av dataförlust samt identitets- och åtkomsthantering såväl som granskningsloggning.
• Välj en leverantör vars affärsmodell inte bygger på att sälja eller utvinna data. Detta säkerställer att dess incitament alltid överensstämmer med att hålla dina data säkra.

Proton erbjuder AI:s produktivitet utan risken

Inget företag vill ovetande lämna över sin känsliga information. Det är därför Proton for Business-verktygen är byggda kring kraftfull kryptering som ger dig kontroll över vem som kan få åtkomst till din information.

Proton Drive använder end-to-end-kryptering på alla dina filer, så ingen, inte ens Proton, kan få åtkomst till dem om du inte delar dem. Detta förhindrar att dina filer någonsin exponeras för eller används för att träna AI. Proton Drive ger dig också möjligheten att lösenordsskydda delningslänkar eller stänga av åtkomst med ett enda klick, vilket innebär att du behåller kontrollen.

Vi byggde också Lumo for Business, en privat AI-assistent som bara arbetar för dig, inte tvärtom. Utan loggar och med varje chatt och fil du laddar upp krypterad, håller Lumo dina konversationer konfidentiella och dina data helt under din kontroll – aldrig delade, sålda eller stulna.

Hos Proton bygger vi alla våra produkter med inbyggd integritet. Företag ska kunna lagra filer och använda AI med förtroende, i vetskap om att deras mest känsliga information förblir skyddad.

I motsats till Big Tech tjänar Proton inte pengar på att sälja dina data. Vi stöds uteslutande av vår community, inte annonsörer, och vår bas i integritetsvänliga Europa ger oss det juridiska skyddet för att säkerställa att vi kan leva upp till våra löften. Viktigast av allt, vi ägs av den ideella Proton Foundation, vars enda uppdrag är att främja integritet och frihet.

Genom att använda Lumo for Business(nytt fönster) kan du njuta av fördelarna med en avancerad AI-assistent utan risken att dina data missbrukas.