1. Hjem
  2. /
  3. Kunnskapsbank
  4. /
  5. Vibbekoding: Den usynlige sikkerhetsrisikoen som vokser i norske bedrifter

Vibbekoding: Den usynlige sikkerhetsrisikoen som vokser i norske bedrifter

Vibbekoding (eller vibe coding), som innebærer at ansatte bruker KI-verktøy til å bygge systemer raskt og uten tradisjonell opplæring, har senket terskelen for å lage egne, digitale løsninger. Det som tidligere krevde erfarne utviklere og uker med arbeid, kan nå settes opp av hvem som helst på få timer, ofte uten at den som bygger det fullt ut reviderer og forstår koden som genereres.

Men hastighet og enkelhet har en pris. Mange KI-verktøy er bygget for å være lett å ta i bruk, uten fokus på å ivareta sikkerheten. Det betyr at sikkerhet må konfigureres aktivt og korrekt av den som bygger løsningen. Gjøres dette feil, eller ikke i det hele tatt, kan bedriftens data ligge åpent tilgjengelig på internett for hvem som helst som vet hvor de skal se.

Person skriver kode på en bærbar datamaskin ved et rundt glassbord.

Slik oppstår sikkerhetshullene

I mange bedrifter brukes KI-verktøy til å sette opp dashboards, kundeportaler, CRM-systemer og bestillingsløsninger. Intensjonen er gjerne at resultatet skal være sikkert, og beskyttelse aktiveres for de delene man kjenner til og anser som viktige. Supabase er ett av de mest populære verktøyene til dette formålet. Dette er en database med tilhørende tilkoblinger mot internett, klar til bruk på minutter. Slik utvikling skjer gjerne uten en overordnet strategi for hvordan KI-verktøy skal brukes i virksomheten, noe som er tilfellet i de fleste norske bedrifter i dag.

Men slik oppstår sikkerhetshullene:

  • En ny kolonne med kundedata havner ved en feil i en tabell som er for åpen.

  • En automatisk jobb som henter data fra regnskapssystemet, kjører uten passordbeskyttelse.
  • Et dashboard som ble laget «bare midlertidig» lever videre i årevis.
  • API-nøkler og passord havner i kildekoden, bevisst eller ubevisst.

 

Dr. Tor Gjøsæter, CTO i Nordlo Next

En vanlig fallgruve er at nøkkelen som gir tilgang til dataene følger med i koden som er synlig for alle. Det er som å henge husnøkkelen på utsiden av døren.

Dr. Gjøsæter

– Vi har sett eksempler der sensitive bedriftsdata har ligget helt åpent, tilgjengelig for hvem som helst med litt tid og de rette verktøyene. I ett tilfelle kunne vi konstatere at hele selskapets finansielle historikk, kundedata med betalingsstatus, ansattopplysninger og interne kontrakter lå eksponert, uten innlogging, uten behov for spesiell teknisk kompetanse, og uten at selskapet selv visste det, sier Dr. Gjøsæter.

Faren for automatiserte angrep

Det er en reell risiko for at angripere kan automatisere en prosess der de systematisk leter gjennom tusenvis av bedrifter samtidig.

En kriminell aktør kan:

  1. Skanne internett systematisk etter nettsider og tjenester som bruker usikrede verktøy.  
  2. Sette en KI-agent på hver av dem.
  3. Lagre alle funn: finansdata, kundedata, personopplysninger. 
  4. Vente til selskapet vokser, begynner å tjene penger, eller timingen er riktig.
  5. Kontakte selskapet med dokumentasjon på hva de har funnet, og et krav om betaling for at det ikke skal gå videre.

Når man ser på hvordan hackere opererer, er dette en logisk forlengelse av det som allerede er teknisk mulig i dag, med fritt tilgjengelige verktøy.

Hva bør din bedrift gjøre nå?

 

  • Kartlegge hvilke KI-verktøy som brukes av ansatte og til hvilket formål.
  • Klassifisere dataene deres, få oversikt over hvilke data dere har, hvor de befinner seg og hvor sensitive de er.
  • Kartlegge hvilke data som er tilgjengelige uten innlogging, og om det ligger personopplysninger eksponert.
  • Avklare hvem som har ansvar for sikkerheten i det som er bygget.
  • Få en tredjepart med sikkerhetskompetanse til å gjennomgå systemet for å sikre at det ikke finnes hull.

5 vanlige spørsmål om vibbekoding

 

  • Hva er vibbekoding, og hvorfor er det en sikkerhetsrisiko? Vibbekoding er når ansatte bruker KI-verktøy til å bygge digitale løsninger raskt, ofte uten tradisjonell utviklerkompetanse. Risikoen oppstår fordi sikkerhet må konfigureres aktivt og korrekt, noe som lett blir oversett når tempoet er høyt.
  • Hvordan vet jeg om bedriften min allerede har eksponert data? Det krever som regel en gjennomgang av hvilke KI-verktøy som er i bruk, hvor dataene ligger, og hva som er tilgjengelig uten innlogging. Mange oppdager ikke sårbarheter før en tredjepart med sikkerhetskompetanse vurderer systemet. 
  • Er det bare store bedrifter som er utsatt? Nei. Fordi angripere kan automatisere skanning av tusenvis av virksomheter samtidig, er små og mellomstore bedrifter like utsatt, og ofte mer, fordi de sjeldnere har en strategi for bruk av KI.
  • Hva er de vanligste feilene som fører til eksponering? Typiske fallgruver er API-nøkler og passord i kildekoden, tabeller med for åpne tilganger, automatiserte jobber uten passordbeskyttelse, og «midlertidige» dashbord som blir stående uten oppfølging.
  • Hva bør vi gjøre først dersom vi mistenker en sårbarhet? Start med å kartlegge hvilke verktøy som er i bruk og hvilke data dere har. Deretter bør dere få en tredjepart til å gjennomgå systemet, og avklare hvem som har ansvaret for sikkerheten i det som er bygget.
     

Slik kan vi hjelpe 

Vi i Nordlo kan gjennomføre en kartlegging av hvordan virksomheten bruker vibbekodingsverktøy, og identifisere hvilke data som eventuelt er eksponert. Vi leverer en prioritert handlingsplan og kan gjennomføre tiltakene for dere, fra teknisk gjennomgang og sikker konfigurasjon til opplæring av ansatte og løpende overvåking.

Ta kontakt for en uforpliktende gjennomgang
En person i grå hoodie ler medan hen tittar på en mobiltelefon utomhus.

Abonner på vårt nyhetsbrev!

Slik behandler Nordlo dine personopplysninger og bruker informasjonskapsellignende teknologi

Vi på Nordlo Group AB kommer til å bruke den informasjonen du gir oss for å svare på din henvendelse og for å tilby markedsføringsinformasjon. Vi bruker også informasjonen for å identifisere dine interesser slik at vi kan tilpasse vår kommunikasjon til deg.

Når vi sender nyhetsbrev, bruker vi også informasjonskapsler og personopplysninger for å ytterligere forbedre våre e-postmeldinger. Dette gjøres ved å analysere informasjon om din IP-adresse og dine interaksjoner med våre nyhetsbrev.

Ved å klikke på «send», samtykker du til vår behandling av dine personopplysninger for de nevnte formålene. Å gi ditt samtykke er alltid frivillig, og du kan når som helst trekke tilbake ditt samtykke ved å kontakte oss på info@nordlo.com. Du har også flere andre rettigheter, for eksempel retten til å få tilgang til de personopplysningene vi behandler om deg og retten til å motsette deg til tilpasningen av vår kommunikasjon.

Les mer i vår personvernpolicy og vår informasjonskapselvillkår.

Relaterte artikler

Blogg
Produksjonsindustri og logistikk

OT-sikkerhet innen industri og logistikk: Skjulte angrepsflater du må kjenne til

Read more
Blogg
Sikkerhet

Sikker Microsoft 365: Tre grunnprinsipper for et sikrere M365-miljø

Read more
Blogg
Produksjonsindustri og logistikk
Sky og infrastruktur

Skystrategi for industri og logistikk: Skap kontroll i en tilkoblet virkelighet

Read more
Alle kunnskapsposter

Skalerbar IT for deres virksomhet

Vi tilbyr fleksible og fremtidssikrede løsninger, som er optimalisert for å øke produktiviteten og effektiviteten i deres organisasjon – slik at dere kan fokusere på å drive virksomheten fremover.

  • Fleksibilitet og skalerbarhet
  • Innovative og fremtidssikrede løsninger
  • Sikker drift og overvåking

Denne nettsiden bruker informasjonskapsler og personopplysninger

Når du besøker https://nordlo.com bruker vi på Nordlo Group AB informasjonskapsler og dine personopplysninger. Noen informasjonskapsler og noen behandlinger av personopplysninger er nødvendige, mens du selv velger om du vil samtykke til andre. Du gjør ditt valg nedenfor. Ditt samtykke er helt frivillig.

Du har visse rettigheter, for eksempel retten til å trekke tilbake ditt samtykke og retten til å klage til en tilsynsmyndighet. Les mer i vår informasjonskapselpolicy og personvernpolicy.

Administrer informasjonskapselinnstillingene dine

Informasjonskapsler og personopplysninger som vi benytter til analyser

Check to consent to the use of Informasjonskapsler og personopplysninger som vi benytter til analyser

Vi bruker informasjonskapsler fra analyseverktøyet Google Analytics og HubSpot til å analysere hvordan du bruker nettsidene våre. I tillegg behandler vi personopplysningene dine, blant annet den krypterte IP-adressen din, den geografiske plasseringen din og andre opplysninger om hvordan du bruker nettsidene våre.

Informasjonskapsler og personopplysninger vi bruker til markedsføring

Check to consent to the use of Informasjonskapsler og personopplysninger vi bruker til markedsføring

Vi bruker informasjonskapsler og personopplysningene dine til å vise deg relevant markedsføring og følge opp slik markedsføring når du besøker andre nettsider eller sosiale medier. Dette gjør vi ved hjelp avGoogle,Facebook, HubSpot ogLinkedIn. Personopplysningene vi behandler i forbindelse med markedsføring, er blant annet IP-adressen din, informasjon om hvordan du bruker nettsidene våre, og opplysninger som disse tjenestene allerede har om deg.

Informasjonskapsler for personlig annonsemåling

Check to consent to the use of Informasjonskapsler for personlig annonsemåling

For å vise relevante annonser, plasserer vi informasjonskapsler for å tilpasse annonser for deg.

Informasjonskapsler for tilpassede annonser

Check to consent to the use of Informasjonskapsler for tilpassede annonser

For å vise relevante og personlige annonser, plasserer vi informasjonskapsler for å gi unike tilbud som er tilpasset dine brukerdata.