Tekoälyn tietoturva on johtamiskysymys

Tämä on monelle organisaatiolle tuttu rooli: henkilöstö hyödyntää ChatGPT:tä, Copilotia tai muita AI-työkaluja sisällöntuotantoon, tiedonhakuun, analysointiin ja ideointiin. Riskinä ei ole kyberhyökkäys, vaan se, että palveluun syötetään tietoa, jota sinne ei pitäisi päätyä. Henkilötiedot, luottamuksellinen asiakasdata, sopimukset, sisäiset muistiot tai muut salaisuudet voivat vuotaa väärään paikkaan jo pelkästään huolimattoman käytön seurauksena. Lisäksi tekoäly voi tuottaa hyvin vakuuttavaa mutta kuitenkin virheellistä sisältöä.

Siksi olennaista ei ole vain parhaan tehokkuuden saavuttaminen, vaan tarve ohjeistaa, kouluttaa ja valvoa tekoälyn asianmukaista käyttöä. Jokaisessa organisaatiossa tulisi olla selkeät linjaukset siitä, mitä eri tekoälypalveluihin saa syöttää ja mihin käyttötarkoituksiin niitä voi hyödyntää. Jo tekoälyasetus vaatii tekoälylukutaitoa kaikilta sitä käyttäviltä ja hyödyntäviltä henkilöiltä.

Kun organisaatio ostaa ohjelmiston, laitteen tai palvelun, jossa tekoäly on osa ratkaisua, kyse ei ole vain uusien ominaisuuksien hankinnasta. Hankinnan myötä saadaan myös uusia riippuvuuksia ja riskejä. Missä dataa käsitellään? Käytetäänkö sitä mallin kouluttamiseen? Miten käyttöoikeudet, lokitus ja päivitykset on hoidettu? Entä mitä tapahtuu, jos tekoäly tekee virheen tai toimii odottamattomasti? Tärkeää on tunnistaa myös mahdollinen tekoälyn varjokäyttö. Organisaatio on aina lopulta itse vastuussa käyttämistään tekoälypalveluista ja niiden mahdollisesti aiheuttamista ongelmista. Tekoälyhankinta on siis myös tietoturva-, sopimus- ja riskienhallintakysymys.

Tämä koskee sekä organisaatioita, jotka rakentavat omia AI-ratkaisuja, että niitä, jotka käyttävät tekoälyä ohjelmistokehityksen tukena. Kehittäjien työssä riskit kohdistuvat esimerkiksi lähdekoodin, arkkitehtuurin, rajapintojen, tietokantarakenteiden ja salaisuuksien suojaamiseen. Kyse onkin usein yrityksen tai sen asiakkaiden IPR:n hallintaan liittyvistä asioista.

Myös tekoälyn tuottama koodi voi sisältää haavoittuvuuksia, virheitä tai lisenssiriskejä. Kehittäjän roolissa keskeistä onkin, että tekoälyä ei käytetä oikotienä tehokkaaseen ohjelmistokehitykseen, vaan osana hallittua kehitysprosessia. Esimerkiksi muutosten jäljitettävyys on olennainen osa turvallista ohjelmistokehitystä myös tekoälyä hyödynnettäessä. Kehitystyössä ratkaisevaa on, miten tiedot suojataan ja miten tekoälyä käytetään osana turvallista ohjelmistokehitystä ilman, että tarvittavat kontrollit ohitetaan tehokkuuden nimissä.

Yritysjohdon näkökulmasta ydinkysymys on lopulta yksinkertainen: onko organisaatio tunnistanut, missä rooleissa se tekoälyä hyödyntää ja mitä riskejä kuhunkin rooliin liittyy? Tekoälyn tietoturva ei ole vain IT:n tai kehittäjien asia, vaan johtamisen, hankintojen, sopimusten ja kokonaisvaltaisen osaamisen kysymys. Organisaatio, joka tunnistaa oman roolinsa käyttäjänä, hankkijana ja kehittäjänä, pystyy hyödyntämään tekoälyä huomattavasti turvallisemmin kuin se, joka näkee asian vain uutena tehokkuuden välineenä.

Varmista nämä kolme asiaa

Tekoälyn tietoturva ei ala käytetystä teknologiasta vaan arkisista asioista: mitä tietoja syötämme, mihin kaikkialle tekoäly pääsee ja mitä se saa tehdä. Kun nämä kolme asiaa ovat selvillä, tekoälyllä saavutetaan hallittavampi tuottavuusloikka.

Aloita tästä: tee näkyväksi, mille datalle ja millä keinoin tekoälyä käytetään, päätä hyväksytyt työkalut ja käyttöehdot, sekä määritä agenttien ja integraatioiden oikeudet “minimiin”. Lopuksi varmista lokitus ja toimintamallit poikkeamia varten, aivan samaan tapaan kuin muussakin tietoturvassa.

​​​​​​​Juttu on julkaistu alun perin toukokuun 2026 Kauppakamari-lehdessä.

Keski-Suomen kauppakamarin jäsenenä voit hyödyntää maksutonta neuvontaa esimerkiksi talous-, laki-, verotus- ja työsuhdeasioissa. Voit lähettää kysymyksesi neuvonta@kskauppakamari.fi tai olla suoraan yhteydessä neuvontapalvelukumppaneihimme.