• Microsoft 365 Copilot er en kunstig intelligens, der er direkte integreret i Microsoft Office-programmer, SharePoint og Exchange Server.
• Systemet støtter medarbejderne i de daglige opgaver og øger dermed effektiviteten i de forskellige afdelinger hvor AI benyttes.
• Indførelsen af Copilot har signifikant konsekvens for virksomhedernes databeskyttelse og kræver derfor grundig koordinering og vejledning.

Licenseringen af Copilot til Microsoft 365 repræsenterer en betydelig forandring i en virksomheds it-sikkerhedsarkitektur sammenlignet med brugen af ChatGPT, Gemini eller andre AI-assistenter baseret på Large Language Models (LLM). I modsætning til ChatGPT & Copilot, får Copilot ikke bare adgang til foruddefinerede data. Microsoft-værktøjet henter yderligere oplysninger fra internettet og - endnu vigtigere - fra virksomhedens egen database. Copilot bruger f.eks. data fra SharePoint-serveren og kan også få adgang til e-mails, chats og dokumenter via Microsoft Graph. Det betyder, at oplysninger, som tidligere kun var tilgængelige lokalt i de enkelte medarbejderes og gruppers data, også kan være synlige i Copilots svar og indhold.

Microsoft anbefaler selv i Copilot-dokumentationen dokumentation: "Det er vigtigt, at man bruger de tilladelsesmodeller, der er tilgængelige i Microsoft 365-tjenester som SharePoint, til at sikre, at de rigtige brugere eller grupper har den rigtige adgang til det rigtige indhold i din organisation."

Det er ikke nok at tjekke brugernes og gruppernes tilladeser. Andre adgangsveje som gæsteadgang, lokale SharePointrettigheder, delte links og ekstern og offentlig adgang bør også gennemgås nøje.

Bemærk: Folk, der ikke en del af din virksomhed, kan også få adgang til data via delte teams kanaler.

Bemærk: Copilot accepterer ikke nogen etiketter, der er tildelt via Microsoft Purview Information Protection (MPIP) i sine svar. Selvom systemet sikrer, at kun data, der er relevante for den respektive bruger, brugt til AI-genereret indhold, modtager selve svaret ikke en MPIP-etiket.

Overordnet set bør der derfor implementeres en streng need-to-know-politik i virksomheden. Med Copilot er det vigtigere end nogensinde, at medarbejderne kun har adgang til de data, der er relevante for deres respektive opgaver. Det anbefales at implementere en zero-trust-arkitektur baseret på princippet om” least privilege”, eller i det mindste en streng gennemgang af alle adgangstilladelser, hvis dette ikke er muligt.

Microsoft hævder, at både Microsoft 365 og Copilot overholder den generelle forordning om databeskyttelse (GDPR). Det lover virksomheden på sin hjemmeside: "Microsoft Copilot for Microsoft 365 overholder vores eksisterende forpligtelser i forhold til privatlivets fred, sikkerhed og compliance over for Microsoft 365-kommercielle kunder, herunder den generelle forordning om databeskyttelse (GDPR) og Den Europæiske Unions (EU) forordning om databegrænsning."

Den Europæiske Unions Agentur for Cybersikkerhed ENISA, mener imidlertid, at det databeskyttelsestillæg (DPA), som Microsoft tilbyder, ikke i tilstrækkelig grad opfylder kravene i den europæiske databeskyttelseslovgivning. De anbefaler, at virksomheder indgår en yderligere DPA med Microsoft eller i det mindste gennemgår denne nøje.. I bund og grund anbefaler eksperterne: "En tillægsaftale til databeskyttelsesaftalen, der skal indgås mellem den dataansvarlige og Microsoft, bør gøre det klart, at denne tillægsaftale har forrang for alle modstridende kontraktlige tekster, der er inkluderet af Microsoft, og har forrang for disse i tilfælde af en konflikt." Denne tillægsaftale bør blandt andet regulere følgende punkter:

•  Microsofts eget ansvar i forbindelse med databehandling til forretningsaktiviteter, der udløses af levering af produkter og tjenester til kunden,
•  Forpligtelse til at følge instruktioner, videregivelse af behandlede data, opfyldelse af regulativer
•  Implementering af tekniske og organisatoriske foranstaltninger i overensstemmelse med artikel 32 i GDPR.
•  Sletning af personoplysninger
•  Oplysninger om underdatabehandlere.

Hvis sådanne aftaler allerede er indgået eller evalueret, bør de som minimum undergå en ny konsekvensanalyse af databeskyttelsen, som led i udrulningen af Copilot.

Generelt lover Microsoft, at alle data i Microsoft 365-systemet vil blive opbevaret og behandlet inden for EU. I forbindelse med Copilot påpeger virksomheden dog to undtagelser fra dette princip:

•  For eksempel kan en grafbaseret chat være knyttet til webindhold. I dette tilfælde kan en Bing-forespørgsel, der er nødvendig for dette, også indeholde interne virksomhedsdata - og dermed ende hos Microsoft. For at være på den sikre side bør alle Bing-funktioner i Copilot derfor deaktiveres.
•  Der kan også installeres plugins til Copilot. Her anbefaler Microsoft udtrykkeligt at "Gennemgå privatlivspolitikken og vilkårene for anvendelse af plug-ins for at afgøre, hvordan det håndterer din organisations data." Virksomheder, der bruger Copilot, bør derfor generelt ikke tillade plug-ins i systemet eller kræve en separat databeskyttelses- og risikovurdering for hvert plug-in, der bruges.

En undersøgelse i brugen af AI-sprogmodeller i virksomheder konkluderers det, at disse systemer ud over mange fordele også kan rumme nye IT-sikkerhedsrisici eller øge trusselspotentialet for kendte IT-trusler.

Man anbefaler derfor: "Som svar på disse potentielle trusler bør virksomheder eller myndigheder foretage en risikoanalyse for brugen af store AI-sprogmodeller i deres specifikke applikation, før de integrerer dem i deres arbejdsprocesser. De bør også evaluere misbrugsscenarier for at afgøre, om de udgør en trussel mod deres arbejdsgange. På baggrund af dette kan eksisterende sikkerhedsforanstaltninger tilpasses, og om nødvendigt kan der træffes nye foranstaltninger, og brugerne kan informeres om de potentielle ricisi."

Før virksomhederne indfører Copilot-systemet, bør de derfor hurtigst muligt indsamle et overblik over den aktuelle status af deres IT-sikkerhedsarkitektur. Til det formål bør ikke kun Microsoft 365, men også alle andre anvendte programmer, apps, tjenester og plugins kontrolleres. Microsoft anbefaler selv, at man indfører en zero-trust-model for Copilot.

Starten på AI-fremtiden kan ikke besluttes af ledelsen eller IT-afdelingen alene. Da et program som Copilot har en betydelig indvirkning på arbejdsgange og processer, bør et samarbejdsudvalg inddrages i planlægningen af indførelsen eller i selve pilotprojektet.

Da AI-systemerne kan overvåge medarbejdernes præstationer og adfærd, har samarbejdsudvalget ret til medbestemmelse og kan endda kræve, at der indgås en samarbejdsaftale om brugen af AI.

Et af de vigtigste skridt ved indførelsen af Copilot-systemet i Microsoft 365 er nok uddannelsen af medarbejderne. Følgende punkter skal kommunikeres klart og forståeligt til alle dem, der senere skal arbejde med Copilot:

• AI'ens resultater bør aldrig accepteres uden verifikation. Microsoft oplyser selv: "Svarene genereret af generativ AI er ikke garanteret at være 100 % pålidelige." Denne noget bløde formulering betyder, at AI nogle gange opfinder information. Så før man stoler på data fra Copilot, bør de altid kontrolleres af medarbejdere, der er uafhængige af Copilot-systemet. Dette skyldes, at Microsoft kun leverer Copilot-oplysninger som en del af sine kvalitetsretningslinjer og derfor ikke påtager sig noget ansvar for nøjagtigheden af systemets udsagn.
• Brugen af Copilot betyder, at der oprettes et såkaldt semantisk indeks for hver bruger. Det bruges til at skabe fremadrettet indhold, der lyder autentisk og svarer til brugerens stil. For at gøre dette analyserer AI'en brugernes karakteristika og vaner over flere uger.
• I første omgang gemmes alle anmodninger til AI, og kan senere til enhver tid ses af brugeren (og overordnede administratorer) i Copilots interaktionshistorik. Det gælder ikke kun for indtastninger i programmer som Word, PowerPoint eller Excel, men også for teammøder, hvor Copilots automatiske transskriptionsfunktion er aktiveret

Copilot giver fantastiske muligheder: Det forenkler det daglige arbejde, opretter automatisk konferenceoptagelser, designer præsentationer og forbereder data i et letlæseligt format. Men disse muligheder betyder også vidtrækkende indgreb i en virksomheds databeskyttelsesstruktur.

Indførelsen af Copilot-systemet skal derfor planlægges, understøttes og styres på mange niveauer. Kun hvis en virksomhed er fuldt ud forberedt på AI-assistenten, kan den udnytte systemets muligheder fuldt ud. Hvis der på den anden side begås fejl under implementeringen, er der risiko for egentlige databeskyttelseslækager i kontorarkitekturen samt lovgivningsmæssige problemer.