Ingen har nog undgått rubrikerna om Anthropics nya AI-modell Claude Mythos. Anledningen till uppståndelsen är att modellen sägs vara ovanligt kraftfull, och i tester har den visat sig kunna hitta och utnyttja säkerhetshål i mjukvara på en nivå som tidigare krävt toppkompetens. Anthropic har valt att hålla modellen stängd för allmänheten.
Debatten kring säkerhetsrisker med kraftfulla AI-verktyg har hittills i stor utsträckning förts inom teknikbranschen. Men enligt Kaj Winther, chef digital utveckling på Fastighetsägarna Stockholm, och Nicklas Walldan, säkerhetsskyddschef på Vasakronan, har fastighetssektorn lika stor anledning att kolla över sin AI-säkerhet.
[ Annons ]
– Branschen ligger lite efter andra industrier när det kommer till digital mognad generellt. Och med AI förstärks det som redan finns, har man inte ordning på sin digitala infrastruktur från början drar det i väg i all oändlighet. Där ligger riskerna, säger Kaj Winther.
I branschorganisationen Fastigos enkät från 2024 uppgav 75 procent av de tillfrågade fastighetsbolagen att de ser säkerhetsutmaningar som en negativ effekt av AI. Ändå saknade 90 procent en policy på området.
Samtidigt används AI i allt större utsträckning i branschen.
Kaj Winther beskriver ett vanligt scenario där en medarbetare laddar upp ett internt dokument i ett AI-verktyg för att snygga till en presentation utan att förstå att det hamnar i ett moln utanför företagets väggar.
– Personalen förstår inte att de faktiskt delar informationen med omvärlden. Där behövs styrning från bolagen som visar vad man faktiskt får dela med de här agenterna, säger Kaj Winther.
Nicklas Walldan beskriver det som en fråga om grundordning snarare än teknik.
– För oss handlar det mindre om AI som teknik och mer om hur den kopplas till data och system. AI förstärker det som redan finns. Har man ordning på data, behörigheter och ansvar funkar det bra – annars riskerar man att skala problem. För branschen är det här en växande fråga i takt med att AI kopplas närmare fastigheternas tekniska system, säger han.
De största riskerna uppstår enligt honom när AI används utan tillräcklig kontroll.
– Det kan handla om känslig data som läcker, system som blir mer sårbara eller beslut som fattas på felaktiga underlag. I förlängningen kan det bli både en affärsrisk och en samhällsrisk, säger Nicklas Walldan.
På branschnivå behövs mer gemensam samsyn kring säkerhet och robusthet
Kaj Winther pekar också på ett perspektiv som sällan diskuteras öppet, där Sverige sticker ut. Nämligen att Sverige är det land där företag betalar mest lösensummor vid ransomware-attacker.
– Det är en skampåle. Och trots att man betalar är det ingen garanti för att man får tillbaka sin data. De har ju redan uppgifterna.
Vad behöver göras då? Nicklas Walldan menar att varje aktör måste börja hemma.
– Varje aktör behöver ha koll på sin data, sitt ansvar och sina leverantörer. På branschnivå behövs mer gemensam samsyn kring säkerhet, ansvar och robusthet. AI ger stora möjligheter – men vi får inte kompromissa med säkerhet, integritet eller vår roll som pålitlig och ansvarstagande aktör, säger han.
Kaj Winther ser också ett strukturellt problem i att de stora aktörerna faktiskt är medvetna om risker och hur man bör handskas med AI, samtidigt som de representerar en väldigt liten del av det faktiska fastighetsbeståndet i Sverige. Den stora bulken av branschen är långt ifrån framkanten.
– Kliver man ner från topp 50-listan finns det nästan ingen mognad eller kunskap alls. Man köper produkter för att en styrelse eller ledning säger det, men det finns ingen samordnande kraft och ingen ordning i teknikstacken.
Han drar en jämförelse med hur GDPR rullade ut i Sverige, där många bolag också avvaktade och tittade på varandra, i hopp om att slippa undan. Nu är de flesta bolag någorlunda i kapp med GDPR. Men det tog tid, och det är samma mönster han nu ser med säkerhetsfrågorna.
– Det är sällan man som företrädare för en branschorganisation välkomnar ny lagstiftning som träffar våra medlemmar men det kommer ganska mycket klokt från EU-håll beträffande cybersäkerhet och AI nu. Tyvärr är sådana krav de incitament som tar mer skruv än självbevarelsedriften när det gäller frågor som många tycker är komplexa, säger Kaj Winther.
