Close Menu
onsdag, juli 30
Datasäkerhet

Shadow AI -innebär risker för större företag och organisationer

daniel larssonBy Updated:Inga kommentarer10 Mins Read
Kvinna på kvällen framför datorskärm

När säkerhetspolicies skapar större risker i stora företag

CIO:n tittar på de 47 AI-relaterade förfrågningar som kommit in bara denna vecka. Marknadsavdelningen vill köra Lovable och ha bildgenerering och video med AI. HR behöver AI chattbots för att underlätta rekrytering. Finance vill automatisera finansiella rapporter och rapportera CSRD. Svaret blir detsamma till alla: ”Vi undersöker möjligheterna.”

Det betyder oftast nej men det köper tid. Alla vet det.

Samtidigt, tre våningar ned eller hemma på distans från jobbet, sitter en marknadsmedarbetare och matar in företagsdata i ett AI-verktyg hon hittat online. Hon vet att det är emot säkerhetspolicyn. Men kvartalsrapporten ska presenteras imorgon och det effektiviserar arbetstiden med sådär 200%. Dessutom blir det snyggare och bättre skrivet.

Vad är Shadow AI?
Shadow AI är när anställda använder AI-verktyg utan IT-avdelningens vetskap eller godkännande. Namnet kommer från det etablerade begreppet ”Shadow IT” – när medarbetare använder mjukvara eller molntjänster som inte är sanktionerade av företaget.

Välkommen till företagens AI-verklighet 2025.

När policy möter den praktiska verkligheten

Stora företag har spenderat enorma resurser på att skapa nya AI-policies som behöver förändras på nästintill daglig basis. Jurister har analyserat varje tänkbar risk och lär sig om verktyg och begrepp som cookies som de oftast inte känner till. IT har listat förbjudna verktyg. Compliance har skapat processer som skulle göra en byråkrat på en svensk myndighet stolt.

Förbud som inte fungerar långsiktigt

Många stora företag har omfattande AI-policies:

  • ChatGPT blockerat i företagsnätverket
  • GitHub Copilot förbjudet
  • Claude inte tillåtet
  • Alla AI-verktyg kräver särskilt godkännande och stoppas

Dilemmat för företag:

  • Tillåt AI → Risk för dataläckage
  • Förbjud AI → Risk att halka efter
  • Mellanväg → Vem bestämmer vad som är OK?

Men policyn missar en fundamental sanning: affärsbehoven försvinner inte bara för att IT eller legal säger nej. Vi befinner oss mitt i ett teknikskifte. AI-verktyg för kodgenerering är inte längre experimentella leksaker – de är produktionsklara verktyg som konkurrenter redan använder.

”Vi har en 73-sidig AI-policy,” berättar en CISO på ett nordiskt storföretag. ”Den tog 18 månader att ta fram. Men jag kan nästan garantera att den bryts dagligen och den behöver göras om för den börjar bli inaktuell och lagstiftningen ändras dessutom.”

Problemet är inte illvilja. Det är desperation. När IT säger att en enkel automatisering tar sex månader att godkänna hittar användarna andra vägar samtidigt som den nya AI-avdelningen pratar om spännande RAG-modeller och varför man ska använda RAG.

Avdelningarnas krig inom AI

Varje avdelning ser AI genom sitt eget filter och glasögon, och dessa perspektiv krockar konstant.

Legal ser böter och risker överallt. Med AI Act-straff på upp till 7% av global omsättning är deras försiktighet förståelig. En enda felaktig AI-implementation kan kosta mer än hela årsvinsten. Deras respons? Säg nej till allt som inte är 100% säkert.

IT vill ha kontroll. All utveckling ska gå genom dem. Alla verktyg ska godkännas centralt. Alla data ska hanteras enligt etablerade processer. Men IT-avdelningen har sällan resurser eller kompetens att hantera AI-revolutionens hastighet. En stor IT-avdelning består sällan av utvecklare som har jobbat med den senaste AI-tekniken eftersom den ändras på daglig basis.

Försäljningsavdelningar och markandsavdelningar måste leverera. Kvartalsmål väntar inte på compliance-godkännanden. Konkurrenter som använder AI effektivt tar marknadsandelar. Kunderna förväntar sig moderna lösningar. Marknadsavdelningar och försäljningsavdelningar är pressade.

HR och Finance fastnar i mitten. De ser potentialen med AI för sina processer men möts av administrativa murar. Resultatet? De hittar egna kreativa lösningar, inte sällan som man köper av konsulter.

Shadow AI: Det tysta hotet

När officiella kanaler säger nej uppstår ”Shadow AI” – okontrollerad användning av AI-verktyg utanför IT:s radar.

En CFO på ett industriföretag beskriver situationen: ”Jag vet att minst hälften av mina team använder någon form av AI-verktyg. ChatGPT för analys, Claude för rapportskrivning, diverse specialverktyg för forecasting. Officiellt vet jag inget om det.”

Utvecklingsverktyg många IT-avdelningar missar:

  • Cursor (VS Code med AI)
  • Lovable (appar på minuter)
  • v0 by Vercel (AI-genererad frontend)
  • Replit AI (kodning i browsern)

Problemet: Dessa verktyg lämnar inga spår i företagsnätverket. De körs i browsern eller på personliga datorer. Ett annat problem: När IT förbjuder all AI-användning får utvecklare ingen chans att lära sig tekniken säkert.

Shadow AI är farligare än traditionell Shadow IT. När någon använder Dropbox utan tillstånd är risken begränsad. Men när de matar känslig företagsdata in i okända AI-system? Då kan informationen hamna var som helst. Ännu värre om de börjar lägga in API-nycklar i koden.

Men Shadow AI är farligare än traditionell Shadow IT av flera anledningar. När någon använder Dropbox för att dela filer vet vi åtminstone vad som kan gå fel. Med AI är riskerna mer komplexa och oförutsägbara.

Typiska exempel på Shadow AI inkluderar medarbetare som klistrar in känslig företagsdata i ChatGPT för att få hjälp med analys, utvecklare som använder GitHub Copilot på personliga datorer för att koda snabbare, eller marknadsavdelningar som bygger hela kampanjsidor med verktyg som Lovable utan att IT ens vet att verktygen existerar.

Det som gör Shadow AI särskilt problematiskt är hastigheten. En medarbetare kan på minuter bygga en hel applikation som hanterar kunddata, kopplar till företagets API:er och publiceras på nätet – allt utan någon säkerhetsgranskning. När IT-avdelningen upptäcker det veckor eller månader senare kan skadan redan vara skedd.

Ironin är att Shadow AI ofta uppstår just på grund av för strikta säkerhetspolicies. När IT säger att en enkel automatisering tar sex månader att godkänna, hittar frustrerade medarbetare egna lösningar. Ju striktare förbuden, desto mer kreativa blir workarounds.

Det är en ond cirkel: strikta policies driver användning underground, vilket leder till säkerhetsincidenter, vilket leder till ännu striktare policies. Och hela tiden växer klyftan mellan vad företaget tror händer och vad som faktiskt pågår i organisationen.

Compliance-teatern

Många företag har hamnat i vad som bäst kan beskrivas som compliance-teater. Utåt har de imponerande policies och rigorösa processer. I praktiken är det en fasad där man försöker prata mellan de olika avdelningarna.

”Vi hade en stor AI-genomgång förra året,” berättar en CTO. ”Konsulterna kom, gjorde sin analys, levererade rekommendationer. Vi implementerade allt på papperet. Men förändrade det något i praktiken? Knappt.”

Anledningen är enkel: processerna är designade för en värld som inte längre existerar. En värld där teknikutveckling tog år, inte veckor. Där användare väntade tålmodigt på IT:s godkännande.

Riskerna med att inte agera

Verkliga risker med AI-kodgenerering:

  • Känslig data kan hamna i träningsmodeller
  • Genererad kod kan innehålla säkerhetshål
  • IP-rättigheter kan vara oklara
  • Beroendet av externa tjänster

Men också verkliga risker med att inte använda AI:

  • Konkurrenter blir effektivare
  • Talanger söker sig till företag som tillåter modern teknik
  • Innovation stannar av
  • Shadow AI växer okontrollerat

Paradoxen är att överdriven försiktighet skapar större risker än den förhindrar.

När utvecklare inte får använda godkända AI-verktyg testar de icke-godkända hemma. När marknadsavdelningen inte får AI-stöd för kampanjanalys köper de tjänster från okända leverantörer. När finance inte får automatisera rapporter kopierar de manuellt känslig data in i gratisverktyg online.

”Vår säkerhetspolicy har blivit vår största säkerhetsrisk,” sammanfattar en Head of Innovation.

Mellanvägen som få hittar

Några företag börjar hitta balans. De erkänner att AI inte kan stoppas, bara styras. Deras approach är pragmatisk snarare än dogmatisk.

De skapar ”snabbspår” för lågrisk-AI. Enkla användningsfall som inte involverar känslig data kan godkännas på dagar, inte månader. De utbildar användare i säker AI-användning istället för att bara förbjuda. De accepterar att viss risk är oundviklig i innovation.

Men dessa företag är undantag. De flesta fortsätter med förbudspolitik som driver användningen underground.

Utvecklarnas tysta uppror

För utvecklare är situationen särskilt frustrerande. De ser kollegor på andra företag bygga fantastiska lösningar med AI-verktyg som Lovable, Google Gemini. De läser om produktivitetsvinster på 40-50%. Men när de vill prova samma verktyg möts de av administrativa hinder.

”Jag kan koda dubbelt så snabbt med AI-assistans,” säger en senior developer. ”Men företaget säger att det är för riskabelt. Jag kan inte ens kontrollera min egna miljö. Så vad gör jag? Använder det på min privata laptop och för över koden senare.”

Detta är inte bara ineffektivt – det är en säkerhetsmardröm. Kod skriven utanför företagets utvecklingsmiljö, utan versionshantering, utan säkerhetsskanning.

Vägen framåt

Något måste förändras. Företag kan inte fortsätta leva i en värld där deras officiella policies och den faktiska verkligheten är helt frikopplade.

Acceptera realiteten
Lösningen är inte att släppa all kontroll. Men inte heller att försöka stoppa det ostoppbara. Företag behöver policies som erkänner verkligheten: AI är här, medarbetare kommer använda det, frågan är hur vi gör det säkert.

Det kräver en fundamental omvärdering. Från ”hur stoppar vi AI?” till ”hur möjliggör vi säker AI?”. Från perfekta processer som ingen följer till praktiska riktlinjer som faktiskt fungerar.

Som en CEO uttryckte det: ”Vi kan antingen vara den säkraste begravningsplatsen för gamla arbetssätt, eller vi kan acceptera lite risk och faktiskt överleva.”

Skapa säkra sandlådor
En växande grupp företag börjar inse att totalförbud inte fungerar. Istället skapar de kontrollerade sandbox-miljöer där medarbetare kan experimentera med AI-verktyg säkert.

Konceptet är enkelt: separerade nätverk utan tillgång till känslig företagsdata. Här kan marknadsavdelningen testa Lovable, utvecklare kan köra GitHub Copilot, och HR kan experimentera med AI-chattbots. All data i sandboxen är antingen syntetisk eller redan publik. Inga riktiga kunduppgifter, inga affärshemligheter, inga API-nycklar till produktionssystem.

Fördelarna är uppenbara. Medarbetare får utforska och lära sig nya verktyg. IT får insyn i vad som faktiskt används och efterfrågas. När något visar sig värdefullt kan det lyftas ur sandboxen och implementeras säkert i produktionsmiljön.

Men det kräver en kulturförändring. IT måste gå från att vara grindvakter till möjliggörare. ”Ja, men i sandboxen först” blir det nya mantrat istället för blankt nej.

Tekniskt är det inte heller raketforskning. Moderna molnlösningar gör det relativt enkelt att skapa isolerade miljöer. Kostnaden är minimal jämfört med riskerna av okontrollerad Shadow AI. Och medarbetare uppskattar att företaget faktiskt lyssnar på deras behov.

Några företag går steget längre och skapar ”AI-labb” – fysiska eller virtuella utrymmen där olika avdelningar kan samarbeta kring AI-experiment under IT:s överinseende. Det blir en mötesplats mellan innovation och säkerhet. Alla AI-verktyg är inte lika riskabla och man kan ha en differentierad policy med olika risknivå på de olika AI verktygen. Det är också viktigt med utbildning istället för förbud.

AI-first eller AI-never?

Företag står vid ett vägskäl. De som lyckas kommer vara de som hittar balansen mellan:

  • Säkerhet och innovation
  • Kontroll och flexibilitet
  • Centralisering och autonomi

De som misslyckas kommer antingen:

  • Läcka all sin data genom okontrollerad AI-användning, eller
  • Bli omkörda av konkurrenter som vågade ta steget

Praktiska steg för IT-ledning

  1. Kartlägg nuläget – Vad används redan (officiellt och inofficiellt)?
  2. Definiera riskaptit – Vad är acceptabelt för er organisation?
  3. Skapa pilotprojekt – Testa AI i kontrollerad miljö
  4. Mät och utvärdera – Både risker OCH fördelar
  5. Iterera policyn – Anpassa baserat på erfarenheter

AI-revolutionen händer, med eller utan företagens godkännande. De som inser det och anpassar sig kommer klara sig. De som fortsätter med förbudspolitik kommer vakna upp en dag och upptäcka att världen gått dem förbi.

Och Shadow AI? Den kommer bara växa tills företag inser att det säkraste alternativet är att ge användarna säkra, godkända alternativ. Innan det är för sent.

Källor och vidare läsning

Regelverk och compliance:

  • EU AI Act (Regulation (EU) 2024/1689)
  • GDPR och AI – vägledning från dataskyddsmyndigheter
  • ISO/IEC 23053:2022 – Framework for AI systems

Företagsanalyser:

  • ”Shadow AI in the Enterprise” – Gartner Research
  • ”AI Adoption Under Regulatory Uncertainty” – McKinsey
  • ”The Cost of AI Compliance” – Deloitte

Praktisk vägledning:

  • ”Creating Pragmatic AI Policies” – Harvard Business Review
  • ”Balancing Innovation and Risk in AI” – MIT Sloan
  • ”Enterprise AI Governance Frameworks” – Forrester Research
Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.