Google ber offentlig sektor bygge AI-klar sikkerhet

Google Cloud retter en ganske direkte beskjed mot offentlig sektor: AI kan ikke legges oppå gamle sikkerhetsprogrammer og håpes inn i kontroll. Sikkerheten må bygges om for en virkelighet der angrep, analyse og respons skjer i maskinfart.

I et nytt innlegg fra Google Clouds Office of the CISO skriver Usman Chaudhary, Field CISO for Google Public Sector, at offentlige virksomheter, kritisk industri og grunnleggende samfunnsfunksjoner står i en krevende kombinasjon: gamle fagsystemer, industrielle kontrollsystemer, kommunale databaser og et politisk press for å ta i bruk AI raskt. Det er akkurat denne kombinasjonen som gjør saken relevant også i Norge.

Dette handler ikke om en ny sikkerhetsmodul. Det handler om hvordan ledelsen prioriterer risiko når AI flytter tempoet i både drift og angrep. Google peker på at virksomheter ikke kan lene seg på reaktiv sikkerhet alene. Når administrativt sikkerhetsarbeid blir automatisert, må CISO og CIO bruke kapasiteten på bedre sikkerhetsposisjon, proaktiv jakt og tettere kobling mellom sikkerhet, drift og virksomhetskritiske tjenester.

For norske kommuner, helseforetak, energiselskaper og statlige etater er dette en praktisk styringssak. Mange sitter med systemer som ikke er laget for agentbasert tilgang, store språkmodeller, automatisert saksbehandling eller kontinuerlig analyse på tvers av datakilder. Hvis AI kobles på uten en tydelig sikkerhetsmodell, får virksomheten ikke bare mer effektivitet. Den får også nye veier inn i data, nye feilmodi og flere beslutninger som blir vanskelige å etterprøve.

Google beskriver en trinnvis plan for de første 90 dagene, de første seks månedene og perioden seks til tolv måneder. Det viktigste poenget er ikke at alle skal kjøpe Googles stack. Poenget er at AI-sikkerhet må inn i styringshjulet nå. Rapportering til styre og toppledelse må oversette tekniske målinger til økonomisk og operasjonell risiko. Leverandørstyring må se på overlapp, kontrakter og faktisk sikkerhetsverdi. Sikkerhetsteam må bruke AI der det reduserer manuelt arbeid, men samtidig holde fast ved validering, tilgangsstyring og kontroll med dataflyt.

Dette treffer særlig offentlig sektor fordi AI ofte blir solgt inn som en snarvei rundt kapasitetsproblemer. Saksbehandling, dokumentanalyse, innbyggerdialog og intern støtte er opplagte bruksområder. Men offentlig sektor har også strengere krav til innsyn, arkiv, personvern, beredskap og likebehandling. Når en modell eller agent bidrar i en prosess, må virksomheten kunne forklare hvilken informasjon som ble brukt, hvem som hadde tilgang, hva som ble logget, og hvordan feil kan oppdages.

For styret og toppledelsen er den konkrete oppgaven å be om tre ting. Først: en oversikt over hvor AI allerede brukes i sikkerhet, drift og saksprosesser. Deretter: en risikovurdering av systemene der AI kan få tilgang til sensitive data eller kritisk drift. Til slutt: en plan for hvordan sikkerhetsorganisasjonen skal bruke AI uten å miste kontroll over identitet, logging, leverandører og beslutningsgrunnlag.

Det er lett å gjøre dette til en teknologidebatt. Det er feil inngang. AI-klar sikkerhet er en modenhetstest for hele virksomheten. Den avslører om dataeierskap, tilgangsstyring, hendelseshåndtering, leverandørkontroll og ledelsesrapportering faktisk henger sammen. Hvis svaret er nei, vil AI forsterke rotet.

Google har en kommersiell interesse i å dra offentlig sektor mot egne AI- og sikkerhetsprodukter. Det må leses inn i kilden. Likevel er kjernen i rådet nøktern: virksomheter som tar AI inn i kritiske arbeidsprosesser må styre sikkerheten før tempoet øker. For norske CIO-er og CISO-er er dette en sak som bør inn i høstens risikogjennomgang, ikke i en innovasjonspresentasjon på siden.

Kilder og medier

Primærkilde: Google Cloud Blog, «Cloud CISO Perspectives: How to build an AI-ready security program for the public sector», publisert 29. mai 2026. source_url: https://cloud.google.com/blog/products/identity-security/cloud-ciso-perspectives-how-to-build-an-ai-ready-security-program-for-the-public-sector Kildekreditering: Google Cloud Blog. Thumbnail: OpenAI Image 2 / hogby.ai