Japanske storbanker får OpenAI-modell mot cyberangrep

Japanske storbanker får OpenAI-modell mot cyberangrep

Japans tre største banker ventes å få tilgang til OpenAIs nyeste AI-modell for å styrke forsvaret mot cyberangrep. Det skriver Nikkei Asia. Bankene det gjelder er MUFG Bank, Sumitomo Mitsui Banking Corp. og Mizuho Bank.

Saken er fersk, men den bør ikke leses som en vanlig produktnyhet fra OpenAI. Den peker på noe større: Regulerte banker begynner å behandle de sterkeste AI-modellene som mulig sikkerhetsinfrastruktur, ikke bare som kontorverktøy eller utviklerhjelp.

Nikkei skriver at de japanske storbankene dermed får tilgang til et nytt verktøy ved siden av Claude Mythos, Anthropic-modellen som allerede har utløst betydelig oppmerksomhet i Japan. Det setter OpenAI og Anthropic inn i en mer alvorlig konkurranse enn chatgrensesnitt og utviklerplattformer. De konkurrerer om rollen som maskinrom i cyberforsvar for banker, infrastruktur og stat.

For norske CIO-er, CISO-er og styrer er det verdt å følge tett. Finanssektoren er ofte tidlig ute når nye sikkerhetsmodeller skal industrialiseres. Ikke fordi bankene elsker risiko, men fordi de har penger, angrepsflate og regulatorisk press nok til å teste teknologi andre først møter senere.

Fra assistent til sikkerhetsmotor

Det praktiske spørsmålet er hva en slik modell faktisk skal gjøre i sikkerhetsdrift. Nikkei omtaler tilgangen som et grep for å styrke forsvaret mot cyberangrep. Det kan i praksis bety flere bruksområder: raskere analyse av hendelser, prioritering av varsler, støtte til sårbarhetshåndtering, simulering av angrepsbaner, eller bedre sammenstilling av etterretning på tvers av logger og systemer.

Alt dette er områder der store språkmodeller og agentiske systemer kan gi verdi. De kan lese mye, finne mønstre og hjelpe sikkerhetsteam med å redusere tid fra funn til handling. I banker, der angrep ofte treffer identitet, betalingsinfrastruktur, skyplattformer, leverandørkjeder og interne utviklingsmiljøer samtidig, er tempo en kritisk faktor.

Men det finnes ingen gratis lunsj. Jo tettere en modell kobles på sikkerhetsarbeid, desto mer sensitiv informasjon må den få se. Logger, hendelsesdata, nettverkskart, kildekode, sårbarhetsrapporter og tilgangsstrukturer er ikke vanlige dokumenter. De er en oppskrift på hvordan virksomheten kan angripes hvis de håndteres feil.

Derfor er dette ikke først og fremst et spørsmål om hvilken modell som er smartest. Det er et spørsmål om kontrollplan: datatilgang, isolasjon, revisjon, modellvalg, logging, avgrensning av handlinger og tydelig ansvar mellom bank, leverandør og myndigheter.

Japan viser en mulig retning

Japan har den siste tiden fått en tydeligere AI-sikkerhetsdebatt rundt kraftige modeller for cyberbruk. Nikkei har tidligere omtalt både Anthropic Mythos og japanske myndigheters arbeid med retningslinjer for cyberforsvar. Når OpenAI nå trekkes inn i samme bilde, blir retningen klarere: Frontier-modeller flyttes inn i sikkerhetspolitikk og finansielt risikoregime.

Det er en utvikling Europa og Norge ikke kan betrakte på avstand. EU AI Act, NIS2, DORA og nasjonale krav til kritisk infrastruktur gjør at bruken av AI i sikkerhetsdrift raskt blir et compliance-spørsmål. En bank eller et energiselskap kan ikke bare koble en frontier-modell til sikkerhetsdata og kalle det innovasjon.

De må kunne forklare hvilke data modellen behandler, hvor dataene flyter, hvem som har tilgang, hvilke beslutninger modellen påvirker, og hvordan feil fanges opp. Hvis modellen får agentiske evner, som å foreslå eller utløse tiltak, blir kravene enda strengere.

Det er her OpenAI-saken blir relevant for norske virksomheter. Ikke fordi alle skal kopiere de japanske bankene, men fordi de viser hvor markedet beveger seg. AI-leverandører vil selge sikkerhetskapasitet. Banker og store virksomheter vil kjøpe fart. Tilsyn og styrer vil kreve dokumentasjon.

Hva norske CISO-er bør avklare før de følger etter

Før norske virksomheter tar inn tilsvarende modeller i sikkerhetsdrift, bør de stille fem konkrete spørsmål.

Først: Hvilke data får modellen se? Det må skilles mellom åpne trusseldata, interne logger, kildekode, identitetsdata og forretningskritisk arkitektur. Alt kan ikke behandles likt.

Andre spørsmål: Hvor kjører modellen, og hvem kan få tilgang til input og output? For finans og kritisk infrastruktur holder det sjelden med løfter på markedsføringsnivå. Det trengs kontrakter, databehandleravtaler, tekniske kontroller og revisjonsmuligheter.

Tredje spørsmål: Hvilke handlinger kan modellen påvirke? Analyse og anbefaling er én ting. Automatisk blokkering, patching, kontoendringer eller endringer i produksjon er en annen risikoklasse.

Fjerde spørsmål: Hvordan måles kvalitet? En sikkerhetsmodell som høres trygg ut, men gir mange falske positive eller overser viktige hendelser, kan gjøre teamet tregere. Testsett, røde lag, evalueringsløp og etterkontroll må på plass.

Femte spørsmål: Hvordan unngår virksomheten leverandørlås? Hvis sikkerhetsoperasjonen etter hvert er bygget rundt én modellfamilie, én plattform og én leverandørs tolkning av risiko, blir bytte- og revisjonskostnaden høy.

Et tidlig varsel om neste konkurranse

OpenAI har lenge blitt målt på forbrukerprodukter, API-bruk og utvikleradopsjon. Denne saken peker mot en annen konkurranseflate: hvem som blir godkjent, betrodd og integrert i sikkerhetsarbeidet til regulerte virksomheter.

For bankene kan gevinsten være raskere deteksjon, bedre analyse og mer effektiv respons. For leverandørene er premien langt større. Får en AI-leverandør fotfeste i sikkerhetsdrift, blir den en del av virksomhetens risikostyring. Det er en mye tyngre posisjon enn å være et skriveverktøy på toppen av Microsoft 365.

Norske ledere bør derfor se på Japan som et tidlig testmarked. Spørsmålet er ikke om AI-modeller kommer inn i SOC, sårbarhetshåndtering og hendelsesrespons. Det skjer allerede. Spørsmålet er om virksomhetene rekker å bygge styringen før modellene får mer tilgang enn organisasjonen egentlig forstår.

Kilder og medier

Primær-/top-tier-kilde: Nikkei Asia, “Top Japanese banks to use OpenAI's new model against cyberattacks”, publisert 29. mai 2026: https://asia.nikkei.com/business/technology/artificial-intelligence/top-japanese-banks-to-use-openai-s-new-model-against-cyberattacks

Kildekreditering: Nikkei Asia.

Thumbnail: OpenAI Image 2 / hogby.ai.