OpenAI gjør KI-cyberforsvar til lederansvar

OpenAI publiserte 29. april 2026 en handlingsplan for KI-drevet cyberforsvar.

Fakta først: Selskapet beskriver fem prioriteringer i planen «Cybersecurity in the Intelligence Age»: bredere tilgang til defensive KI-verktøy, bedre koordinering mellom myndigheter og industri, sterkere kontroll rundt modeller med cyberkapabilitet, mer synlighet i utrulling og verktøy som hjelper brukere å beskytte seg selv. OpenAI skriver at planen er informert av samtaler med cybersikkerhets- og nasjonale sikkerhetseksperter i offentlig sektor og større virksomheter.

Det viktige for norske ledere er ikke at OpenAI har skrevet enda et policy-dokument. Det viktige er retningen: KI blir flyttet fra eksperiment i sikkerhetsteamet til en del av virksomhetens operative beredskap. Hvis angripere bruker modeller til phishing, rekognosering og automatisering, må forsvarssiden også få lov til å bruke modeller — men med tydelige rammer.

For CIO og CISO betyr det tre praktiske beslutninger. Først: definer hvilke defensive oppgaver KI faktisk kan brukes til, for eksempel triage av varsler, sårbarhetsanalyse, dokumentasjon av hendelser og forslag til tiltak. Ikke la dette vokse frem som uoffisiell bruk i hvert team.

Deretter: bygg logging og etterprøvbarhet inn i arkitekturen fra start. Når en modell får tilgang til sikkerhetsdata, hendelseslogger eller interne systemer, må virksomheten vite hvilken kontekst modellen fikk, hvilke forslag den ga, og hvem som godkjente handlingen. Dette er både et sikkerhetskrav og et compliance-krav.

Til slutt: behandle leverandørvalg som risikostyring. OpenAIs plan peker mot mer samspill mellom modelltilbydere, myndigheter og store virksomheter. Det kan gi bedre forsvar, men også ny avhengighet til lukkede plattformer. Norske virksomheter bør sikre eksport av logger, egne evalueringsdata, klare databehandleravtaler og en plan B for kritiske sikkerhetsprosesser.

Vurdering: Dette er ikke en produktlansering med ferdig ROI. Det er et signal om at moden KI-bruk i sikkerhet nå handler mindre om «chatbot for SOC» og mer om styring, ansvar og kontroller. Styret bør spørre ledelsen om KI allerede brukes i cyberforsvaret, hvilke data som deles, og hvilke beslutninger mennesker fortsatt må godkjenne.