Nasjonal sikkerhetsmyndighet advarer mot Deepseek

Den kinesiske KI-tjenesten Deepseek tok verden med storm i slutten av januar, og det ble raskt en diskusjon om det er trygt å bruke tjenesten på enheter som brukes til å behandle sensitiv informasjon. 6. februar gikk NSM-sjefen Arne Christian Haugstøyl ut i Dagbladet med en anmodning til norske virksomheter om å være varsom med å tillate Deepseek på tjenesteenheter.

Han minner om at kinesiske virksomheter plikter å samarbeide med og utlevere informasjon til kinesiske etterretningstjenester og myndigheter. Deepseek er selv åpen om dette i sin «Privacy Policy»

Risiko knyttet til Deepseek har flere dimensjoner som norske virksomheter bør være klar over. Deepseek-appen i seg selv utgjør en risiko fordi den samler inn data fra enheten den er installert på. Det er også knyttet risiko til bruk av tjenesten, for eksempel ved at man laster opp sensitive dokumenter som Deepseek skal utføre arbeid på. Ettersom alle data lagres i Kina, kan dette medføre at sensitive data blir tilgjengelig for kinesiske myndigheter.

Det er naturlig at Deepseek har kommet i søkelyset og NSR slutter seg til NSMs anbefaling om å være varsom med bruken av denne tjenesten. NSR anbefaler at norske virksomheter lager en risikobasert policy på hvilken informasjon, apper og tjenester som det er lov å bruke på tjenesteenhetene. Mange virksomheter har egne KI-policyer som trekker opp regler for hvilke KI-tjenester som er lov å bruke, og hvordan en skal bruke de på en trygg måte. Slike policyer kan bidra til å redusere risiko for at sensitiv informasjon kommer på avveie, og det kan samtidig redusere risiko knyttet til IT-sikkerhet, personvern og skygge-IT.