Cybernodens krönika
260325
Krönikör: Johanna Parikka Altenstedt
Det smältande samhället och AI
Sociologen Zygmunt Bauman skrev vid millenniumskiftet boken ”Liquid Modernity”, där han argumenterade på grund av bl.a. digitaliseringen att samhällsförändringen skulle leda till att bekanta institutioner och praktiker skulle ”smälta” från sin fasta form och bli ”flytande” med svårgreppbara gränser och former, med osäkra normer, men dock av samma ämne som tidigare. Och vi har ju sett denna förflyttning med till exempel ”bank”, ”valuta” och ”betalningsmedel” där en transaktion idag kan göras på många sätt och där regler för t ex identifiering och överföringar ideligen ändras, trots att våra lagar inte har ändrats nämnvärt.
Den galopperande digitaliseringen med AI innebär just nu en ny industriell revolution i vår värld. Det innebär att många koncept i vårt samhälle ”smälter” och kräver nya sätt av oss att hantera ändringar.
Under ett antal år har man diskuterat ansvarsfrågorna och skadestånd (”liability”) vid AI, t ex om ett förarlöts AI-styrt fordon orsakar en olycka och skadar någon. En annan rättsfilosofisk fråga som diskuteras flitigt idag är huruvida vi bör göra AI till en tredje juridisk person vid sidan av enskilda personer och juridiska personer (organisationer/associationer) i och med det skapas en hel del verk och produkter av AI idag, t ex musik, och det kan vara svårt att finna en tydlig upphovsperson bakom låten. En tredje fråga är EU-förordningen AI Act som sätter gränser för hur mycket AI-styrda produkter och system kan inkräkta på våra civila rättigheter och vår integritet, t ex vid myndighetsutövning.
Och nu lägger vi på entreprenad, just det som ingen maskin kan göra eller besluta om: att förstå vad den faktiskt gör (eller kämpar för). Ett färskt exempel är från försvarssektorn, när Pentagon nyligen clashade med företaget Anthropic om säkerhetsmekanismerna i Claude -systemet, vilket förutsåg felbedömningar i Irankriget. Militären pressade på för att ta bort etiska skyddsräcken och använda AI för autonom målsökning. Anthropic varnade för AI-hallucinationer och eskalerande risker. Ingen av parterna gav helt efter, och resultatet blev attacker mot civila mål, drivna av föråldrade data och algoritmer som man litade på bortom deras förmåga.
Idag är frågan om man kan försäkra något som har inslag av AI eller som riskerar att skadas av AI. Utifrån cyberförsäkringsbolagens resonemang om AI generellt, handlar deras verksamhet om att i ökande grad neka eller reducera ersättningar samt därmed mitigera försäkringsbolagets risker och öka intäkterna. Det sker bl a genom allt tuffare och mer specifika tekniska checklistor beträffande vilken typ av AI kan accepteras inom försäkringens ramar. Vissa säger rakt ut att ersättning uteblir om AI har varit inblandad inom incidenterna. Samtidigt premierar andra försäkringsbolag verksamheter, som arbetar med AI för att förbättra sin cybersäkerhet. Ett tredje bolag jobbar nära med sina kunder för bättre AI-baserad cybersäkerhet och erbjuder vid sidan av försäkringar och även cybersäkerhetskonsultjänster.
Från kundperspektivet känns det väldigt rörigt. Faktum är att många av de gränsdragningar som försäkringsbolagen drar i sina avtalsvillkor har varken prövats vetenskapligt eller rättsligt som relevanta, utan de är resultat av olika typer av riskbedömningar som görs av – ja, vem? – bakom lykta dörrar på försäkringsbolagen. Rättsligt kommer man inte pröva dessa frågor och skipa rätt i närtid, eftersom rättssystemet ännu inte är kalibrerat för att hantera AI-frågor, och för att de berörda parterna förmodligen in i det sista drar sig ur att visa upp sina cybersäkerhetssystem och brister i en domstol.
Samtidigt är det bra att ha i minnet att redan innan AI:s intåg var det mindre än en av fyra cybersäkerhetsförsäkringar som betalade ut hela ersättningar vid incidenter. Många cyberförsäkringar innehåller undantag som först efter ett intrång upptäcks av kunden. En studie från 2024 visar att 27% av alla dataintrångsanspråk avvisades helt eller delvis på grund av exkluderande klausuler. [networkassured.com]. Detta är direkt kopplat till komplexiteten i cyberincidenter, där försäkringsbolag hävdar att skadan faller utanför täckningsområdet – och med den snabba AI-utvecklingen som vi har idag är det svårt att ens fastställa täckningsområdet! Alla delar rör sig ju hela tiden.
IBM samlar regelbundet global statistik om cybersäkerhetsförsäkringar. 2022-2023 ökade försäkringskraven med 18%. Ransomware stod för nästan hälften av alla krav (45% av 2022 års fall). 99 % av alla dessa cybersäkerhetsrelaterade försäkringsanspråk kom från små och medelstora företag (SME). (23 Eye-Opening Cybersecurity Insurance Statistics). Denna utveckling har ökat efterfrågan av försäkringar, inte minst på grund av hemarbete och allt fler molntjänster. Idag är den globala cybersäkerhetsförsäkringsmarknadsstorleken värderad mellan 21 och 26 miljarder USD beroende på källan, och tillväxttakten bedöms årligen vara runt 20 % – 30 % fram till 2035. (2025_Cybersecurity_Insurance Report.pdf)
Att kostnaderna för cyberincidenter är så svårförutsägbara att försäkringsbolag har svårt att modellera worst-case-scenarier gör att de försöker skydda sig genom restriktivare tolkning av policys. Det är möjligt att situationen klarnar något när fler så kallade soft law -regleringar; standarder, policydokument, normdokument, kommer på plats även inom AI-området, om de nu hinner i kapp med teknikens galoppering.
Men med AI gäller precis samma krav av sunt förnuft som i andra sammanhang av företagande. Försäkringsbolagens affärsmodeller har egentligen inte förändrats även om samhället runt omkring blir mer komplext och börjat ”smälta”. De vill fortsätta att tjäna pengar på oro. Skillnaden till förr är bara att denna gång kanske de använder sig av AI-algoritmer när de analyserar riskerna i din och min verksamhet.
Fram tills att det tas fram en försäkringsaffärsmodell, som även kontraktuellt kan hantera en ständig förändring, kan det vara en bra idé att även låta några pigga unga bug bounty-jägare och etiska hackare leta efter sårbarheterna i de egna operationerna, betala dem för fynden och fixa bristerna.