Sådan sikrede Atea ansvarlig implementering af AI-funktioner direkte på medarbejdernes devices

Da Microsoft i 2024 introducerede Copilot+ PC - en ny generation af Windows enheder med AI-funktioner som Recall, semantisk søgning og AI-processering direkte på PCen stod det klart, at teknologien repræsenterede mere end blot nye produktivitetsværktøjer. Med de nye NPU'er blev det muligt at behandle data lokalt, direkte på medarbejdernes devices frem for at have det hele i skyen.

At AI rykkede tættere på både bruger og data gav en masse nye muligheder, men det gav også nye risici, som man bør forholde sig til. Hos Atea kunne man nemt få øje på fordelene i de mange nye funktioner men insisterede alligevel på at forstå og vurdere hver enkelt funktion selvstændigt - både i forhold til risikobilledet og forretningsmæssig værdi.

"Når AI flytter direkte ned på endpointet, ændrer det ikke bare brugeroplevelsen. Det ændrer også de sikkerhedsmæssige forudsætninger, vi som organisation er nødt til at tage stilling til,"

- Sara Amini, Group CIO i Atea.

Vurder, analyser, test og eksekver

Netop den erkendelse blev startskuddet til en systematisk og fasebaseret tilgang, hvor AI funktionerne blev vurderet og analyseret enkeltvist med henblik på at kortlægge, hvordan de hver især påvirker data, adgang og trusselsbilledet i praksis.

Vurderingen tog blandt andet udgangspunkt i:

• Eksponering af sensitive data via screenshots og kontekst
• GDPR og compliance‑risici
• Malware og lokal adgang til data
• Adgangsstyring
• Data retention og datamængder
• Nye angrebsflader som cross‑prompt injection

Særligt arbejdet med funktionen Recall gjorde det tydeligt, at AI på pc ændrer datagrundlaget markant. Hvor organisationer tidligere primært arbejdede med filer og logs, introducerede Recall en kontinuerlig, kontekstuel historik, der potentielt kan indeholde både interne informationer og kundedata.

"Vi valgte at stoppe op, inden vi introducerede Recall. Ikke fordi teknologien ikke var interessant, men fordi vi havde brug for at forstå præcis, hvad de nye risico betød for os i praksis,"

- Claus Fonnesbech Christensen, som er VP for Architecture og Operational Excellence i Atea Group og som var en central del af udrulningen i Atea.

Sara uddyber:

"Det er min og vores opgave i it at skabe et miljø, hvor vores medarbejdere på tværs af Norden trygt kan lege med de nye, værdiskabende funktioner, Copilot+ PC tilbyder. Det var ikke en overvejelse, om vi skulle frigive funktionerne - dertil er der alt for mange fordele ved at have AI lokalt tilgængeligt. Men vi havde brug for at starte rigtigt og i forskellige tempi, så sikkerheden var på plads, før vi gav funktionerne fri".

Løbende monitorering og tilpasning

Efter den indledende vurdering begyndte Atea i fase 2 gradvist at åbne op for teknologien. Frem for en bred udrulning blev adgangen i første omgang givet til udvalgte medarbejdere, mens it løbende monitorerede brugen, evaluerede hvordan løsningerne fungerede i praksis og fortsat vurderede de sikkerhedsmæssige risiko.

"Vi ønskede ikke at aktivere teknologien bredt fra dag ét. Derfor valgte vi en kontrolleret tilgang, hvor enkelte medarbejdere fik adgang først, så vi kunne følge brugen tæt og sikre, at både governance, sikkerhed og den faktiske brugeroplevelse udviklede sig i takt med teknologien"

- Sara Amini, Group CIO i Atea

På den måde sikrede Atea et testmiljø baseret på en snæver gruppe af ambassadører, hvor it kunne følge og vurderede risiko løbende. Det handlede om at bringe AI i spil uden at give afkald på kontrol. At teste og lære, inden man skalerer, er en tilgang, som Sara Amini vil anbefale kollegaer i branchen. Den tilgang havde samtidig den fordel, at testgruppen sideløbende kunne give feedback på brugeroplevelsen og værdiskabelsen i praksis:

"Jeg forstår om nogen ønsket om at være med på beatet. Men det er vigtigt at forstå, at det nogle gange betaler sig at forstå og rammesætte, inden man skalerer. Hos os tror vi meget på, at sikkerhed skal være fundamentet i al AI implementeringer. Ved at insistere på at få det på plads, får man også naturligt talt om, hvilken værdi man egentlig gerne vil opnå" fortæller hun.

Hvad er jeres why?

Når de ser tilbage, er både Claus og Sara glade for tilgangen, de valgte for Atea, selvom det betød, at det tog lidt længere tid, før alle medarbejdere havde adgang til de nye funktioner.

"Succesfuld implementering handler ikke om at komme først for enhver pris - tværtimod har det for Atea i høj grad handlet om at skabe det rette fundament for sikker praksis og målbar værdi uden at gå på kompromis med egen parathed"

- Claus Fonnesbech Christensen, som er VP for Architecture og Operational Excellence

Og netop værdiskabelse er essentielt, når vi taler AI implementering, mener Sara Amini. I CIO analytics 2026 ser vi, at 97 procent af virksomheder og organisationer er i gang med AI, men kun 20 procent får reel værdi ud af det på nuværende tidspunkt.

"Man er nødt til at gøre sig klart, hvorfor man vil have Copilot+ PC'erne ind, og hvad er det for en forretningsværdi, man ønsker at opnå. Hvis ikke man kan italesætte værdien, så kan man heller ikke måle på, om den er opnået - og måske endda tænke run first, altså hvordan skal det køre, når det er implementeret," siger Sara.

Stor økonomisk gevinst

Den tilbageholdende tilgang i Atea må ifølge Sara Amini ikke sidestilles med en skepsis overfor Copilot+ PC og de nye muligheder, det giver at have data lokalt. Tværtimod var det aldrig en overvejelse at undlade at gøre brug af de nye muligheder.

"En vigtig del af vores ønske om at bruge Copilot+ PCs funktioner handlede også om økonomien, fordi en central faktor lige nu er prisen for at køre cloudmodeller. Mange er begyndt at skifte deres afregningsmodeller til at være tokenbaserede, og det betyder helt konkret, at det kan blive en dyr affære, hvis man f.eks. ikke er så stærk i at prompte. Med AI direkte på devices begynder vi pludselig at se en model, hvor vi både kan reducere consumption og tænke skalering på en helt anden måde," afslutter Claus.