Amerikansk cybersikkerhedstop delte interne filer i ChatGPT – klar advarsel til danske organisationer
En sag fra USA viser, hvor let fortrolige oplysninger kan ende i en offentlig tjeneste med kunstig intelligens: USA’s fungerende direktør for cybersikkerhedsmyndigheden CISA, Madhu Gottumukkala, har ifølge flere medier uploadet interne kontraktdokumenter markeret “For Official Use Only” (FOUO – “kun til officiel brug”) til den offentlige udgave af ChatGPT. Uploads udløste automatiske sikkerhedsalarmer og en gennemgang i Department of Homeland Security (DHS).
Kort fortalt
- Mindst fire interne dokumenter med FOUO-markering blev indtastet i den offentlige udgave af ChatGPT.
- Overvågning fangede uploadene og udløste datalæk-alarmer på myndighedens netværk.
- DHS har gennemført/igangsat en intern review af hændelsen.
- CISA har udtalt, at brugen var “short-term and limited” og skete under en midlertidig, godkendt undtagelse.
- Tidslinjen er ikke helt entydig i omtalen (alarmer i starten af august vs. udmelding om sidste brug midt i juli 2025).
Sagen er interessant netop fordi den rammer “i maskinrummet”: Når selv en cybersikkerhedsledelse kan komme til at bruge en offentlig chatbot til arbejdsdokumenter, kan det ske i enhver dansk kommune, region eller virksomhed.
Det afgørende er ikke, om oplysningerne konkret er blevet misbrugt (det er der ikke offentlig dokumentation for), men at man i praksis mister kontrol i samme øjeblik, indhold tastes ind i en offentlig tjeneste. Afhængigt af indstillinger og aftaler kan leverandøren i nogle tilfælde gemme og bruge indholdet til at forbedre tjenesten – og så er det svært at “kalde teksten tilbage”.
En tommelfingerregel er:
| Spørgsmål | Offentlig chatbot | Godkendt virksomhedsløsning |
|---|---|---|
| Hvem har kontrol over data? | Begrænset kontrol | Aftalebaseret kontrol |
| Kan brugen dokumenteres? | Ofte svært | Typisk muligt |
| Kan man sætte klare rammer? | Mest via adfærd/politik | Politik + tekniske spærrer |
Det kan du gøre nu
- Lav én tydelig regel: “Ingen kontrakter, personalesager, kundedata eller sager om borgere ind i offentlige chatbots.”
- Udpeg et godkendt værktøj: Gør det let at gøre det rigtige (fx en virksomhedsversion med klare datavilkår).
- Træn ledere og nøglemedarbejdere: 30 minutter er ofte nok til at forebygge de typiske fejl.
- Sæt tekniske spærrer hvor muligt: Brug datalæk-forebyggelse (værktøjer der kan opdage/stoppe deling af følsomme data).
- Aftal beredskab: Hvis noget er delt, skal IT og databeskyttelsesansvarlig hurtigt kunne vurdere risiko og næste skridt.
Kilder
- TechCrunch: https://techcrunch.com/2026/01/28/trumps-acting-cybersecurity-chief-uploaded-sensitive-government-docs-to-chatgpt/?utm_source=tldrinfosec
- CSO Online: https://www.csoonline.com/article/4124320/cisa-chief-uploaded-sensitive-government-files-to-public-chatgpt.html
- ITPro: https://www.itpro.com/security/data-protection/cisas-interim-chief-uploaded-sensitive-documents-to-a-public-version-of-chatgpt-security-experts-explain-why-you-should-never-do-that
🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.
Læs original kilde →Fandt du en fejl?