Hvilken fremvoksende trussel identifiserer Kordia 2026-rapporten utover datatyveri?

Rapporten peker på uriktig bruk av KI av ansatte som en av de mest presserende fremvoksende truslene, for eksempel at ansatte mater sensitiv informasjon inn i eksterne KI-verktøy eller bruker ikke-godkjente KI-plattformer.

Anses ansattes misbruk av KI-verktøy vanligvis som tilsiktet eller utilsiktet?

Ifølge rapporten er uriktig KI-bruk blant ansatte generelt ikke drevet av ondsinnet hensikt, men snarere av bekvemmelighet som overstyrer forsiktighet.

Hvorfor har personopplysninger en tendens til å bli eksponert i så stor andel av vellykkede cyberhendelser?

Personopplysninger lagres på tvers av flere systemer, deles bredt og aksesseres jevnlig på mange organisasjonsnivåer, noe som betyr at ethvert vellykket innbrudd har en rimelig sjanse for å berøre personopplysninger før det oppdages.

Hvilke typer organisasjoner kartlegger Kordia-rapporten?

Kordia-rapporten kartlegger newzealandske virksomheter på tvers av sektorer og størrelser, noe som gjør den til et regionalt øyeblikksbilde av hvordan cyberhendelser faktisk utspiller seg i praksis.

Kordia 2026-rapport: 17 % av NZ-cyberhendelser ender med datatyveri

En nylig utgitt bransjerapport setter et presist tall på et problem de fleste organisasjoner vet eksisterer, men sliter med å måle: cyberhendelser med tyveri av personopplysninger utgjør nå en betydelig andel av alle sikkerhetshendelser. Ifølge Kordia New Zealand Business Cyber Security Report 2026 resulterer 17 % av cyberhendelsene – omtrent én av seks – i uautorisert tilgang til eller tyveri av personopplysninger. I tillegg til dette tallet peker rapporten på uriktig bruk av kunstig intelligens (KI) av ansatte som en av de mest presserende fremvoksende truslene organisasjoner står overfor i dag.

Til sammen tegner disse funnene et bilde av et trusselmiljø som endrer seg raskere enn mange konvensjonelle forsvarstiltak er bygget for å håndtere.

Hva Kordia 2026-rapporten faktisk fant

Kordia-rapporten kartlegger newzealandske virksomheter på tvers av sektorer og størrelser, noe som gjør den til et av de mer jordnære regionale øyeblikksbildene av hvordan cyberhendelser faktisk utspiller seg i praksis. Hovedtallet – at 17 % av hendelsene ender med eksponering av personopplysninger – er bemerkelsesverdig fordi det fanger et konkret utfall snarere enn bare angrepsvolum eller -type.

Mange cybersikkerhetsrapporter fokuserer på hvordan angrep begynner: phishing-e-poster, kompromitterte legitimasjonsopplysninger, upatchet programvare. Denne rapporten retter oppmerksomheten mot hvor angrep ender – og for en betydelig andel er det endepunktet at noens personopplysninger forlater organisasjonens kontroll. Det skillet er viktig for å forstå risiko i termer som regulatorer, kunder og styrer faktisk bryr seg om.

Rapporten fremhever også uriktig KI-bruk blant ansatte som en fremvoksende utfordring. Dette refererer til ansatte som mater sensitiv informasjon inn i eksterne KI-verktøy, bruker ikke-godkjente KI-plattformer, eller deler konfidensiell informasjon i forsøk på å automatisere arbeidet sitt. Det er i de fleste tilfeller ikke ondsinnet hensikt. Det er bekvemmelighet som overstyrer forsiktighet.

Hvorfor én av seks hendelser ender med et databrudd

17 %-tallet gjenspeiler noen strukturelle realiteter knyttet til hvordan moderne organisasjoner håndterer data. Personopplysninger har en tendens til å lagres på tvers av flere systemer, deles bredt internt i organisasjoner og aksesseres jevnlig av ansatte på mange nivåer. Denne spredningen betyr at ethvert vellykket innbrudd har en rimelig sjanse for å berøre personopplysninger før det oppdages og begrenses.

Det gjenspeiler også den høye verdien personopplysninger har som mål. Angripere som får tilgang til et nettverk leter ofte spesifikt etter navn, kontaktopplysninger, finansielle registre og identitetsinformasjon. Disse har direkte videresalgsverdi og kan brukes i etterfølgende svindel og sosiale manipulasjonsangrep.

Gapet mellom at en hendelse inntreffer og at personopplysninger bekreftes som kompromittert er også en faktor. Forsinkelser i deteksjon gir angripere mer tid til å lokalisere og eksfiltrere de mest verdifulle registrene. Organisasjoner som mangler robust logging, segmentering eller overvåking, oppdager oftere et brudd først etter at data allerede har forlatt systemet.

Dette mønsteret er ikke unikt for New Zealand. Det samsvarer med det forskere har dokumentert globalt: regulerte enheter og ressurssterke organisasjoner håndterer fortsatt personopplysninger på en uforsvarlig måte, slik det er utforsket i EU-aldersverifiseringsappen som ble brutt innen minutter etter lansering, der designforutsetninger om sikkerhet viste seg å være fatalt optimistiske nesten umiddelbart.

KI-innsidetrusselen som VPN-er ikke kan løse alene

KI-bruksfunnet fortjener særlig oppmerksomhet fordi det representerer en risikokategori som de fleste eksisterende sikkerhetsverktøy ikke er utformet for å håndtere. Når en ansatt limer inn klientregistre i en offentlig KI-assistent eller bruker et ikke-godkjent produktivitetsverktøy til å behandle HR-data, utløses ingen brannmur, ingen VPN-flagg aktiveres, og ingen inntrengingsdeteksjonssystem slår alarm. Dataene forlater systemet gjennom en fullstendig legitim kanal.

Dette er kjerneproblemet med innsidedrevet eksponering: det ser ofte identisk ut som normalt arbeid. En VPN sikrer forbindelsen mellom en enhet og et bedriftsnettverk. Den styrer ikke hva en ansatt gjør med data når de har legitim tilgang til dem. Kryptering beskytter data under overføring mellom pålitelige endepunkter; det beskytter ikke data som en autorisert bruker velger å sende til et uautorisert sted.

Organisasjoner som har investert tungt i perimetersikkerhetsverktøy – inkludert VPN-er, endepunktsbeskyttelse og brannmurer – kan likevel bli eksponert hvis de ikke har adressert det menneskelige og policybaserte laget. Kordia-funnene antyder at dette gapet vokser ettersom KI-verktøy blir billigere, mer kapable og mer innebygd i daglige arbeidsflyter.

Utfordringen forsterkes av hvor raskt KI-verktøylandskapet endrer seg. En policy skrevet for seks måneder siden dekker kanskje ikke plattformer ansatte bruker i dag.

Bygge et personvernforsvar som går utover VPN-er

Å adressere både datatyveriandelen og KI-innsidetrusselen krever en lagdelt tilnærming som kombinerer tekniske kontroller med organisasjonspolicy og brukeropplæring.

På den tekniske siden kan verktøy for forebygging av datatap (DLP) konfigureres til å oppdage når sensitive kategorier av informasjon sendes til eksterne plattformer, inkludert KI-tjenester. Nettverksovervåking som logger utgående dataoverføringer kan bidra til å identifisere uvanlige mønstre. Tilgangskontroller som begrenser hvilke ansatte som kan nå hvilke data, reduserer skadeomfanget av enhver enkelt hendelse.

På policysiden trenger organisasjoner tydelig, oppdatert veiledning om godkjente KI-verktøy, hvilke datakategorier som kan behandles eksternt, og hva konsekvensene av policybrudd er. Tvetydighet er en sårbarhet. Ansatte som er usikre på om et verktøy er godkjent, vil ofte velge å bruke det likevel – særlig hvis det gjør jobben enklere.

Brukeropplæring forblir avgjørende. De fleste ansatte som skaper KI-relaterte dataeksponeringshendelser, handler ikke med ondsinnet hensikt. De forsøker å jobbe effektivt. Opplæring som forklarer spesifikt hvorfor visse data ikke kan mates inn i eksterne KI-verktøy – ikke bare at de ikke kan det – gir gjerne bedre etterlevelse enn generiske sikkerhetspåminnelser.

For enkeltpersoner er rapporten en nyttig påminnelse om å sjekke hvilke personopplysninger organisasjoner har om dem, og hvordan disse er beskyttet. Lover som California Consumer Privacy Act gir noen forbrukere formelle rettigheter over sine data, selv om CCPA-håndhevelse har betydelige mangler i praksis, og å benytte seg av disse rettighetene krever aktiv innsats.

Hva dette betyr for deg

Kordia 2026-rapporten er en newzealand-fokusert studie, men funnene gjenspeiler mønstre som er gjenkjennbare på tvers av bransjer og geografier. Én av seks hendelser som resulterer i tyveri av personopplysninger er en betydelig andel, og fremveksten av uriktig KI-bruk som en innsidetrussel tilfører en ny dimensjon som mange sikkerhetsprogrammer fortsatt er i ferd med å ta inn over seg.

For enkeltpersoner er dette en oppfordring til å tenke over hvilke personopplysninger du deler med virksomheter, hvor mye av dem som kan eksponeres i et brudd, og om du benytter tilgjengelige rettigheter for å minimere denne eksponeringen. For organisasjoner er rapporten et argument for å flytte sikkerhetssamtalene utover perimeterverktøy og mot helhetlig datastyring.

Tekniske forsvarstiltak er nødvendige, men ikke tilstrekkelige. 17 %-tallet antyder at selv etter at hendelser har oppstått, krever det å begrense konsekvensene for personopplysninger hastighet, synlighet og tydelige policyer som de fleste organisasjoner fortsatt arbeider med å utvikle. Å gjennomgå sitt eget datafotavtrykk, forstå hvilke rettigheter man har i henhold til gjeldende personvernlovgivning, og holde seg informert om hvordan brudd faktisk skjer, er praktiske første skritt enhver kan ta i dag.