Oktober er sikkerhetsmåneden, og det er en god anledning til å tenke på noe som kanskje kan være misforståelser om IT-sikkerhet. Som sikkerhetsansvarlig i en relativt liten bedrift med rundt 30 ansatte ser jeg daglig hvordan disse feilaktige oppfatningene kan skape falsk trygghet – og åpne dører for angrep vi kunne ha unngått.

Feilaktig oppfatninger om sikkerhet

«Vi er for små til å bli angrepet»

Mange små og mellomstore bedrifter tror at cyberkriminelle kun jakter på de store fiskene.

Realiteten er at moderne cyberangrep i stor grad er automatiserte. Angripere bruker verktøy som skanner hele internett etter sårbarheter, og bryr seg ikke nødvendigvis om målet er en bedrift med 10 eller 10 000 ansatte. Mindre bedrifter kan være attraktive mål fordi de ofte har mindre ressurser til forsvar, men fortsatt har verdifulle data.

«Sterke passord er nok»

Vi har alle lært at passord må være sterke nok: minst 12 tegn, kombinasjon av store og små bokstaver, tall og spesialtegn. Men er det nok?

Selv det sterkeste passordet kan kompromitteres på måter som ikke har noe med styrken å gjøre. Phishing-angrep, keyloggere, databaselekkasjer hos tredjepart, eller rett og slett at noen ser over skulderen din når du skriver det inn. Derfor er multifaktorautentisering (MFA) en viktig ekstra barriere som øker sikkerheten betydelig.

«Vår IT-partner håndterer all sikkerhet»

Mange bedrifter har outsourcet IT-driften til profesjonelle leverandører. Det gir en falsk følelse av at «noen andre tar seg av sikkerheten».

IT-partneren deres sikrer infrastrukturen – servere, nettverk, oppdateringer og backups. Men de kan ikke forhindre at en ansatt klikker på en phishing-lenke, deler påloggingsinformasjon over telefon, eller laster ned en infisert fil. Mennesket er fortsatt det viktigste sikkerhetslaget.

«Antivirus beskytter oss mot alt»

Antivirus har vært ryggraden i IT-sikkerhet i flere tiår. Men verden har endret seg.

Moderne trusler er langt mer sofistikerte enn de klassiske virusene som antivirus-programvare ble designet for å stoppe. Zero-day sårbarheter, målrettede angrep og sosial manipulering går ofte helt forbi antivirus-beskyttelse. Antivirus er fortsatt et nødvendig lag, men det må kombineres med andre tiltak.

«Jeg gjenkjenner phishing når jeg ser det»

Mange av oss tror vi er immune mot phishing. Vi har hørt om nigerianske prinser og dårlig stavede e-poster.

Moderne phishing-angrep er skremmende overbevisende. Angripere bruker AI til å lage perfekt formulerte meldinger, de kopierer design fra ekte bedrifter, og de vet hvordan de skal skape tidspress som får deg til å handle før du tenker. Spear phishing kan inkludere detaljer om din jobb og kolleger hentet fra LinkedIn. Selv erfarne personer kan bli lurt – det handler ikke om intelligens, men om menneskelig psykologi. Jeg har selv måtte ta en telefon til sjefen min for å sjekke om en epost jeg hadde mottatt var reell eller ikke.

«Mac og Linux er immune mot malware»

Det har vært en oppfatning at kun Windows-brukere trenger å bekymre seg for virus og malware.

Ingen plattform er immune. Mens Windows historisk har vært det operativsystemet som har blitt angrepet oftest, ser vi en økning i malware rettet mot macOS og Linux. Etter hvert som Mac blir mer populær i bedriftsmarkedet, investerer angripere mer i Mac-malware. Og uansett plattform: phishing og utnyttelse av dårlige passordvaner fungerer overalt.

«Sikkerhetsbrudd skjer bare hos store selskaper»

Når vi leser om sikkerhetsbrudd i media, er det stort sett de store navnene som får oppmerksomhet.

Små og mellomstore bedrifter rammes også hyppig. Forskjellen er at de store har kommunikasjonsavdelinger som håndterer krisen offentlig. Når en lokal bedrift med 30 ansatte blir rammet av ransomware, havner det sjelden i avisene. Erfaring viser at mange små bedrifter som opplever et alvorlig sikkerhetsbrudd får betydelige utfordringer etterpå.

«Sikkerhet hemmer produktivitet»

Dette er en vanlig innvending: «Hvis vi gjør alt for sikkert, blir det for tungvint å jobbe.»

Dårlig designet sikkerhet hemmer produktivitet. God sikkerhet kan faktisk gjøre det motsatte. Single Sign-On (SSO) betyr at ansatte slipper å huske mange forskjellige passord. Passkeys og biometrisk autentisering er både sikrere og raskere enn tradisjonelle passord. Når sikkerhet bygges inn i verktøyene vi bruker daglig – i stedet for å legges på som et ekstra steg – blir det en naturlig del av arbeidsflyten.

«Vi har backup, så ransomware er ikke farlig»

Backup er en kritisk del av ethvert sikkerhetsprogram. Mange tenker: «Hvis vi blir rammet, bare gjenoppretter vi fra backup.»

Moderne ransomware-grupper bruker dobbel utpressing. Først stjeler de alle dataene til bedriften – kundeinformasjon, forretningshemmeligheter og ansattes personopplysninger. Deretter krypterer de systemene. Selv om bedriften har god backup og kan gjenopprette alt, truer angriperne med å publisere alle dataene de stjal hvis bedriften ikke betaler. I tillegg oppdager mange for sent at backupen ikke fungerer som den skal.

Konklusjon: Sikkerhet er en holdning, ikke en sjekkliste

Det disse oppfatningene har til felles er at de skaper falsk trygghet. De får oss til å tro at sikkerhet er noe vi kan «bli ferdig med».

Realiteten er at sikkerhet er en kontinuerlig prosess. Trusselbildet endrer seg, teknologien utvikler seg, og vi må hele tiden lære og tilpasse oss. I en bedrift som vår, med rundt 30 ansatte, er hver enkelt person en viktig brikke i sikkerhetspuslespillet. Når vi alle forstår truslene, kan gjenkjenne angrep, og vet hvordan vi skal reagere, blir vi kollektivt mye sterkere.

Bruk sikkerhetsmåneden til å snakke om disse mytene med kollegene dine. Jo mer åpent vi kan snakke om sikkerhet, jo bedre blir vi til å beskytte bedriften vår sammen!

«Innen 2026 vil over 70 % av offentlige organisasjoner bruke kunstig intelligens for å styrke menneskelig beslutningstaking i administrasjonen.»
– Gartner (1)

Denne utviklingen understreker behovet for teknologier som Decision Intelligence, ikke som en erstatning for mennesker, men som et verktøy i samspillet mellom menneskelig vurdering og automatisert beslutningsstøtte.

Offentlig sektor opererer ofte i komplekse landskap preget av regelverk, ressursbegrensninger og høye forventninger fra innbyggere. Lange saksbehandlingstider, manuelle prosesser og tidkrevende vurderinger gjør at mange ansatte bruker verdifull tid på beslutninger som burde vært automatisert.

SMARTS automatiserer komplekse beslutninger i sektorer med regelmessige endringer i lover og regler. Siden plattformen er bygget som en low-code/no-code-løsning, kan fagpersoner selv vedlikeholde og endre beslutningslogikk, uten hjelp fra IT. Dermed kan ulike fagområder aktivt bidra i utviklingen av beslutningsregler i én felles plattform.

Bruksområder i offentlig sektor

Automatisert saksbehandling

Ved å automatisere beslutningsprosesser i SMARTS får offentlig sektor tilgang til en plattform som kombinerer regelstyrt logikk med Kunstig Intelligens (KI) for å håndtere saksbehandlinger mer effektivt og presist. I en hverdag der volumet av saker øker og kompleksiteten varierer gir SMARTS mulighet til å modellere beslutningslogikk direkte i systemet, samtidig som KI funksjonaliteter bidrar til å identifisere mønstre, foreslå optimal beslutningsflyt og avdekke avvik.

Saksbehandlere får støtte til å ta riktige vurderinger gjennom et beslutningsstøttesystem som håndterer store mengder saker med høy presisjon. Endringer i beslutningsgrunnlag eller prioriteringer kan implementeres raskt, noe som gir høy grad av fleksibilitet ved behovsendringer.

Compliance & overholdelse av regelverk

Uten gode prosesser og klare rammer kan compliance og etterlevelse bli både tidkrevende og uforutsigbart. Spesielt ved lovendringer og stadig strengere krav til dokumentasjon og sporbarhet. Fallgruver kan være ulik praksis, manglende dokumentasjon og vanskeligheter med å forklare beslutningsgrunnlag i ettertid

Mange offentlige virksomheter forsøker å holde beslutningsgrunnlaget oppdatert i interne systemer, og med det sikre at innbyggere behandles likt og rettferdig. Men når prosessene er manuelle eller fragmenterte, kan det være krevende å dokumentere beslutninger og endringer på en sporbar og konsistent måte – særlig når flere avdelinger er involvert.

SMARTS møter disse utfordringene ved å implementere beslutningslogikk direkte i systemet, slik at vurderinger alltid følger gjeldende praksis og prioriteringer. Alle beslutninger og den underliggende logikken dokumenteres og gjøres sporbare, noe som gir både innsikt og trygghet. Regelendringer og justeringer kan gjøres raskt og uten hjelp fra IT-avdelingen, noe som gir offentlig sektor en skalerbar og fremtidsrettet måte å håndtere saksbehandling på.

Ressursprioritering & kapasitetsstyring

Mange offentlige virksomheter mangler i dag datadrevne verktøy som gir innsikt i hvor tiltak har størst effekt, og dette fører ofte til at tid og budsjett brukes på en lite målrettet måte. Ressurser fordeles etter faste rutiner eller historiske mønstre, og er ikke basert på reelle behov og endringer.

SMARTS kombinerer regelstyrt beslutningslogikk og med KI-funksjonalitet for å analysere store datamengder og identifisere mønstre, avvik og prioriteringsmuligheter. Systemet kan for eksempel avdekke hvilke områder som har størst behov for oppfølging, hvilke søknadstyper som skaper flaskehalser, eller hvor saksbehandlingstiden er lengst. Denne innsikten kan brukes av fagansvarlige til å justere beslutningsregler og ressursbruk løpende, uten at det krever omfattende systemendringer eller involvering fra IT-avdelingen.

Resultatet er en mer datadrevet og effektiv offentlig tjenesteyting, der innsatsen settes inn der den gir mest verdi. SMARTS gir dermed et grunnlag for bedre ressursutnyttelse og en mer datadrevet forvaltning.

Tildeling av tilskudd & støtteordninger

Når det gjelder tilskudd må offentlige organisasjoner sikre at midler fordeles i tråd med regelverk og politiske føringer, samtidig som søknader behandles likt. Løsningen må tilfredsstille et komplekst regelsett og sørge for at alle tilskudd er korrekt kalkulert, lovlig og overført til korrekt mottaker.

Mange sliter med manuelle prosesser, varierende praksis og utfordringer med å dokumentere beslutningsgrunnlaget. Med SMARTS kan tilskuddsprosesser automatiseres og standardiseres. Endringer i regelverk eller politiske føringer kan implementeres raskt slik at man får en transparent tilskuddsforvaltning, der både søkere og forvaltningen får bedre oversikt og forutsigbarhet.

(1) Gartner Announces the Top Government Technology Trends for 2024

I følge McKinsey vil “Insurance will shift from ‘detect and repair’ to ‘predict and prevent,’ transforming every aspect of the industry.”

I et marked der kundeforventinger, distribusjonsmodeller og konkurranse endrer seg raskt er det viktig at forsikringsselskaper klarer å omstille seg for å møte morgendagens utfordringer. Ved hjelp av nye teknologier og stadig større datamengder kan forsikringsselskaper utnytte disse mulighetene for å identifisere både behov og risikoer – og tilby mer relevante, proaktive og personaliserte tjenester.

Med Decision Intelligence-plattformen SMARTS kan forsikringsselskaper få muligheten til å automatisere og håndtere komplekse beslutninger på tvers av fagområder – som underwriting, saksbehandling, compliance og svindel.

Plattformen er bygd opp som en low-code/no-code løsning som bygger bro mellom forretningssiden og IT. Dette åpner opp for at ulike fagområder aktivt kan delta i beslutningslogikken via en felles plattform for modeller og regler.

Bruksområder i forsikring

Tradisjonell underwriting sliter med å håndtere komplekse risikoprofiler raskt og presist.

Manuelle prosesser, statiske regelsett og begrenset databruk gjør det vanskelig å vurdere risiko effektivt, noe som kan føre til forsinkelser, feilvurderinger og tap av både vekstmuligheter og kundetillit.

SMARTS gir forsikringsselskaper en fleksibel plattform for å automatisere og forbedre underwriting-prosessen. Ved å kombinere regelbasert beslutningslogikk med sanntidsanalyse og maskinlæring, kan komplekse risikoprofiler vurderes mer presist. Plattformen tar hensyn til et bredt spekter av faktorer, fra kundedata og historikk til eksterne risikokilder, og gjør det mulig å tilpasse vurderingene dynamisk

Underwriting-regler kan enkelt justeres og tilpasses ulike produkter, markeder og risikoscenarier. Dette gir raskere beslutninger, mer konsistente vurderinger og bedre kontroll over risiko. Resultatet er en underwriting-prosess som styrker både vekstpotensialet og tilliten hos kundene – og som markerer et skifte fra tradisjonell risikovurdering til en mer datadrevet og fremtidsrettet modell.

Saksbehandlingsprosesser kan bli en flaskehals i forsikringsbransjen og kan føre til lange ventetider, inkonsistente vurderinger og lav kundetilfredshet.

Dette skyldes ofte manuelle prosesser, komplekse regelverk og manglende fleksibilitet i eksisterende systemer. SMARTS derimot lar forsikringsselskaper modellere, automatisere og kontinuerlig forbedre sine beslutningsprosesser ved å:

– Automatisere vurderinger basert på forretningsregler, data og risikomodeller

– Sikre konsistens og behandling uavhengig av saksbehandler

– Tilpasse beslutningslogikk raskt ved endringer i regelverk eller marked

Resultatet vil være en mer smidig, skalerbar og kundevennlig saksbehandlingsprosess ved bruk av Decision Intelligence-plattformer som SMARTS.

Uten gode prosesser og klare rammer blir compliance og regulatorisk etterlevelse i forsikring både tidkrevende og risikabelt.

Forsikringsbransjen opererer i et landskap som stadig preges av strengere og mer komplekse regulatoriske krav. Uten gode prosesser og klare rammer kan compliance bli både tidkrevende og risikabelt. Fallgruver kan være feilrapportering, manglende dokumentasjon og brudd på loven.

Mange selskaper holder regelverket oppdatert i interne systemer, og med det sikrer at saksbehandlingen faktisk følger regulatoriske krav. Når prosessene er manuelle eller fragmenterte kan det være vanskelig å dokumentere beslutninger og endringer på en sporbar og konsistent måte.

SMARTS møter disse utfordringene ved å implementere regulatoriske krav direkte i beslutningsreglene, slik at de alltid følges. Alt av beslutninger og logikk dokumenteres og gjøres sporbare i henhold til compliance. Disse reglene kan oppdateres raskt og tilpasses uten hjelp fra IT-avdelingen som gjør at forsikringsselskaper kan sikre regulatorisk etterlevelse på en effektiv, skalerbar og fremtidsrettet måte.

Svindeldeteksjon i forsikring er omfattende oppgaver der presisjon og forebygging er svært viktig for å minimere risikoen for økonomiske tap og feilvurderinger.

Med stadig mer sofistikerte svindelmetoder og store datamengder, trenger forsikringsselskaper verktøy som kan håndtere regelbasert logikk og avansert analyse. SMARTS kan kombinere forretningsregler, maskinlæring og sanntidsanalyse i en og samme løsning. Plattformen gjør det dermed mulig å definere og vedlikeholde komplekse regelsett for å identifisere mistenkelige mønstre samtidig som den kan ta i bruk prediktive modeller for å oppdage nye og ukjente svindelmetoder.

En av de største fordelene med SMARTS er fleksibiliteten og brukervennligheten. Både forretningsbrukere og tekniske eksperter kan enkelt tilpasse og forbedre svindeldeteksjonsprosessen, slik at man raskt kan reagere på endringer i svindelbildet. Plattformen gir også mulighet for kontinuerlig overvåking og justering av beslutningsregler, slik at presisjonen hele tiden forbedres.

Ved å automatisere vurderingen av skademeldinger og integrere svindeldeteksjon direkte i saksbehandlingssystemene, bidrar SMARTS til raskere og mer treffsikre beslutninger. Dette reduserer risikoen for både økonomiske tap og feilaktige avslag, samtidig som det gir en bedre kundeopplevelse.

Når man jobber i sjiktet mellom juss og teknologi kan det være en utfordring å faktisk vite hva man snakker om, og også være sikker på at den du prater med har samme forståelse av begrepet teknologi. Det er kanskje grunnen til at vi forvaltningsinformatikere er særskilt glade i definisjoner.

Derfor er det sentralt i denne teksten å ha definert begrepet teknologi. Her har jeg en mistanke om at mange fort tenker på moderne teknologi som informasjonsteknologi og mekaniske innretninger, men teknologi er langt mer enn det.

Hva er teknologi?

Teknologi er praktisk anvendelse av kunnskap for å løse en oppgave, gjerne knyttet til et spesifikt område.[i] Teknologi kan både være en fysisk gjenstand eller en metode basert på eksisterende kunnskap. Teknologi er langt mer en mekanikk: En kopp er teknologi, ryggsekken din er teknologi – som benytter teknologi som gjør den vannresistent, tåler vekt og lett å bære – bøker er teknologi, binde- og trykkekunsten er teknologi, skriftspråket som formidler språket er teknologi og språk i seg selv kan også bli sett som en teknologi.

Perspektiver på teknologi

Figuren er basert på figur 3.1 i kapittel tre av Technology and society. Social networks, power and inequality (2016) av Anabel Quan-Haase, s. 45

Figuren over viser en modell som skiller mellom forskjellige tankesett innenfor teknologi. Den viser hvordan til to dimensjoner: hvorvidt teknologi er autonom (har kontroll over mennesker) vs. om teknologi er kontrollert av mennesker, og hvorvidt teknologien er nøytral eller har innebygd verdi.

De fire hovedteoriene vil ha noe overlapp mellom seg, men i korte trekk kan hver beskrives slik:

Teknologisk/sosial determinisme – Teknologisk determinisme er et perspektiv der teknologien driver samfunnsmessig utvikling, mens sosial determinisme er der samfunnet er drivkraft for teknologisk utvikling. Innenfor begge perspektivene er teknologien sett på som en nøytral driver.

Instrumentalisme – Teknologi er til for å oppnå brukerens mål der mennesket er i full kontroll og bærer det fulle ansvar for konsekvensen av bruken. Teknologien kan heller ikke påvirke mennesker.

Substantivisme – Teknologien har innebygde trekk og effekt på samfunnet som former menneskers liv. Den er autonom og former mennesker rundt iboende mål.

Kritisk teori – Baserer seg på samme tilnærming som annen kritisk teori.[i] Teorien ser på hvordan maktstrukturer påvirker både samfunn og teknologiutvikling. Mennesket styrer teknologiutviklingen som igjen påvirker og understøtter eksisterende maktforhold i samfunnet.

De forskjellige teoriene vil kunne påvirke argumentasjon knyttet til samspillet mellom samfunn og teknologi.

Hvem er ansvarlig ved bruk av teknologi?

Er det sosiale medier som skaper konflikt eller er det mennesket? Dette er en diskusjon som ofte dukker opp i sammenheng med debatten om regulering av sosiale medier. Diskusjonen blir ladet når noen argumenterer mot restriksjoner på bruk av sosiale medier, ved å bruke argumentet at det ikke er plattformene som blusser opp til konflikt, men mennesket som bruker dem. Det har derfor ikke noen hensikt å begrense tilgang til disse mediene. Dette i motsetning til de som mener sosiale medier er et onde for menneskeheten.

En annen sammenligning er å si at det ikke er en hammer som velger å slå inn en spiker, det er mennesket som holder den som velger hvordan verktøyet skal brukes. Teknologien er kun et middel for å nå menneskets mål med den. I disse to ytterpunktene kan man se klare linjer til teoriene om substantivisme (målet til sosiale medier er å skape konflikt) og instrumentalisme (sosiale medier er kun et verktøy mennesker har full kontroll over og ikke påvirker samfunnet).

Likevel er det vel ikke så enkelt?

Skal man slå ned en spiker velger de fleste en hammer fremfor en skrutrekker. Skal du sitte er nok en stol eller sofa førstevalget, selv om en seng, skjenk i rett høyde eller til og med en liten veikant kan duge i nød.

Dette er fordi disse teknologiene har tilbydeligheter (affordances) som gjør dem egnet til den oppgaven de er designet til å gjøre.[ii] En tilbydelighet er egenskaper ved gjenstander som styrer forholdet mellom mennesket og gjenstanden. For eksempel har en kopp en konkav form og en bunn som gjør at man kan helle væske i den uten at det renner ut, videre kan den ha en hank som gjør det lettere å ha varm drikke i den uten at man brenner seg mens man drikker. Tilbydeligheter antyder handlinger mennesker kan gjøre med gjenstander.

Man kan se på det slik at teknologien har et manus (script).[iii] Manuset er det som legger opp til at en handling gjennomføres med teknologien. Tilbydeligheter er den delen av manus som legger opp til handlingen. En benk kan tåle vekt og er i rett høyde, dermed er det i dens manus å legge opp til at noen setter seg på den. Noen kan også legge seg til å sove på en benk hvis den har tilbydeligheter som legger opp til behagelig nok søvn.

Justere på manus for å realisere regler

Manus kan skrives om for å justere handlinger. Hvis vi ser tilbake på eksempelet med en benk noen bestemmer seg for å sove på, er det mulig å justere på tilbydelighetene til benken for å gjøre denne handlingen mindre fristende. For eksempel ved å legge helling på benken, eller introdusere armlener midt på benken, eller gjøre den mindre behagelig å sitte eller ligge på over lengre tid, har man redusert tilbydeligheten til en benk for å introdusere en regel om at man ikke skal ligge på denne benken. Denne måten å designe benker på kalles fiendtlig arkitektur (hostile architecture), og er et eksempel på at man gjør teknologien mindre god til jobben sin for å oppnå et tilleggsmål. Her er teknologien menneskestyrt og med en iboende verdi. Teknologien har en innebygd moral som sier: «Noen mennesker er ikke velkomne».

Hvordan kan vi få alt til å handle om innbygd personvern?

Teknologi har moral og verdier kodet inn i manuset. Er en ikke klar over hvilke tilbydeligheter man legger inn i manuset risikerer man å lage et manus som er umoralsk. Samtidig vil det å være klar over tilbydeligheter og hvilket manus man ønsker for teknologien man bygger gjøre det lettere å styre det inn i en retning der man får innebygd etikk. Teknologi, alt fra gjenstander, software, metode og til og med språk kan designes for bedre personvern, sikkerhet eller andre rettigheter og krav.

Hvilke handlinger legger teknologien som bygges opp til?

Hva kan vi endre så den legger opp til en annen type handling?

Jeg mener dette er særlig viktig å tenke over når man skal benytte KI på måter som påvirker mennesker. Eksisterende maktforhold i samfunnet kan påvirke manuset til teknologien slik at den blir formet uten at vi nødvendigvis er klar over det, og det vil kunne gjøre selv velment teknologi uetisk.

[i] Technology | Definition, Examples, Types, & Facts | Britannica

[ii] Kritisk teori – Store norske leksikon

[iii] Norman, Donald A The design of everyday things

[iii] Verbeek, Peter-Paul Design ethics and the morality of everyday artifacts, Kapittel i Philosophy and design (1) 2008, s. 93.

I takt med at datamengden vokser og forretningsprosessene blir stadig mer komplekse, øker behovet for beslutningsstøtte som er rask, presis og skalerbar. Dette gjelder særlig innen områder med høy risiko og krav til nøyaktighet, som svindelhåndtering, compliance, innkreving og lånebehandling.

Utfordringer og løsning

Decision Intelligence plattformen SMARTS automatiserer og håndterer komplekse beslutninger knyttet opp til ulike fagområder.

Plattformen er bygget opp som en low-code/no-code løsning som bygger bro mellom forretningssiden og IT. Dette åpner opp for at ulike fagområder aktivt kan delta i beslutningslogikken via en felles plattform for modeller og regler.

Viktige problemstillinger

Svindelmetoder blir mer sofistikerte og volumet av transaksjoner gjør manuell overvåking umulig.

SMARTS kan oppdage mistenkelige transaksjoner og mønstre i store mengder data ved bruk av prediktive analyser og maskinlæring. Dette gjør at nye svindelmetoder oppdages og håndteres raskere.

Banker må forholde seg til stadig strengere krav fra myndigheter som for eksempel GDPR, Basel III, AML, ESG. 

SMARTS gir full oversikt og synlighet innen compliance og risikostyring. Beslutninger kan automatiseres med innebygd sporbarhet og revisjonshistorikk. Det gir full oversikt over beslutningsgrunnlag ved tilsyn og forenkler dokumentasjon og rapportering.

Presise, rettferdige og datadrevne vurderinger er avgjørende for moderne bank- og finansvirksomheter.

Med SMARTS kan organisasjoner kombinere prediktive modeller med beslutningsregler for å automatisere og forbedre vurderinger knyttet til kreditt og lån. Forretningssiden kan selv simulere effekten av nye strategier, som for eksempel endringer i scoringsmodeller, risikokriterier eller lånebetingelser, før de implementeres.

I tillegg gir SMARTS mulighet til å overvåke og justere beslutningslogikken i sanntid, slik at man kontinuerlig kan optimalisere prosessene, redusere risiko og sikre rettferdig behandling av kunder.

Raskt skiftende marked krever rask omstilling og innovasjon.

Med SMARTS kan forretningssiden selv utvikle, teste og justere beslutningsstrategier uten å være avhengig av IT-personell. Dette gir forretningssiden mer kontroll ettersom alt av beslutninger og beslutningslogikk gjøres i et low-code/no-code miljø.

Man kan simulere ulike prisstrategier og se effekten i sanntid, sette opp regler for prising basert på kundedata, teste nye strategier gjennom Champion/Challenger metoden, overvåke KPI-er og justere logikken løpende basert på resultater. Dette gir kortere tid fra idé til marked og mer treffsikre beslutninger som gir økt lønnsomhet og kundetilfredshet.

JavaZone er et høydepunkt for oss hvert år. Det er en møteplass for utviklere og teknologer fra hele landet.

I etterkant av konferansen har vi snakket med tre av våre utviklere, Bengt Olav, Tosif og Scott om hva de lærte, hvilke foredrag som gjorde mest inntrykk, og hva de likte best med å være på JavaZone.

Bengt Olav sitter hos NAV på Infotrygd

1. Hva lært du på Javazone 2025?

«Jeg gikk ikke på så mange rene «how-to» sesjoner, men føler jeg lærte en god del likevel, ved å høre på kloke mennesker med mye mye erfaring og gode idéer. Det mest konkrete læringsutbyttet fikk jeg nok på innledningen om de vanligste design-fellene å gjøre i REST-APIer. Å lære av andres feil skal man ikke undervurdere!»

2. Beste forelesningen du var på?

«Det var som vanlig mange gode innledninger på JavaZone i år og jeg var veldig godt fornøyd med samtlige av de jeg gikk på. Jeg vil kanskje spesielt trekke frem tidligere teknologiprinsipal i NAV, Truls Jørgensen. Ikke bare holdt han et veldig godt og inspirerende innlegg om hva vi bør lære av gode applikasjonsplattformer, men han fikk også ordet under innlegget til sine tidligere kollegaer Audun Fauchald Strand og Trond Arve Wasskog om «software vi kan leve med». Der fikk han komme med det gode poenget at det er bedre for organisasjonen din at du som utvikler motstår den naturlige trangen til å skrive kode som er så kort, elegant, smart og intrikat som mulig. For alle de utviklerne som skal inn og gjøre endringer i koden din i mange år fremover er det bedre at du heller skriver kode som er lett å lese og tyde og gjøre endringer i.»

3. Generelt, hvordan syns du det var å være på Javazone og hva likte du best?

«Jeg syntes det var veldig fint å få gå på JavaZone igjen, for det er mange år siden sist. Jeg synes de har en fin miks av ting å se og gjøre og lære. Det var mange gode innledninger og jeg hadde mange hyggelige og interessante samtaler med folk på de forskjellige partnerstandene. Fremfor alt var det hyggelig å se igjen så mange gamle kjente kollegaer og få en oppdatering på hvor de er, og hva de jobber med nå. Og så var det mye god mat der, selvfølgelig!»

Tosif er en del av turnusteamet i Decisive

1. Hva lært du på Javazone 2025?
«Jeg lærte mye om AI, MCP-servere og risikovurdering i infrastruktur og kode. Fikk nyttig innsikt i hvordan man designer gode REST API-er. I tillegg lærte jeg hvordan man kan redusere byggetider og få hot reload i Java med Quarkus.»

2. Beste forelesningen du var på?
«Den beste forelesningen var «Top 10 REST API Design Pitfalls» med Victor Rentea. Han var en dyktig foredragsholder, og jeg kommer definitivt til å bruke flere av tipsene hans i mitt API-arbeid.»

3. Generelt, hvordan syns du det var å være på Javazone og hva likte du best?
«Det var min første gang på JavaZone, og jeg syntes det var veldig lærerikt. Det var hyggelig å møte både nye og kjente fjes. Jeg er spent på å se foredragene jeg gikk glipp av.»

Scott sitter hos NAV på Starte Pensjon teamet

1. Hva lært du på Javazone 2025?»
«Jeg lærte mye om en strategi for å sikre seg at data i frontend er oppdatert; server side events (SSE).»

2. Beste forelesningen du var på?
«Mange gode forelesninger, den jeg likte best var Husbanken sin forelesning «State Management er noe drit», der de snakker om sin strategi og utfordringer rundt det å sikre at data er oppdatert på tvers av klienter i saksbehandlingsløsningen deres når det er flere brukere. «Writing code for the human brain: Optimize code for cognitive bottlenecks» var også veldig bra!»

3. Generelt, hvordan syns du det var å være på Javazone og hva likte du best?
«Det jeg likte best var å innse hvor lite IT Norge egentlig er, selv om det er masse folk der møter man konstant noen man kjenner, av og til folk man ikke har sett på mange år.»

Decision Intelligence (DI), eller beslutningsintelligens på godt norsk, er et fagfelt som oppstod som svar på den økende kompleksiteten i moderne beslutningstaking – spesielt i større organisasjoner. Tradisjonelle metoder som dataanalyse og ekspertvurderinger er ofte ikke tilstrekkelige alene. DI tilbyr i stedet en helhetlig og systematisk tilnærming til beslutninger, basert på: 

• Klart definerte beslutningsmål, oversatt til formelle krav og spesifikasjoner 

• En gjentakendebeslutningsprosess som kombinerer data, fagkunnskap og teknologi 

• Endringskontroll, kvalitetssikring og compliance/sikkerhet for beslutninger på enterprise-nivå 

• Visuell fremstilling av beslutningslogikk, som gir transparens og sporbarhet av beslutninger 

Gartner definerer Decision Intelligence som: 

«En praktisk disiplin som forbedrer beslutningstaking ved å forstå og designe hvordan beslutninger tas, og hvordan resultater evalueres, styres og forbedres gjennom tilbakemelding.» 

Hva er en Decision Intelligence Plattform? 

Mens DI er et tankesett og en metodikk, er Decision Intelligence Platforms (DIP) de teknologiske løsningene som gjør det mulig å sette dette tankesettet ut i produksjon. 

En DIP gir organisasjoner det de trenger for å modellere, automatisere og overvåke operasjonelle beslutninger – og dermed forbedre beslutningskvaliteten og ikke minst effektiviteten av beslutninger. 

Kjernefunksjoner i en DIP inkluderer: 

• Modellering av beslutninger (f.eks. beslutningstrær, simuleringer, AI-modeller som Maskinlæring & Prediktive modeller samt ekspertmodeller)

• Utførelse av beslutninger (f.eks. automatisering av beslutningsprosesser) 

• Overvåking og evaluering (f.eks. knyttet opp mot KPI-er, dashboards) 

Ved å bruke en DIP kan organisasjoner skape et beslutningsøkosystem som både forsterker og – i de fleste tilfeller – automatiserer beslutninger. Resultatet gir en raskere responstid, høyere beslutningskvalitet og økt skalerbarhet av forretningskritiske beslutninger. 

Hvordan hjelper Decisive organisasjoner med å bli Decision driven? 

Hos Decisive har vi spesialisert oss på å hjelpe store og mellomstore organisasjoner som ønsker å ta steget inn i fremtidens beslutningstaking. Vi tilbyr: 

• Rådgivning og metodikk for å bygge beslutningssentrerte prosesser rundt forretningskritiske fagområder 

• Teknologisk støtte for å implementere og skalere Decision Intelligence konseptet internt 

• SMARTS-plattformen – som eneste leverandør i Norden av Sparkling Logic sin ledende Decision Intelligence-plattform 

Med SMARTS får våre kunder tilgang til en robust og fleksibel løsning for modellering, automatisering og overvåking av beslutninger. Kombinasjonen av faglig tyngde og teknologisk kapasitet gjør Decisive til en komplett partner for organisasjoner som ønsker å ta bedre, raskere og mer transparente beslutninger. 

Les om IMDi sitt effektive og brukevennlige beslutningsstøttesystem.

I en ideell verden brukes teknologi for å hjelpe oss – gjøre livet enklere, mer effektivt, mer transparent.  Vi som utviklere vet at måten vi designer løsninger på, har stor betydning. Noen ganger brukes designet bevisst mot brukeren. Det er her deceptive patterns kommer inn.  

Dette handler ikke om dårlig design eller en bug. 
Det er rett og slett designet sånn med vilje.  

Har du opplevd noen av disse eksemplene på nett?

1. Skjulte avhukinger i vilkår 

Når du godkjenner Terms & Conditions, er det ofte andre bokser allerede krysset av – som samtykke til markedsføring, nyhetsbrev eller datadeling. Alt presenteres som én handling, men du har egentlig samtykket til langt mer enn du tror.

2. Cookie-dialoger uten “Avvis alle” 

Tidligere kunne du enkelt trykke “Godta” eller “Avslå”. Nå er “Godta” grønn og stor, mens “Tilpass” ofte fører deg inn i et labyrintisk klikk-mareritt. Mange sider gjør det også umulig å avvise alle med ett klikk. 

3. Roach Motel – lett å komme inn, vanskelig å komme ut 

Å registrere seg tar 20 sekunder. Men skal du avslutte? Da må du sende e-post, vente x antall dager, og kanskje til og med ta en telefon. Det er designet for at du skal gi opp. Det kan også være ganske vanskelig å finne ut av hvor/hvordan man skal si opp. 

4. Confirmshaming 

«Vil du avslå dette fantastiske tilbudet?» – med en nei-knapp som sier: 
«Nei takk, jeg liker å betale full pris.» 
Det spiller på skyld og sosiale normer for å få deg til å si ja. 

5. Gjemte kostnader 

Du tror du er ferdig med en booking, men på siste steg dukker det plutselig opp et “behandlingsgebyr” eller “avgift” som aldri ble nevnt. Du betaler det – fordi du ikke orker å begynne på nytt. 

6. Fear of missing out 

Et annet vanlig deceptive pattern er å utnytte frykten for å gå glipp av noe, også kjent som FOMO. Dette skjer når nettbutikker sier ting som:  

«KUN 1 igjen på lager!»  

«25 andre ser på denne varen nå.»  

«Holdt av varen i 5 minutter» med en nedtellingsklokke.»

Disse taktikkene skaper en følelse av knapphet og hastverk som får deg til å handle raskt, ofte uten å tenke deg ordentlig om. Selv om det noen ganger kan være ekte, er det mange tilfeller hvor disse tallene er kunstig generert eller overdrevet for å manipulere deg.  

⚖️ Når deceptive patterns koster milliarder

Dette er ikke bare dårlig stil. Det er ofte ulovlig. Flere selskaper har fått svi for å bruke manipulerende design: Amazon ble saksøkt av Federal Trade Commission i 2023. Amerikanske myndigheter mente Amazon gjorde det unødvendig vanskelig å si opp Prime. De kalte det en “roach motel”-strategi og tok dem til retten.​ (Sarnoff, 2023) 

I 2022 fikk Google en bot på rundt 1,5 milliard kroner av CNIL fordi det var enklere å akseptere enn å avslå cookies. Dette brøt med prinsippet om frivillig samtykke. Klassisk cookie-deceptive-pattern. ​(Milmo, 2022)​ 

Meta har hatt flere GDPR-brudd som har medført milliardbøter fra EU. Nylig i 2024 introduserte Meta en «Consent or Pay» modell der brukere måtte velge mellom å akseptere omfattende datadeling for målrettet reklame eller betale for en annonsefri tjeneste. EU kommisjonen fant at dette brøt Digital Markets Act fordi brukerne ikke fikk et reelt valg om en mindre datakrevende, men likeverdig gratis tjeneste ​(European Commission, 2025)​. 

Med andre ord så er det ikke bare brukerne som taper, men selskapene risikerer også store bøter. 

🎯 Hva er poenget med dette fagblogginnlegget?

Blir vi kvitt deceptive patterns? Sansynligvis ikke. De funker. Listen over eksempler er lang og det er umulig å nevne alle. Det viktigste er å være bevisst på dem.  

Vi må forstå når design brukes mot oss – og tørre å si ifra. Som utviklere har vi makt over detaljene, og ansvar for å forme løsninger som respekterer brukerne. Som brukere har vi rett til å være skeptiske, stille krav og kreve bedre løsninger.  

​​Bibliography

​​Deceptive Design. (n.d.). Deceptive Design. Retrieved from https://www.deceptive.design/

​European Commission. (2025, 4 23). Commission finds Apple and Meta in breach of the Digital Markets Act. Retrieved from European Commission: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1085 

​Milmo, D. (2022, 1 6). The Guardian. Retrieved from France fines Google and Facebook €210m over user tracking: https://www.theguardian.com/technology/2022/jan/06/france-fines-google-and-facebook-210m-over-user-tracking-cookies 

​Sarnoff, M. (2023, 6 22). Feds accuse Amazon of using ‘dark patterns’ and ‘roach motel’ techniques to trick customers into auto-renewing Prime memberships. Retrieved from Law & Crime: https://lawandcrime.com/lawsuit/feds-accuse-amazon-of-using-dark-patterns-and-roach-motel-techniques-to-trick-customers-into-auto-renewing-prime-memberships/ 

Et av innsatsområdene i digitaliseringsstrategien «Fremtidens digitale Norge» er at vi skal utnytte mulighetene i kunstig intelligens. Regjeringen har en ambisjon om at Norge skal være i front på etisk og trygg bruk av KI, og at innen år 2030 skal 100 prosent av offentlige virksomheter ha tatt i bruk KI.

Det fremgår av strategien at utvikling og bruk av KI må skje på en ansvarlig måte – noe som indikerer at KI ikke skal tas i bruk for enhver pris. Det handler i stor grad om å finne gode brukstilfeller hvor det er hensiktsmessig og forsvarlig å bruke KI, for å utvikle bedre tjenester og løse oppgaver mer effektivt. Dette gjelder både i tilfeller hvor vi utvikler KI-baserte løsninger selv, men også i de tilfellene vi tar i bruk KI-funksjonalitet som er integrert i IT-løsninger vi allerede bruker i dag, slik som eksempelvis M365 Copilot. Slik funksjonalitet har vi i mye mindre grad mulighet til å skreddersy selv, da verktøyet leveres «ferdig» fra leverandøren.

Hvordan kan vi sikre at leverandørene av disse løsningene har utviklet de på en måte som understøtter etisk og trygg bruk?

Inga Strümke skriver i boken «Maskiner som tenker» om et eksperiment kalt The Moral Machine, utviklet av forskere ved Massachusetts Institute of Technology (MIT). Eksperimentet går i korte trekk ut på å undersøke hvordan mennesker fra forskjellige deler av verden ville prioritert hvilket liv som skulle reddes i situasjoner med selvkjørende biler. Funnene fra eksperimentet viser at moralske preferanser varierer mellom ulike kulturer og regioner (1). Hun skriver videre at folkegrupper med ulike kulturelle bakgrunner og verdigrunnlag har ulike etiske preferanser, noe som igjen vil føre til at teknologi utviklet i ulike deler av verden sannsynligvis vil baseres på ulike etiske avveininger (2).

Jeg tenker at dette er viktig å ha i bakhodet når vi vurderer å ta i bruk løsninger med kunstig intelligens fra ulike (særlig ikke-europeiske) leverandører. Det siste året har store deler av min arbeidshverdag gått med til å utrede og vurdere funksjonaliteten i verktøyet M365 Copilot, som leveres av Microsoft. Derfor har jeg også valgt å bruke M365 Copilot og Microsoft som eksempel i dette blogginnlegget. For å gjøre en samvittighetsfull vurdering av om dette er et verktøy man bør ta i bruk, er det nødvendig å se på hvordan utviklingen av verktøyet har foregått. Er verktøyet utviklet på ansvarlig måte som legger til rette for etisk og trygg bruk?

For å vurdere dette har det vært naturlig å ta utgangspunkt i rammeverket Microsoft Responsible AI Standard. Microsofts tilnærming til utvikling av ansvarlig kunstig intelligens er forankret i seks kjerneprinsipper, som er konkretisert og omgjort til praktisk veiledning i dette rammeverket. De seks kjerneprinsippene er som følger:

• Fairness
  – AI systems should treat all people fairly
• Reliability and safety
  – AI systems should perform reliably and safely
• Privacy and security
  – AI systems should be secure and respect privacy
• Inclusiveness
  – AI systems should empower everyone and engage people
• Transparency
  – AI systems should be understandable.
• Accountability
  – People should be accountable for AI systems.

Ved første øyekast ser det ut til at prinsippene som legges til grunn i Microsoft Responsible AI Standard i stor grad samsvarer med de syv etiske prinsippene for ansvarlig og pålitelig KI i kapittel 5.2 i Nasjonal strategi for kunstig intelligens fra 2020. Her heter det at KI-baserte løsninger skal respektere menneskets selvbestemmelse og kontroll, være sikre og teknisk robuste, ta hensyn til personvernet, være gjennomsiktige, legge til rette for inkludering, mangfold og likebehandling og være nyttig for samfunn og miljø. Det stilles også et krav til ansvarlighet.

Betyr dette at vi umiddelbart kan konkludere med at verktøy som er utviklet etter Microsoft Responsible AI Standard legger til rette for etisk og trygg bruk av KI?

Prinsippet om at KI-baserte løsninger skal ta hensyn til personvernet (som vi finner i Nasjonal strategi for kunstig intelligens) innebærer at kunstig intelligens som bygger på personopplysninger skal følge personvernforordningen. Dette vil eksempelvis innebære at hvis det inngår personopplysninger i det enorme datagrunnlaget språkmodellen i M365 Copilot er trent på, skal behandling av disse personopplysningene til det formål å trene språkmodellen ha et rettslig grunnlag for å være lovlig.

Vi vet ikke så alt for mye om det datagrunnlaget språkmodellen i M365 Copilot er trent på, men vi vet at dette består av enorme mengder tekst – millioner av bøker, artikler og nettsider. Jeg er sikker på at vi kan legge til grunn at det inngår personopplysninger i dette datagrunnlaget. I Norge og andre land innenfor EU/EØS gjelder personvernreglene også for personopplysninger som ligger åpent på nett. Hvordan dette fungerer i USA er jeg derimot usikker på. Med forbehold om at jeg ikke har inngående kunnskap om amerikansk personvernlovgivning, oppfatter jeg det slik at USA ikke har én overgripende personvernregulering slik vi har innenfor EU/EØS, men heller mindre, fragmenterte reguleringer på nasjonalt, statlig og lokalt nivå. Slik jeg ser det vil ikke dette være forenelig med sentrale prinsipper som ligger til grunn for europeisk personvernlovgivning, slik som prinsippet om forutberegnelighet – selv om et av de grunnleggende prinsippene i Microsoft sitt rammeverk er at utviklingen av KI skal respektere personvern («AI systems should be secure and respect privacy»).

Jeg antar også at datagrunnlaget språkmodellen er trent på i hovedsak er et amerikansk datagrunnlag, som dermed også gjenspeiler et amerikanske verdisett og kultur. Amerikanske verdisett og kultur vil ikke nødvendigvis harmonere med de verdisettene og den kulturen vi har i Norge. I vår nasjonale KI-strategi finner vi prinsippet om at KI-systemer skal legge til rette for inkludering, mangfold og likebehandling, og selv om to av kjerneprinsippene som ligger til grunn for Microsoft sitt rammeverk («Fairness» og «Inclusiveness») ser ut til å harmonere med det norske prinsippet, er det viktig å huske på at verdigrunnlaget som ligger til grunn for prinsippene kan være ulikt.

Disse problemstillingene gjelder selvfølgelig ikke kun ved bruk av KI-verktøy fra amerikanske leverandører, selv om jeg brukte Microsoft som eksempel i dette blogginnlegget. Jeg tenker at dette er relevant å ha i bakhodet uavhengig av hvilken leverandør du velger å kjøpe KI-løsninger fra – for å sikre at disse er utviklet på en ansvarlig måte.

(1) «Maskiner som tenker» s. 195

(2) «Maskiner som tenker» s. 196