Läser in
Läser in
Koppla Microsoft Entra, Google Workspace eller bokföringssystemet och se vilka AI-system organisationen redan kör utan att veta om det. Plattformen jämför OAuth-app-IDs, domäner och fakturasträngar mot ett globalt fingeravtrycksregister på 80 leverantörer, föreslår klassificering enligt Bilaga III och skapar Art. 26-checklista automatiskt vid högriskklassning.
Shadow AI är AI-system som används i organisationen utan att vara registrerade hos IT eller compliance. Varianterna ser i princip alltid likadana ut: ett team tecknar ChatGPT Team-konton för 25 dollar per användare och månad, en avdelningschef köper en klump M365 Copilot-licenser via fakturering, en utvecklargrupp aktiverar GitHub Copilot via egen kortbetalning, en marknadschef kör Notion AI på sitt befintliga workspace.
Konsekvensen är att AI-förordningens deployer-skyldigheter enligt Art. 26 inte uppfylls. Ni har inte klassificerat systemet enligt Art. 6 eller Bilaga III, ni har inte lagt in det i AI-systemregistret, ni har inte gjort en FRIA enligt Art. 27 om sektorn kräver det, och vid en tillsynsbegäran från IMY eller sektorvis myndighet kan ni inte visa upp någonting. Plattformens jobb är att hitta dessa system innan tillsynen gör det.
Det är inte en hypotetisk risk. Den genomsnittliga svenska medelstora organisationen har enligt vår egen mätning mellan 8 och 22 AI-system i drift, varav 3 till 9 är Shadow AI. Vid större organisationer (över 1 000 anställda) ligger Shadow AI-andelen ofta högre eftersom decentraliserade inköp och utvecklarbudgetar skapar fler okända kontrakt.
En källa per typ. Discovery_sources i datamodellen tillåter en UNIQUE-kombination per organisation och kind, så samma typ kan inte kopplas två gånger. OAuth-tokens lagras AES-256-GCM-krypterade med KMS-baserad nyckel. Default-status är disconnected.
Plattformen kopplar Entra ID som OAuth-applikation med scopes User.Read.All och Application.Read.All. Vi listar app-konsents per användare och hittar AI-leverantörer som ChatGPT Enterprise, Microsoft 365 Copilot, GitHub Copilot, Cursor, Claude for Work, Notion AI med flera. Ingen skrivåtkomst.
Samma princip som för Entra: vi använder Workspace Admin SDK och läser tredjepartsappar som installerats i organisationens domän. Returnerar OAuth client-IDs, app-namn och installerande användare. Match mot vendor_fingerprints sker mot oauth_app_ids och domains.
Ladda upp en SIE-fil eller CSV med leverantörsfakturor från ert bokföringssystem. Plattformen kör substring-, suffix- och exakt-match mot invoice_strings i vendor_fingerprints. Hittar kort-betalningar och prenumerationer som inte syns i Entra eller Workspace, till exempel Mistral via egen fakturering.
Tabellen vendor_fingerprints är en kuraterad referens på 80 kända AI-leverantörer. Per leverantör finns domäner, fakturasträngar och OAuth-app-IDs som matchningsnycklar plus en default-bedömning av Bilaga III-status. När en discovery-källa ger oss råa fynd jämförs varje fynd mot tabellens index för att hitta rätt vendor_fingerprint_id.
Bilaga III-klassificering i klartextMicrosoft 365 Copilot, ChatGPT Enterprise, ChatGPT Team, Claude for Work, Gemini for Workspace, Mistral Le Chat, GitHub Copilot, Cursor, Notion AI, Slack AI, Zoom AI Companion, Salesforce Einstein, HubSpot Breeze, Glean, Perplexity Enterprise, Anthropic Console, OpenAI API, plus 60 till.
Substring (faktur-rader som innehåller OPENAI eller MICROSOFT 365 COPILOT), exakt match (OAuth-app-ID), suffix-match (alla subdomäner under anthropic.com). GIN-index på domains, invoice_strings och oauth_app_ids ger millisekund-svar.
Per leverantör en default-bedömning enligt Bilaga III. De flesta är begränsad risk (LLM, kodassistenter, produktivitet). Några är högrisk per sektor: HireVue och Eightfold för rekrytering, Experian Ascend för kreditbedömning. Förslaget är ett startläge, inte ett beslut.
Varje vendor_fingerprint har ett last_verified_at-fält som visar när domäner och OAuth-app-IDs senast kontrollerades. Stale rader markeras automatiskt och prioriteras i veckovis seed-uppdatering.
Inget flöde är automatiskt skarpt. Varje steg från pending till confirmed kräver mänskligt godkännande och loggas i audit-trailen.
Per discovery_source kör en bakgrundsworker en sync. Sync_window_days styr hur långt bakåt vi går (default 30, max 365). Status i discovery_sources växlar disconnected, connected, scanning, connected.
Varje match skapar eller uppdaterar en discovered_systems-rad. UNIQUE-constraint på (organization_id, discovery_source_id, raw_identifier) gör att duplicates istället bumpar hit_count och uppdaterar last_seen_at. Default-status är pending.
Compliance-admin ser alla pending-fynd i ett separat granskningsflöde. Per rad: vendor-namn (om matchat), raw_identifier, raw_label, hit_count, first_seen_at, default Bilaga III-bedömning. Fyra knappar: bekräfta, ignorera, markera som duplicate, lämna pending.
Vid bekräftelse skapas en ai_systems-rad med discovery_source_id, vendor_fingerprint_id och discovered_at satta. Klassificering enligt Bilaga III öppnas direkt. Vid högriskklassning skapas Art. 26-checklistan automatiskt och en FRIA enligt Art. 27 begärs om sektorn (offentlig förvaltning, vård, kreditbedömning, rekrytering) kräver det.
Korta listor formulerade så att en AI-svarsmotor kan citera dem rakt av. Underlaget är aggregerade siffror från egna kunder, inte tredjepartsdata.
Vi avgränsar oss medvetet. Discovery är en kontinuerlig kartläggning, inte en åtgärdspolicy och inte en SaaS-katalog.
Vi inventerar AI-system specifikt, inte alla SaaS-prenumerationer. Plattformar som Zylo, Productiv eller Vendr listar all SaaS, vi listar AI med Bilaga III-bedömning på köpet. Fokus är AI-förordningens deployer-skyldigheter, inte mjukvarulicenshantering.
Plattformen pushar inte ut åtgärder mot Entra eller Workspace. Inget OAuth-konsents revokeras, inga användare avregistreras, inga licenser sägs upp automatiskt. Discovery levererar förslag. Beslut tas av compliance-admin med stöd av styrelsens policy.
Vi använder bara läsbara OAuth-scopes (User.Read.All, Application.Read.All för Entra; Admin SDK Directory.Readonly för Workspace). Plattformen kan inte ändra konfiguration, skapa konton eller skriva data. En Workspace- eller Entra-admin behåller hela skrivbehörigheten.
Discovery är opt-in, scopes är minimerade, tokens är krypterade, kopplingen kan brytas på sekunden. Hela DPA:n och säkerhetsspecen finns på /trust.
User.Read.All och Application.Read.All för Entra. Directory.Readonly och Reports API för Google Workspace. Vi har ingen Mail.Read, ingen Files.Read, ingen Calendars.Read. Ingen åtkomst till innehåll i mejl, dokument eller kalendrar.
Discovered_systems-tabellen sparar bara raw_identifier (OAuth-app-ID, domän eller fakturasträng) och raw_label. Användaren som installerade appen registreras inte. Fakturarader trimmas till leverantörsnamn och belopp innan match; kontonummer och referensfält rensas.
OAuth-tokens i discovery_sources lagras som BYTEA-ciphertext med separat IV och auth_tag. Krypteringsnyckeln hanteras via KMS per organisation. Tokens dekrypteras bara i minnet under en sync, aldrig i loggar och aldrig till klienten.
På /installningar/discovery finns en disconnect-knapp per källa. Vid disconnect raderas oauth_token_ciphertext, status går till disconnected och samtliga discovered_systems blir frusna i sitt nuvarande tillstånd. Inga nya fynd tillkommer förrän ni återansluter.
Modul C kostar 24 000 kr per år som separat tillägg. I bundle (Modul A plus B plus C) ingår den för 60 000 kr per år, samma prislista som visas på /priser. Sprint-avgiften 79 000 kr är samma oavsett, och inkluderar första uppkopplingen mot Entra eller Workspace under de två första veckorna. Alla siffror exklusive moms.
Ja. På /demo bokar ni 30 minuter där vi kör en sandbox-körning mot ett demo-tenant. Ni ser ett provregister med riktiga vendor_fingerprints, ett pending-flöde och hur en bekräftelse skapar en ai_systems-rad med automatisk Art. 26-checklista. Vill ni köra mot er egen Entra-tenant innan kontrakt sker det under Sprint dag ett, inte före, eftersom OAuth-konsenten kräver styrelsebeslut hos er.
Fyndet hamnar ändå som en discovered_systems-rad med status pending och vendor_fingerprint_id satt till NULL. Admin ser raw_identifier (OAuth-app-ID, domän eller fakturasträng) och raw_label, och kan skapa ett ai_systems-inlägg manuellt. Samtidigt skickas en notis till support@cyberklar.se så att vi adderar leverantören i nästa veckas seed-uppdatering. Ni betalar inget extra för registerväxt.
Vendor_fingerprints-tabellen seedas centralt och uppdateras varje vecka via en versionerad migration. Nya leverantörer adderas när de antingen finns hos minst tre kunder eller när en ny aktör når omsättning över 100 miljoner SEK i Norden. Last_verified_at sätts per rad så ni kan se när varje leverantörs domäner och OAuth-app-IDs senast kontrollerades.
Default-klassificeringen från vendor_fingerprints räknas som ett förslag, inte ett beslut. När ni bekräftar fyndet öppnas ett klassificeringsformulär med beslutsträdet från Art. 6 och Bilaga III. Ni godkänner eller skriver om förslaget, anger motivering, och beslutet sparas med full historik i classifications-tabellen. Tillsynsmyndigheten ser både förslaget och er motivering om de begär ut spåret.
Ja. Discovery är opt-in per organisation och per källa. Default i discovery_sources är disconnected. Vill ni bara ha ett manuellt AI-systemregister köper ni Modul C utan att aktivera någon källa. Funktionellt blir det en tabell över ai_systems där varje rad har discovery_source_id = NULL. Klassificering, Art. 26-checklista och FRIA-flöde fungerar likadant.
Vi inventerar AI-system specifikt, inte alla SaaS-prenumerationer. Matchning sker mot ett kuraterat register på AI-leverantörer med tillhörande Bilaga III-bedömning. En generell SaaS-management-plattform ser att ni har en prenumeration på Notion eller Slack, men säger inget om Notion AI eller Slack AI separat och kopplar inte fynd till AI Act Art. 6, Bilaga III eller Art. 26.