Πώς να αρχιτεκτονήσετε με ασφάλεια την τεχνητή νοημοσύνη στα προγράμματα ασφάλειας στον κυβερνοχώρο

Στα τέλη Ιουνίου, η εταιρεία κυβερνοασφάλειας Group-IB αποκάλυψε ένα αξιοσημείωτο παραβίαση ασφαλείας που επηρέασε τους λογαριασμούς ChatGPT. Η εταιρεία εντόπισε εκπληκτικές 100,000 παραβιασμένες συσκευές, καθεμία με διαπιστευτήρια ChatGPT που στη συνέχεια διακινήθηκαν σε παράνομες αγορές του Dark Web κατά τη διάρκεια του περασμένου έτους. Αυτή η παραβίαση προκάλεσε έκκληση για άμεση προσοχή για την αντιμετώπιση της διακυβευμένης ασφάλειας των λογαριασμών ChatGPT, καθώς τα ερωτήματα αναζήτησης που περιέχουν ευαίσθητες πληροφορίες εκτίθενται σε χάκερ.

Σε ένα άλλο περιστατικό, μέσα σε διάστημα λιγότερο από ένα μήνα, η Samsung υπέστη τρεις τεκμηριωμένες περιπτώσεις κατά τις οποίες οι εργαζόμενοι κατά λάθος διέρρευσαν ευαίσθητες πληροφορίες μέσω του ChatGPT. Επειδή το ChatGPT διατηρεί τα δεδομένα εισόδου των χρηστών για να βελτιώσει τις επιδόσεις του, αυτά τα πολύτιμα εμπορικά μυστικά που ανήκουν στη Samsung βρίσκονται πλέον στην κατοχή της OpenAI, της εταιρείας πίσω από την υπηρεσία AI. Αυτό εγείρει σημαντικές ανησυχίες σχετικά με την εμπιστευτικότητα και την ασφάλεια των ιδιόκτητων πληροφοριών της Samsung.

Λόγω τέτοιων ανησυχιών σχετικά με τη συμμόρφωση του ChatGPT με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ, ο οποίος επιβάλλει αυστηρές οδηγίες για τη συλλογή και τη χρήση δεδομένων, Η Ιταλία έχει επιβάλει απαγόρευση σε εθνικό επίπεδο σχετικά με τη χρήση του ChatGPT.

Οι ραγδαίες εξελίξεις στην τεχνητή νοημοσύνη και στις παραγωγικές εφαρμογές τεχνητής νοημοσύνης έχουν ανοίξει νέες ευκαιρίες για επιτάχυνση της ανάπτυξης στην επιχειρηματική ευφυΐα, τα προϊόντα και τις λειτουργίες. Ωστόσο, οι ιδιοκτήτες προγραμμάτων κυβερνοασφάλειας πρέπει να διασφαλίσουν το απόρρητο των δεδομένων ενώ περιμένουν τη θέσπιση νόμων.

Δημόσιος κινητήρας έναντι ιδιωτικού κινητήρα

Για να κατανοήσουμε καλύτερα τις έννοιες, ας ξεκινήσουμε ορίζοντας το δημόσιο AI και το ιδιωτικό AI. Η δημόσια τεχνητή νοημοσύνη αναφέρεται σε δημόσια προσβάσιμες εφαρμογές λογισμικού τεχνητής νοημοσύνης που έχουν εκπαιδευτεί σε σύνολα δεδομένων, που συχνά προέρχονται από χρήστες ή πελάτες. Ένα χαρακτηριστικό παράδειγμα δημόσιας τεχνητής νοημοσύνης είναι το ChatGPT, το οποίο αξιοποιεί δημόσια διαθέσιμα δεδομένα από το Διαδίκτυο, συμπεριλαμβανομένων άρθρων κειμένου, εικόνων και βίντεο.

Η δημόσια τεχνητή νοημοσύνη μπορεί επίσης να περιλαμβάνει αλγόριθμους που χρησιμοποιούν σύνολα δεδομένων που δεν είναι αποκλειστικά για έναν συγκεκριμένο χρήστη ή οργανισμό. Κατά συνέπεια, οι πελάτες δημόσιας τεχνητής νοημοσύνης θα πρέπει να γνωρίζουν ότι τα δεδομένα τους ενδέχεται να μην παραμείνουν εντελώς ιδιωτικά.

Η ιδιωτική τεχνητή νοημοσύνη, από την άλλη πλευρά, περιλαμβάνει αλγόριθμους εκπαίδευσης σε δεδομένα που είναι μοναδικά για έναν συγκεκριμένο χρήστη ή οργανισμό. Σε αυτήν την περίπτωση, εάν χρησιμοποιείτε συστήματα μηχανικής εκμάθησης για να εκπαιδεύσετε ένα μοντέλο χρησιμοποιώντας ένα συγκεκριμένο σύνολο δεδομένων, όπως τιμολόγια ή φορολογικά έντυπα, αυτό το μοντέλο παραμένει αποκλειστικά στον οργανισμό σας. Οι προμηθευτές πλατφόρμας δεν χρησιμοποιούν τα δεδομένα σας για να εκπαιδεύσουν τα δικά τους μοντέλα, επομένως η ιδιωτική τεχνητή νοημοσύνη αποτρέπει οποιαδήποτε χρήση των δεδομένων σας για να βοηθήσετε τους ανταγωνιστές σας.

Ενσωματώστε την τεχνητή νοημοσύνη σε εκπαιδευτικά προγράμματα και πολιτικές

Προκειμένου να πειραματιστούν, να αναπτύξουν και να ενσωματώσουν εφαρμογές τεχνητής νοημοσύνης στα προϊόντα και τις υπηρεσίες τους, τηρώντας παράλληλα τις βέλτιστες πρακτικές, το προσωπικό ασφάλειας στον κυβερνοχώρο θα πρέπει να εφαρμόσει τις ακόλουθες πολιτικές στην πράξη.

Ευαισθητοποίηση και εκπαίδευση χρηστών: Εκπαιδεύστε τους χρήστες σχετικά με τους κινδύνους που συνδέονται με τη χρήση της τεχνητής νοημοσύνης και ενθαρρύνετέ τους να είναι προσεκτικοί κατά τη μετάδοση ευαίσθητων πληροφοριών. Προωθήστε ασφαλείς πρακτικές επικοινωνίας και συμβουλέψτε τους χρήστες να επαληθεύσουν την αυθεντικότητα του συστήματος AI.

• Ελαχιστοποίηση δεδομένων: Παρέχετε στον κινητήρα AI μόνο τον ελάχιστο όγκο δεδομένων που είναι απαραίτητος για την ολοκλήρωση της εργασίας. Αποφύγετε την κοινή χρήση περιττών ή ευαίσθητων πληροφοριών που δεν σχετίζονται με την επεξεργασία της τεχνητής νοημοσύνης.
• Ανωνυμοποίηση και αποταυτοποίηση: Όποτε είναι δυνατόν, ανωνυμοποιήστε ή αποπροσδιορίστε τα δεδομένα πριν τα εισαγάγετε στον κινητήρα AI. Αυτό περιλαμβάνει την αφαίρεση προσωπικών πληροφοριών (PII) ή οποιωνδήποτε άλλων ευαίσθητων χαρακτηριστικών που δεν απαιτούνται για την επεξεργασία AI.

Πρακτικές Ασφαλούς Χειρισμού Δεδομένων: Καθιερώστε αυστηρές πολιτικές και διαδικασίες για το χειρισμό των ευαίσθητων δεδομένων σας. Περιορίστε την πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό και εφαρμόστε ισχυρούς μηχανισμούς ελέγχου ταυτότητας για να αποτρέψετε τη μη εξουσιοδοτημένη πρόσβαση. Εκπαιδεύστε τους υπαλλήλους στις βέλτιστες πρακτικές απορρήτου δεδομένων και εφαρμόστε μηχανισμούς καταγραφής και ελέγχου για την παρακολούθηση της πρόσβασης και της χρήσης των δεδομένων.

Διατήρηση και απόρριψη: Καθορίστε πολιτικές διατήρησης δεδομένων και απορρίψτε με ασφάλεια τα δεδομένα όταν δεν είναι πλέον απαραίτητα. Εφαρμόστε σωστά μηχανισμών διάθεσης δεδομένων, όπως ασφαλής διαγραφή ή κρυπτογραφική διαγραφή, για να διασφαλιστεί ότι τα δεδομένα δεν μπορούν να ανακτηθούν αφού δεν είναι πλέον απαραίτητα.

Νομικά ζητήματα και ζητήματα συμμόρφωσης: Κατανοήστε τις νομικές συνέπειες των δεδομένων που εισάγετε στον κινητήρα AI. Βεβαιωθείτε ότι ο τρόπος με τον οποίο οι χρήστες χρησιμοποιούν το AI συμμορφώνεται με τους σχετικούς κανονισμούς, όπως π.χ νόμοι περί προστασίας δεδομένων ή ειδικά για τον κλάδο πρότυπα.

Αξιολόγηση προμηθευτή: Εάν χρησιμοποιείτε μηχανή τεχνητής νοημοσύνης που παρέχεται από τρίτο προμηθευτή, εκτελέστε μια διεξοδική αξιολόγηση των μέτρων ασφαλείας τους. Βεβαιωθείτε ότι ο πωλητής ακολουθεί τις βέλτιστες πρακτικές του κλάδου για την ασφάλεια και το απόρρητο των δεδομένων και ότι διαθέτει κατάλληλες δικλείδες ασφαλείας για την προστασία των δεδομένων σας. Η βεβαίωση ISO και SOC, για παράδειγμα, παρέχει πολύτιμες επικυρώσεις τρίτων για τη συμμόρφωση ενός προμηθευτή σε αναγνωρισμένα πρότυπα και τη δέσμευσή του στην ασφάλεια των πληροφοριών.

Επισημοποιήστε μια πολιτική αποδεκτής χρήσης AI (AUP): Μια πολιτική αποδεκτής χρήσης τεχνητής νοημοσύνης θα πρέπει να περιγράφει τον σκοπό και τους στόχους της πολιτικής, δίνοντας έμφαση στην υπεύθυνη και ηθική χρήση των τεχνολογιών τεχνητής νοημοσύνης. Θα πρέπει να ορίζει αποδεκτές περιπτώσεις χρήσης, προσδιορίζοντας το εύρος και τα όρια για τη χρήση της τεχνητής νοημοσύνης. Το AUP θα πρέπει να ενθαρρύνει τη διαφάνεια, τη λογοδοσία και την υπεύθυνη λήψη αποφάσεων στη χρήση της τεχνητής νοημοσύνης, ενισχύοντας μια κουλτούρα ηθικών πρακτικών τεχνητής νοημοσύνης εντός του οργανισμού. Οι τακτικές αναθεωρήσεις και ενημερώσεις διασφαλίζουν τη συνάφεια της πολιτικής με τις εξελισσόμενες τεχνολογίες τεχνητής νοημοσύνης και ηθική.

συμπεράσματα

Τηρώντας αυτές τις οδηγίες, οι κάτοχοι προγραμμάτων μπορούν να αξιοποιήσουν αποτελεσματικά τα εργαλεία τεχνητής νοημοσύνης, προστατεύοντας παράλληλα ευαίσθητες πληροφορίες και τηρώντας τα ηθικά και επαγγελματικά πρότυπα. Είναι ζωτικής σημασίας να ελέγχετε το υλικό που δημιουργείται από την τεχνητή νοημοσύνη ως προς την ακρίβεια, ενώ ταυτόχρονα προστατεύετε τα εισαγόμενα δεδομένα που περιλαμβάνονται στη δημιουργία προτροπών απόκρισης.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs