CISA ja NCSC johtavat toimia tekoälyn tietoturvastandardien nostamiseksi

Ison-Britannian kansallinen kyberturvallisuusvirasto (NCSC) ja Yhdysvaltain Cybersecurity and Infrastructure Security Agency (CISA) ovat julkaisseet viralliset ohjeet tekoälysovellusten turvaamiseksi – asiakirjan, jonka virastot toivovat varmistavan, että turvallisuus on olennainen osa tekoälyn kehitystä.

Britannian vakoojavirasto kertoo ohjeasiakirja on ensimmäinen laatuaan, ja sitä tukee 17 muuta maata.

Ajo julkaisu on pitkäaikainen pelko siitä, että tietoturva olisi jälkijuttu, kun tekoälyjärjestelmien toimittajat pyrkivät pysymään tekoälyn kehityksen tahdissa.

Lindy Cameron, NCSC:n toimitusjohtaja, sanoi aiemmin tänä vuonna, että teknologiateollisuudella on historiansa jättänyt turvallisuus toissijaiseksi näkökohdaksi, kun teknologian kehitys on nopeaa.

Tänään ohjeet turvalliselle tekoälyjärjestelmän kehittämiselle kiinnittivät jälleen huomiota tähän ongelmaan ja lisäten, että tekoäly altistuu aina myös uusille haavoittuvuuksille.

"Tiedämme, että tekoäly kehittyy ilmiömäistä vauhtia ja tarvitaan yhteistä kansainvälistä toimintaa hallitusten ja teollisuuden välillä pysyäksemme mukana", Cameron sanoi.

"Nämä ohjeet ovat merkittävä askel luotaessa aidosti globaalia, yhteistä ymmärrystä tekoälyyn liittyvistä kyberriskeistä ja lieventämisstrategioista, jotta varmistetaan, että turvallisuus ei ole kehityksen jälkikirjoitus vaan ydinvaatimus koko ajan. 

"Olen ylpeä siitä, että NCSC johtaa ratkaisevia ponnisteluja tekoälyn kyberturvallisuusriman nostamiseksi: turvallisempi globaali kyberavaruus auttaa meitä kaikkia ymmärtämään turvallisesti ja luottavaisesti tämän tekniikan upeat mahdollisuudet."

Ohjeissa hyväksytään a turvallinen suunnittelun mukaan lähestymistapaa, mikä ihanteellisesti auttaa tekoälykehittäjiä tekemään kyberturvallisimpia päätöksiä kehitysprosessin kaikissa vaiheissa. Ne koskevat sovelluksia, jotka on rakennettu alusta alkaen ja olemassa olevien resurssien päälle.

Alla on täydellinen luettelo maista, jotka tukevat ohjeita, ja niiden kyberturvallisuusvirastot:

• Australia – Australian Signals Directorate's Australian Cyber ​​Security Center (ACSC) 
• Kanada – Kanadan kyberturvallisuuskeskus (CCCS) 
• Chile – Chilen hallituksen CSIRT
• Tšekki – Tšekin kansallinen kyber- ja tietoturvavirasto (NUKIB)
• Viro – Viron tietojärjestelmäviranomainen (RIA) ja Viron kansallinen kyberturvallisuuskeskus (NCSC-EE)
• Ranska – Ranskan kyberturvallisuusvirasto (ANSSI)
• Saksa – Saksan liittovaltion tietoturvavirasto (BSI)
• Israel – Israelin National Cyber ​​Directorate (INCD)
• Italia – Italian kansallinen kyberturvallisuusvirasto (ACN)
• Japani – Japanin kansallinen kyberturvallisuushäiriövalmiuden ja -strategian keskus (NISC; Japanin tiede-, teknologia- ja innovaatiopolitiikan sihteeristö, kabinettitoimisto)
• Uusi-Seelanti – Uuden-Seelannin kansallinen kyberturvakeskus
• Nigeria – Nigerian kansallinen tietotekniikan kehitysvirasto (NITDA)
• Norja – Norjan kansallinen kyberturvakeskus (NCSC-NO)
• Puola – Puolan NASK National Research Institute (NASK)
• Korean tasavalta – Korean tasavallan kansallinen tiedustelupalvelu (NIS)
• Singapore – Singaporen kyberturvallisuusvirasto (CSA)
• Ison-Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta – National Cyber ​​Security Center (NCSC)
• Yhdysvallat – Cybersecurity and Infrastructure Agency (CISA); Kansallinen turvallisuusvirasto (NSA; Federal Bureau of Investigations (FBI))

Ohjeet on jaettu neljään keskeiseen painopistealueeseen, joista jokaisessa on erityisiä ehdotuksia tekoälyn kehityssyklin jokaisen vaiheen parantamiseksi.

1. Turvallinen suunnittelu

Kuten otsikosta voi päätellä, ohjeistuksessa todetaan, että turvallisuus tulee ottaa huomioon jo ennen kehityksen aloittamista. Ensimmäinen askel on lisätä henkilöstön tietoisuutta tekoälyn turvallisuusriskeistä ja niiden lieventämisestä. 

Kehittäjien tulee sitten mallintaa järjestelmäänsä kohdistuvat uhat ja harkita myös niiden tulevaisuudenkestävyyttä, kuten tietoturvauhkien lisääntymistä, joita syntyy, kun teknologia houkuttelee enemmän käyttäjiä, ja tulevaa teknologista kehitystä, kuten automatisoituja hyökkäyksiä.

Turvallisuuspäätökset tulee myös tehdä jokaisen toiminnallisuuspäätöksen yhteydessä. Jos kehittäjä on suunnitteluvaiheessa tietoinen siitä, että tekoälykomponentit käynnistävät tiettyjä toimintoja, on kysyttävä, kuinka tämä prosessi voidaan parhaiten turvata. Jos tekoäly esimerkiksi muokkaa tiedostoja, tarvittavat suojatoimenpiteet tulisi lisätä tämän ominaisuuden rajoittamiseksi vain sovelluksen erityistarpeiden rajoihin.

2. Turvallinen kehitys

Kehitysvaiheen turvaamiseen sisältyy ohjausta toimitusketjun turvallisuuteen, vankan dokumentaation ylläpitoon, omaisuuden suojaamiseen ja teknisten velkojen hallintaan.

Toimitusketjun turvallisuus on ollut puolustajien erityinen painopiste muutaman viime vuoden aikana, ja korkean profiilin hyökkäyksiä on johtanut valtava määrä uhreja. 

On tärkeää varmistaa, että tekoälykehittäjien käyttämät toimittajat ovat varmennettuja ja toimivat korkeiden turvallisuusstandardien mukaisesti, kuten myös suunnitelmien laatiminen, kun toimintakriittisissä järjestelmissä ilmenee ongelmia.

3. Turvallinen käyttöönotto

Turvallinen käyttöönotto sisältää tekoälyjärjestelmän tukemiseen käytetyn infrastruktuurin suojaamisen, mukaan lukien sovellusliittymien, mallien ja tietojen pääsynhallinnan. Jos tietoturvahäiriö ilmenee, kehittäjillä tulisi olla myös reagointi- ja korjaussuunnitelmat, joissa oletetaan, että ongelmat tulevat jonakin päivänä esiin.

Mallin toimivuus ja tiedot, joihin se on koulutettu, tulee suojata hyökkäyksiltä jatkuvasti, ja ne tulee vapauttaa vastuullisesti vasta, kun niille on tehty perusteellinen turvallisuusarviointi. 

Tekoälyjärjestelmien tulisi myös helpottaa käyttäjien turvallisuutta oletusarvoisesti ja tehdä turvallisimmasta vaihtoehdosta tai kokoonpanosta oletusarvo kaikille käyttäjille. Avoimuus sen suhteen, miten käyttäjien tietoja käytetään, tallennetaan ja käytetään, on myös tärkeää.

4. Turvallinen käyttö ja huolto

Viimeinen osa kattaa kuinka suojata tekoälyjärjestelmät niiden käyttöönoton jälkeen. 

Valvonta on suuren osan ytimessä, olipa kyse sitten järjestelmän käyttäytymisestä turvallisuuteen mahdollisesti vaikuttavien muutosten seuraamiseksi tai järjestelmään syötetyistä vaikutuksista. Yksityisyys- ja tietosuojavaatimusten täyttäminen edellyttää seurantaa ja hakkuu syötteet väärinkäytön merkkien varalta. 

Päivitykset tulisi myös julkaista automaattisesti oletusarvoisesti, jotta vanhentuneet tai haavoittuvaiset versiot eivät ole käytössä. Lopuksi, aktiivinen osallistuminen tiedonjakoyhteisöihin voi auttaa alaa ymmärtämään tekoälyn turvallisuusuhkia, mikä antaa puolustajille enemmän aikaa suunnitella lievennyksiä, mikä puolestaan ​​voi rajoittaa mahdollisia haitallisia hyväksikäyttöjä. ®

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/