Hogyan építsünk biztonságosan AI-t kiberbiztonsági programjaiban

Június végén a Group-IB kiberbiztonsági cég egy figyelemreméltó tényt tárt fel biztonsági megsértése, amely a ChatGPT-fiókokat érintette. A vállalat elképesztően 100,000 XNUMX feltört eszközt azonosított, amelyek mindegyike ChatGPT hitelesítési adatokkal rendelkezik, amelyeket az elmúlt év során illegális Dark Web piactereken forgalmaztak. Ez az incidens azonnali figyelmet igényel a ChatGPT-fiókok veszélyeztetett biztonságának megoldására, mivel az érzékeny információkat tartalmazó keresési lekérdezések ki vannak téve a hackerek számára.

Egy másik incidensben, kevesebb mint egy hónapon belül a Samsung három dokumentált esetet szenvedett el, amikor az alkalmazottak véletlenül bizalmas információkat szivárogtatott ki a ChatGPT-n keresztül. Mivel a ChatGPT megőrzi a felhasználói bemeneti adatokat saját teljesítményének javítása érdekében, ezek a Samsunghoz tartozó értékes üzleti titkok most az OpenAI, az AI-szolgáltatás mögött álló vállalat birtokában vannak. Ez komoly aggályokat vet fel a Samsung védett információinak bizalmasságát és biztonságát illetően.

Mivel a ChatGPT megfelel-e az EU általános adatvédelmi rendeletének (GDPR), amely szigorú irányelveket ír elő az adatgyűjtésre és -felhasználásra, aggodalmak miatt, Olaszország országos tilalmat rendelt el a ChatGPT használatáról.

Az AI és a generatív AI-alkalmazások gyors fejlődése új lehetőségeket nyitott az üzleti intelligencia, a termékek és a műveletek növekedésének felgyorsítására. A kiberbiztonsági programok tulajdonosainak azonban biztosítaniuk kell az adatok védelmét, miközben várnak a törvények kidolgozására.

Közmotor versus magánmotor

A fogalmak jobb megértése érdekében kezdjük a nyilvános és a privát AI meghatározásával. A nyilvános mesterségesintelligencia olyan nyilvánosan elérhető mesterségesintelligencia-szoftver-alkalmazásokat jelent, amelyeket gyakran a felhasználóktól vagy ügyfelektől származó adatkészletekre képeztek ki. A nyilvános mesterséges intelligencia kiváló példája a ChatGPT, amely felhasználja az internetről nyilvánosan elérhető adatokat, beleértve a szöveges cikkeket, képeket és videókat.

A nyilvános mesterséges intelligencia olyan algoritmusokat is magában foglalhat, amelyek nem kizárólag egy adott felhasználóra vagy szervezetre vonatkozó adatkészleteket használnak. Következésképpen a nyilvános mesterséges intelligencia ügyfeleinek tisztában kell lenniük azzal, hogy adataik nem feltétlenül maradnak teljesen privátak.

A privát mesterséges intelligencia ezzel szemben olyan adatokon tanít algoritmusokat, amelyek egyediek egy adott felhasználó vagy szervezet számára. Ebben az esetben, ha gépi tanulási rendszereket használ egy modell betanításához egy adott adatkészlet, például számlák vagy adóűrlapok használatával, akkor ez a modell kizárólagos marad a szervezet számára. A platformszállítók nem használják fel az Ön adatait saját modelljeik betanításához, így a privát mesterséges intelligencia megakadályozza, hogy adatait versenytársaik támogatására használják fel.

Integrálja a mesterséges intelligenciát a képzési programokba és szabályzatokba

Annak érdekében, hogy mesterséges intelligencia alkalmazásokat kísérletezzenek, fejlesszenek és integráljanak termékeikbe és szolgáltatásaikba, miközben betartják a legjobb gyakorlatokat, a kiberbiztonsági személyzetnek a következő irányelveket kell alkalmaznia a gyakorlatban.

Felhasználói tudatosság és oktatás: Tájékoztassa a felhasználókat az AI használatával járó kockázatokról, és bátorítsa őket, hogy legyenek óvatosak az érzékeny információk továbbításakor. Támogassa a biztonságos kommunikációs gyakorlatokat, és tanácsolja a felhasználókat az AI-rendszer hitelességének ellenőrzésére.

• Adatminimalizálás: Csak a feladat elvégzéséhez szükséges minimális mennyiségű adatot biztosítsa az AI-motornak. Kerülje a szükségtelen vagy érzékeny információk megosztását, amelyek nem relevánsak a mesterséges intelligencia feldolgozása szempontjából.
• Anonimizálás és azonosítás megszüntetése: Amikor csak lehetséges, anonimizálja vagy szüntesse meg az adatok azonosítását, mielőtt bevinné az AI-motorba. Ez magában foglalja a személyazonosításra alkalmas információk (PII) vagy bármely más olyan érzékeny attribútum eltávolítását, amely nem szükséges az AI-feldolgozáshoz.

Biztonságos adatkezelési gyakorlatok: Szigorú szabályzatok és eljárások kialakítása az érzékeny adatok kezelésére. A hozzáférést csak az arra feljogosított személyekre korlátozza, és erős hitelesítési mechanizmusokat kényszerítsen ki az illetéktelen hozzáférés megelőzése érdekében. Az alkalmazottak képzése az adatvédelmi bevált gyakorlatokról, valamint naplózási és auditálási mechanizmusok bevezetése az adatok elérésének és felhasználásának nyomon követésére.

Tárolás és ártalmatlanítás: Határozza meg az adatmegőrzési szabályzatot, és biztonságosan semmisítse meg az adatokat, ha már nincs rájuk szükség. Megfelelő megvalósítás adatkezelési mechanizmusok, mint például a biztonságos törlés vagy a kriptográfiai törlés, hogy ne lehessen visszaállítani az adatokat, miután már nincs rájuk szükség.

Jogi és megfelelőségi szempontok: Ismerje meg az AI-motorba bevitt adatok jogi következményeit. Győződjön meg arról, hogy a felhasználók az AI alkalmazásának módja megfelel a vonatkozó előírásoknak, mint pl adatvédelmi törvények vagy iparág-specifikus szabványok.

Eladó értékelése: Ha harmadik féltől származó mesterséges intelligencia-motort használ, alaposan értékelje a biztonsági intézkedéseiket. Győződjön meg arról, hogy a szállító követi az adatbiztonság és adatvédelem terén bevált iparági gyakorlatokat, és megfelelő biztosítékokkal rendelkezik az Ön adatai védelmére. Az ISO- és SOC-tanúsítvány például értékes, harmadik féltől származó hitelesítést nyújt a szállító elismert szabványokhoz való betartásáról és az információbiztonság iránti elkötelezettségéről.

Formalizálja az AI elfogadható felhasználási szabályzatát (AUP): A mesterséges intelligencia elfogadható használatára vonatkozó irányelvnek fel kell vázolnia a szabályzat célját és célkitűzéseit, hangsúlyozva az AI-technológiák felelős és etikus használatát. Meg kell határoznia az elfogadható használati eseteket, meghatározva az AI használatának hatókörét és határait. Az AUP-nak ösztönöznie kell az átláthatóságot, az elszámoltathatóságot és a felelős döntéshozatalt a mesterséges intelligencia használatában, elősegítve az etikus mesterségesintelligencia-gyakorlatok kultúráját a szervezeten belül. A rendszeres felülvizsgálatok és frissítések biztosítják az irányelvek relevanciáját a fejlődő AI-technológiák és -etika szempontjából.

Következtetések

Ezen irányelvek betartásával a programtulajdonosok hatékonyan kihasználhatják az AI-eszközöket, miközben megőrzik az érzékeny információkat, és betartják az etikai és szakmai normákat. Kulcsfontosságú az AI által generált anyagok pontosságának ellenőrzése, miközben egyidejűleg védjük a bevitt adatokat, amelyek a válaszkérések generálásához szükségesek.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs