CISA i NCSC przewodzą wysiłkom na rzecz podniesienia standardów bezpieczeństwa sztucznej inteligencji

CISA i NCSC przewodzą wysiłkom na rzecz podniesienia standardów bezpieczeństwa sztucznej inteligencji

Znacznik czasu: 27 listopada 2023 11:15
CISA i NCSC przewodzą wysiłkom na rzecz podniesienia standardów bezpieczeństwa AI PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

Brytyjska Narodowa Agencja ds. Bezpieczeństwa Cybernetycznego (NCSC) i amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) opublikowały oficjalne wytyczne dotyczące zabezpieczania aplikacji AI – dokument, który, jak mają nadzieję agencje, zapewni bezpieczeństwo nieodłącznym elementem rozwoju sztucznej inteligencji.

Brytyjska agencja szpiegowska twierdzi, że dokument z wytycznymi jest pierwszym tego typu projektem i jest wspierany przez 17 innych krajów.

Prowadzenie publikacja to utrzymująca się od dawna obawa, że ​​bezpieczeństwo zostanie odrzucone na później, ponieważ dostawcy systemów sztucznej inteligencji starają się dotrzymać tempa rozwoju sztucznej inteligencji.

Lindy Cameron, dyrektor generalna NCSC, na początku tego roku stwierdziła, że ​​w branży technologicznej w przeszłości, gdy tempo rozwoju technologicznego było wysokie, bezpieczeństwo traktowano jako kwestię drugorzędną.

Dzisiaj w Wytycznych dotyczących rozwoju bezpiecznego systemu sztucznej inteligencji ponownie zwrócono uwagę na tę kwestię, dodając, że sztuczna inteligencja będzie niezmiennie narażona na nowe luki w zabezpieczeniach.

„Wiemy, że sztuczna inteligencja rozwija się w fenomenalnym tempie i aby dotrzymać kroku, potrzebne są skoordynowane działania międzynarodowe ze strony rządów i branży, aby dotrzymać kroku” – powiedział Cameron.

„Niniejsze wytyczne stanowią znaczący krok w kształtowaniu prawdziwie globalnego, wspólnego zrozumienia zagrożeń cybernetycznych i strategii ograniczania związanych ze sztuczną inteligencją, aby zapewnić, że bezpieczeństwo nie będzie postscriptum do rozwoju, ale podstawowym wymogiem w całym tekście. 

„Jestem dumny, że NCSC przewodzi kluczowym wysiłkom na rzecz podniesienia poprzeczki bezpieczeństwa cybernetycznego sztucznej inteligencji: bezpieczniejsza globalna przestrzeń cybernetyczna pomoże nam wszystkim bezpiecznie i pewnie wykorzystać wspaniałe możliwości tej technologii”.

W wytycznych przyjęto a bezpieczne od projektu podejście, idealnie pomagające twórcom sztucznej inteligencji w podejmowaniu najbardziej bezpiecznych decyzji na wszystkich etapach procesu rozwoju. Będą miały zastosowanie do aplikacji zbudowanych od podstaw oraz do tych zbudowanych w oparciu o istniejące zasoby.

Pełna lista krajów, które popierają wytyczne, wraz z odpowiednimi agencjami ds. cyberbezpieczeństwa znajduje się poniżej:

  • Australia – Australijskie Centrum Bezpieczeństwa Cybernetycznego (ACSC) Australijskiej Dyrekcji ds. Sygnałów 
  • Kanada – Kanadyjskie Centrum Bezpieczeństwa Cybernetycznego (CCCS) 
  • Chile – CSIRT rządu Chile
  • Czechy – Czeska Krajowa Agencja ds. Bezpieczeństwa Cybernetyki i Informacji (NUKIB)
  • Estonia – Estoński Urząd ds. Systemu Informatycznego (RIA) i Narodowe Centrum Cyberbezpieczeństwa Estonii (NCSC-EE)
  • Francja – Francuska Agencja ds. Cyberbezpieczeństwa (ANSSI)
  • Niemcy – Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI)
  • Izrael – Izraelska Krajowa Dyrekcja ds. Cyberbezpieczeństwa (INCD)
  • Włochy – Włoska Krajowa Agencja ds. Cyberbezpieczeństwa (ACN)
  • Japonia – Japońskie Narodowe Centrum Gotowości na Incydenty i Strategii na rzecz Cyberbezpieczeństwa (NISC; Japoński Sekretariat ds. Polityki Nauki, Technologii i Innowacji, Biuro Rady Ministrów
  • Nowa Zelandia – Narodowe Centrum Bezpieczeństwa Cybernetycznego Nowej Zelandii
  • Nigeria – Krajowa Agencja Rozwoju Technologii Informacyjnych Nigerii (NITDA)
  • Norwegia – Norweskie Narodowe Centrum Cyberbezpieczeństwa (NCSC-NO)
  • Polska – NASK Państwowy Instytut Badawczy (NASK)
  • Republika Korei – Narodowa Służba Wywiadowcza Republiki Korei (NIS)
  • Singapur – Agencja Bezpieczeństwa Cybernetycznego Singapuru (CSA)
  • Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej – Narodowe Centrum Cyberbezpieczeństwa (NCSC)
  • Stany Zjednoczone Ameryki – Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA); Agencja Bezpieczeństwa Narodowego (NSA; Federalne Biuro Śledcze (FBI)

Wytyczne podzielono na cztery kluczowe obszary, z których każdy zawiera szczegółowe sugestie dotyczące ulepszenia każdego etapu cyklu rozwoju sztucznej inteligencji.

1. Bezpieczny projekt

Jak sugeruje tytuł, wytyczne stwierdzają, że bezpieczeństwo należy wziąć pod uwagę jeszcze przed rozpoczęciem prac rozwojowych. Pierwszym krokiem jest podniesienie świadomości personelu na temat zagrożeń bezpieczeństwa AI i sposobów ich ograniczania. 

Programiści powinni następnie modelować zagrożenia dla swojego systemu, biorąc pod uwagę także zabezpieczenie ich na przyszłość, na przykład uwzględnienie większej liczby zagrożeń bezpieczeństwa, które pojawią się w miarę przyciągania większej liczby użytkowników przez technologię, oraz przyszły rozwój technologiczny, taki jak ataki automatyczne.

Decyzje dotyczące bezpieczeństwa powinny być również podejmowane przy każdej decyzji dotyczącej funkcjonalności. Jeśli na etapie projektowania programista ma świadomość, że komponenty AI spowodują określone działania, należy zadać pytania, jak najlepiej zabezpieczyć ten proces. Przykładowo, jeśli sztuczna inteligencja będzie modyfikować pliki, należy dodać niezbędne zabezpieczenia, aby ograniczyć tę możliwość jedynie do specyficznych potrzeb aplikacji.

2. Bezpieczny rozwój

Zabezpieczenie etapu rozwoju obejmuje wytyczne dotyczące bezpieczeństwa łańcucha dostaw, utrzymywania solidnej dokumentacji, ochrony aktywów i zarządzania długiem technicznym.

W ciągu ostatnich kilku lat bezpieczeństwo łańcucha dostaw było w centrum uwagi obrońców, a seria głośnych ataków doprowadziła do ogromną liczbę ofiar

Ważne jest zapewnienie, że dostawcy, z których korzystają twórcy sztucznej inteligencji, są zweryfikowani i działają zgodnie z wysokimi standardami bezpieczeństwa, podobnie jak posiadanie planów na wypadek problemów z systemami o znaczeniu krytycznym.

3. Bezpieczne wdrożenie

Bezpieczne wdrożenie obejmuje ochronę infrastruktury wykorzystywanej do obsługi systemu sztucznej inteligencji, w tym kontrolę dostępu do interfejsów API, modeli i danych. W przypadku wystąpienia incydentu związanego z bezpieczeństwem programiści powinni również mieć plany reagowania i naprawy, które zakładają, że pewnego dnia problemy wyjdą na jaw.

Funkcjonalność modelu i dane, na których został wytrenowany, powinny być stale chronione przed atakami i udostępniane w sposób odpowiedzialny, tylko wtedy, gdy zostaną poddane dokładnej ocenie bezpieczeństwa. 

Systemy sztucznej inteligencji powinny również domyślnie zapewniać użytkownikom bezpieczeństwo, w miarę możliwości ustawiając najbezpieczniejszą opcję lub konfigurację jako domyślną dla wszystkich użytkowników. Kluczowa jest także przejrzystość dotycząca sposobu wykorzystywania, przechowywania i uzyskiwania dostępu do danych użytkowników.

4. Bezpieczna obsługa i konserwacja

W ostatniej sekcji opisano sposoby zabezpieczania systemów sztucznej inteligencji po ich wdrożeniu. 

Monitorowanie stanowi sedno tego wszystkiego, niezależnie od tego, czy jest to zachowanie systemu polegające na śledzeniu zmian, które mogą mieć wpływ na bezpieczeństwo, czy też to, co jest wprowadzane do systemu. Spełnienie wymogów dotyczących prywatności i ochrony danych będzie wymagało monitorowania i zalogowaniu dane wejściowe pod kątem oznak nieprawidłowego użycia. 

Aktualizacje powinny być również domyślnie wydawane automatycznie, aby nie były używane nieaktualne lub podatne na ataki wersje. Wreszcie bycie aktywnym uczestnikiem społeczności dzielących się informacjami może pomóc branży w zrozumieniu zagrożeń bezpieczeństwa związanych ze sztuczną inteligencją, dając obrońcom więcej czasu na opracowanie środków zaradczych, które z kolei mogłyby ograniczyć potencjalne złośliwe exploity. ®

Znak czasu:

Więcej z Rejestr