Jak bezpiecznie tworzyć architekturę sztucznej inteligencji w programach cyberbezpieczeństwa

Pod koniec czerwca firma Group-IB zajmująca się cyberbezpieczeństwem ujawniła coś godnego uwagi naruszenie bezpieczeństwa, które wpłynęło na konta ChatGPT. Firma zidentyfikowała oszałamiającą liczbę 100,000 XNUMX przejętych urządzeń, z których każde miało dane uwierzytelniające ChatGPT, które następnie były przedmiotem obrotu na nielegalnych rynkach Dark Web w ciągu ostatniego roku. To naruszenie spowodowało wezwania do natychmiastowej uwagi w celu zajęcia się zagrożonymi bezpieczeństwem kont ChatGPT, ponieważ zapytania zawierające poufne informacje są narażone na ataki hakerów.

W innym incydencie, w okresie krótszym niż miesiąc, firma Samsung doświadczyła trzech udokumentowanych przypadków, w których pracownicy nieumyślnie wyciekły poufne informacje za pośrednictwem ChatGPT. Ponieważ ChatGPT przechowuje dane wprowadzane przez użytkowników w celu poprawy własnej wydajności, te cenne tajemnice handlowe należące do Samsunga są teraz w posiadaniu OpenAI, firmy stojącej za usługą sztucznej inteligencji. Rodzi to poważne obawy dotyczące poufności i bezpieczeństwa informacji zastrzeżonych firmy Samsung.

Z powodu takich obaw o zgodność ChatGPT z unijnym ogólnym rozporządzeniem o ochronie danych (RODO), które określa ścisłe wytyczne dotyczące gromadzenia i wykorzystywania danych, Włochy wprowadziły ogólnokrajowy zakaz w sprawie korzystania z ChatGPT.

Szybki postęp w sztucznej inteligencji i generatywnych aplikacjach sztucznej inteligencji otworzył nowe możliwości przyspieszenia rozwoju inteligencji biznesowej, produktów i operacji. Ale właściciele programów cyberbezpieczeństwa muszą zapewnić prywatność danych, czekając na opracowanie przepisów.

Silnik publiczny kontra silnik prywatny

Aby lepiej zrozumieć pojęcia, zacznijmy od zdefiniowania publicznej sztucznej inteligencji i prywatnej sztucznej inteligencji. Publiczna sztuczna inteligencja odnosi się do publicznie dostępnych aplikacji AI, które zostały przeszkolone na zbiorach danych, często pochodzących od użytkowników lub klientów. Doskonałym przykładem publicznej sztucznej inteligencji jest ChatGPT, który wykorzystuje publicznie dostępne dane z Internetu, w tym artykuły tekstowe, obrazy i filmy.

Publiczna sztuczna inteligencja może również obejmować algorytmy, które wykorzystują zbiory danych, które nie są przeznaczone wyłącznie dla określonego użytkownika lub organizacji. W związku z tym klienci publicznej sztucznej inteligencji powinni mieć świadomość, że ich dane mogą nie pozostać całkowicie prywatne.

Z drugiej strony prywatna sztuczna inteligencja polega na szkoleniu algorytmów na danych, które są unikalne dla konkretnego użytkownika lub organizacji. W takim przypadku, jeśli używasz systemów uczenia maszynowego do uczenia modelu przy użyciu określonego zestawu danych, takiego jak faktury lub formularze podatkowe, ten model pozostaje wyłączny dla Twojej organizacji. Dostawcy platform nie wykorzystują Twoich danych do trenowania własnych modeli, więc prywatna sztuczna inteligencja zapobiega wykorzystywaniu Twoich danych do pomocy konkurencji.

Zintegruj sztuczną inteligencję z programami i zasadami szkoleniowymi

Aby eksperymentować, rozwijać i integrować aplikacje AI w swoich produktach i usługach, przestrzegając najlepszych praktyk, pracownicy ds. bezpieczeństwa cybernetycznego powinni stosować w praktyce następujące zasady.

Świadomość i edukacja użytkowników: Edukuj użytkowników o zagrożeniach związanych z wykorzystaniem sztucznej inteligencji i zachęcaj ich do zachowania ostrożności podczas przesyłania poufnych informacji. Promuj praktyki bezpiecznej komunikacji i doradzaj użytkownikom, aby weryfikowali autentyczność systemu AI.

• Minimalizacja danych: Dostarczaj silnikowi sztucznej inteligencji tylko minimalną ilość danych niezbędnych do wykonania zadania. Unikaj udostępniania niepotrzebnych lub wrażliwych informacji, które nie są istotne dla przetwarzania AI.
• Anonimizacja i deidentyfikacja: Jeśli to możliwe, zanonimizuj lub pozbądź się danych umożliwiających identyfikację przed wprowadzeniem ich do silnika sztucznej inteligencji. Obejmuje to usunięcie danych osobowych (PII) lub wszelkich innych wrażliwych atrybutów, które nie są wymagane do przetwarzania AI.

Bezpieczne praktyki przetwarzania danych: Ustal surowe zasady i procedury postępowania z poufnymi danymi. Ogranicz dostęp tylko do upoważnionego personelu i egzekwuj silne mechanizmy uwierzytelniania, aby zapobiec nieautoryzowanemu dostępowi. Szkol pracowników w zakresie najlepszych praktyk w zakresie prywatności danych oraz wdrażaj mechanizmy rejestrowania i audytowania w celu śledzenia dostępu do danych i ich wykorzystania.

Przechowywanie i usuwanie: Zdefiniuj zasady przechowywania danych i bezpiecznie pozbądź się danych, gdy nie będą już potrzebne. Wdrażaj prawidłowo mechanizmy usuwania danych, takich jak bezpieczne usuwanie lub usuwanie kryptograficzne, aby zapewnić, że danych nie będzie można odzyskać, gdy nie będą już potrzebne.

Kwestie prawne i dotyczące zgodności: Zapoznaj się z konsekwencjami prawnymi danych, które wprowadzasz do silnika AI. Upewnij się, że sposób, w jaki użytkownicy wykorzystują sztuczną inteligencję, jest zgodny z odpowiednimi przepisami, np przepisy dotyczące ochrony danych lub normy branżowe.

Ocena dostawcy: Jeśli korzystasz z silnika AI dostarczonego przez zewnętrznego dostawcę, przeprowadź dokładną ocenę jego środków bezpieczeństwa. Upewnij się, że dostawca przestrzega najlepszych praktyk branżowych w zakresie bezpieczeństwa danych i prywatności oraz że stosuje odpowiednie zabezpieczenia w celu ochrony Twoich danych. Certyfikaty ISO i SOC, na przykład, dostarczają cennych poświadczeń stron trzecich dotyczących przestrzegania przez dostawcę uznanych standardów i jego zaangażowania w bezpieczeństwo informacji.

Sformalizuj zasady dopuszczalnego użytkowania AI (AUP): Polityka dopuszczalnego wykorzystania sztucznej inteligencji powinna określać cel i cele tej polityki, kładąc nacisk na odpowiedzialne i etyczne korzystanie z technologii sztucznej inteligencji. Powinien określać dopuszczalne przypadki użycia, określając zakres i granice wykorzystania AI. AUP powinna zachęcać do przejrzystości, odpowiedzialności i odpowiedzialnego podejmowania decyzji w zakresie korzystania z AI, wspierając kulturę etycznych praktyk AI w organizacji. Regularne przeglądy i aktualizacje zapewniają zgodność zasad z rozwijającymi się technologiami i etyką sztucznej inteligencji.

wnioski

Przestrzegając tych wytycznych, właściciele programów mogą skutecznie wykorzystywać narzędzia sztucznej inteligencji, jednocześnie chroniąc poufne informacje i przestrzegając standardów etycznych i zawodowych. Kluczowe znaczenie ma przegląd materiałów generowanych przez sztuczną inteligencję pod kątem dokładności, przy jednoczesnej ochronie wprowadzonych danych, które są wykorzystywane do generowania monitów o odpowiedź.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs