CISA e NCSC lideram esforços para elevar os padrões de segurança de IA

A Agência Nacional de Segurança Cibernética (NCSC) do Reino Unido e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicaram orientações oficiais para proteger aplicações de IA – um documento que as agências esperam que garanta que a segurança seja inerente ao desenvolvimento da IA.

A agência de espionagem britânica afirma que o documento de orientação é o primeiro deste tipo e está sendo endossado por outros 17 países.

Dirigindo o publicação é o receio de longa data de que a segurança seja deixada de lado, à medida que os fornecedores de sistemas de IA trabalham para acompanhar o ritmo do desenvolvimento da IA.

Lindy Cameron, CEO do NCSC, disse no início deste ano que a indústria tecnológica tem um histórico de deixar a segurança como uma consideração secundária quando o ritmo do desenvolvimento tecnológico é elevado.

Hoje, as Diretrizes para o Desenvolvimento Seguro de Sistemas de IA chamaram novamente a atenção para esta questão, acrescentando que a IA também estará invariavelmente exposta a novas vulnerabilidades.

“Sabemos que a IA está a desenvolver-se a um ritmo fenomenal e é necessária uma acção internacional concertada, entre governos e indústria, para acompanhar”, disse Cameron.

“Estas Diretrizes marcam um passo significativo na formação de uma compreensão verdadeiramente global e comum dos riscos cibernéticos e das estratégias de mitigação em torno da IA ​​para garantir que a segurança não seja um pós-escrito para o desenvolvimento, mas um requisito fundamental em todo o processo. 

“Estou orgulhoso de que o NCSC esteja liderando esforços cruciais para elevar o nível de segurança cibernética da IA: um espaço cibernético global mais seguro nos ajudará a todos a aproveitar com segurança e confiança as maravilhosas oportunidades desta tecnologia.”

As diretrizes adotam uma seguro por design abordagem, idealmente ajudando os desenvolvedores de IA a tomar decisões mais seguras cibernéticas em todas as fases do processo de desenvolvimento. Eles se aplicarão a aplicativos criados desde o início e àqueles criados com base nos recursos existentes.

A lista completa de países que endossam a orientação, juntamente com suas respectivas agências de segurança cibernética, está abaixo:

• Austrália - Centro Australiano de Segurança Cibernética (ACSC) da Australian Signals Directorate 
• Canadá – Centro Canadense de Segurança Cibernética (CCCS) 
• Chile – CSIRT do Governo do Chile
• República Checa – Agência Nacional de Segurança Cibernética e de Informação da República Checa (NUKIB)
• Estónia – Autoridade do Sistema de Informação da Estónia (RIA) e Centro Nacional de Segurança Cibernética da Estónia (NCSC-EE)
• França – Agência Francesa de Cibersegurança (ANSSI)
• Alemanha – Escritório Federal Alemão de Segurança da Informação (BSI)
• Israel – Diretoria Cibernética Nacional de Israel (INCD)
• Itália – Agência Nacional Italiana de Cibersegurança (ACN)
• Japão – Centro Nacional de Preparação para Incidentes e Estratégia para Segurança Cibernética do Japão (NISC; Secretaria de Política de Ciência, Tecnologia e Inovação do Japão, Gabinete do Governo
• Nova Zelândia – Centro Nacional de Segurança Cibernética da Nova Zelândia
• Nigéria – Agência Nacional de Desenvolvimento de Tecnologia da Informação da Nigéria (NITDA)
• Noruega – Centro Nacional Norueguês de Segurança Cibernética (NCSC-NO)
• Polónia – Instituto Nacional de Investigação NASK da Polónia (NASK)
• República da Coreia – Serviço Nacional de Inteligência da República da Coreia (NIS)
• Singapura – Agência de Segurança Cibernética de Singapura (CSA)
• Reino Unido da Grã-Bretanha e Irlanda do Norte – Centro Nacional de Segurança Cibernética (NCSC)
• Estados Unidos da América – Agência de Cibersegurança e Infraestruturas (CISA); Agência de Segurança Nacional (NSA; Federal Bureau of Investigations (FBI))

As diretrizes são divididas em quatro áreas principais de foco, cada uma com sugestões específicas para melhorar cada etapa do ciclo de desenvolvimento da IA.

1. Design seguro

Tal como o título sugere, as directrizes afirmam que a segurança deve ser considerada mesmo antes do início do desenvolvimento. O primeiro passo é conscientizar o pessoal sobre os riscos de segurança da IA ​​e suas mitigações. 

Os desenvolvedores devem então modelar as ameaças aos seus sistemas, considerando também prepará-las para o futuro, como contabilizar o maior número de ameaças à segurança que surgirão à medida que a tecnologia atrai mais usuários, e desenvolvimentos tecnológicos futuros, como ataques automatizados.

As decisões de segurança também devem ser tomadas com cada decisão de funcionalidade. Se na fase de design um desenvolvedor estiver ciente de que os componentes de IA desencadearão determinadas ações, será necessário fazer perguntas sobre a melhor forma de proteger esse processo. Por exemplo, se a IA modificar ficheiros, então as salvaguardas necessárias deverão ser adicionadas para limitar esta capacidade apenas aos limites das necessidades específicas da aplicação.

2. Desenvolvimento seguro

A proteção do estágio de desenvolvimento inclui orientação sobre segurança da cadeia de suprimentos, manutenção de documentação robusta, proteção de ativos e gerenciamento de dívida técnica.

A segurança da cadeia de abastecimento tem sido um ponto de foco especial para os defensores nos últimos anos, com uma série de ataques de alto perfil que levaram a um grande número de vítimas. 

Garantir que os fornecedores usados ​​pelos desenvolvedores de IA sejam verificados e operem com altos padrões de segurança é importante, assim como ter planos para quando os sistemas de missão crítica enfrentarem problemas.

3. Implantação segura

A implantação segura envolve a proteção da infraestrutura usada para dar suporte a um sistema de IA, incluindo controles de acesso para APIs, modelos e dados. Se um incidente de segurança se manifestar, os desenvolvedores também devem ter planos de resposta e remediação em vigor, presumindo que os problemas um dia surgirão.

A funcionalidade do modelo e os dados sobre os quais foi treinado devem ser protegidos contra ataques continuamente e devem ser divulgados de forma responsável, somente quando forem submetidos a avaliações de segurança completas. 

Os sistemas de IA também devem facilitar a segurança dos usuários por padrão, sempre que possível, tornando a opção ou configuração mais segura o padrão para todos os usuários. A transparência sobre como os dados dos usuários são usados, armazenados e acessados ​​também é fundamental.

4. Operação e manutenção seguras

A seção final aborda como proteger os sistemas de IA após sua implantação. 

O monitoramento está no centro de grande parte disso, seja o comportamento do sistema para rastrear alterações que possam afetar a segurança ou o que é inserido no sistema. O cumprimento dos requisitos de privacidade e proteção de dados exigirá monitoramento e logging entradas em busca de sinais de uso indevido. 

As atualizações também devem ser emitidas automaticamente por padrão para que versões desatualizadas ou vulneráveis ​​não estejam em uso. Por último, ser um participante ativo em comunidades de partilha de informações pode ajudar a indústria a compreender as ameaças à segurança da IA, oferecendo mais tempo para os defensores conceberem mitigações que, por sua vez, poderão limitar potenciais explorações maliciosas. ®

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/