CISA și NCSC conduc eforturile de a ridica standardele de securitate AI

Agenția Națională de Securitate Cibernetică (NCSC) din Marea Britanie și Agenția de Securitate Cibernetică și Infrastructură din SUA (CISA) au publicat îndrumări oficiale pentru securizarea aplicațiilor AI – un document în care agențiile speră că se va asigura că siguranța este inerentă în dezvoltarea AI.

Agenția britanică de spionaj spune că document de îndrumare este primul de acest gen și este susținut de alte 17 țări.

Conducerea publicare este teama de lungă durată că securitatea ar fi o idee ulterioară, deoarece furnizorii de sisteme AI lucrează pentru a ține pasul cu ritmul dezvoltării AI.

Lindy Cameron, CEO la NCSC, a declarat la începutul acestui an că industria tehnologică are o istorie de a lăsa securitatea ca o considerație secundară atunci când ritmul dezvoltării tehnologice este ridicat.

Astăzi, Orientările pentru dezvoltarea sistemelor AI securizate au atras din nou atenția asupra acestei probleme, adăugând că AI va fi invariabil expusă și la noi vulnerabilități.

„Știm că IA se dezvoltă într-un ritm fenomenal și este nevoie de acțiuni internaționale concertate, între guverne și industrie, pentru a ține pasul”, a spus Cameron.

„Aceste orientări marchează un pas semnificativ în conturarea unei înțelegeri cu adevărat globale și comune a riscurilor cibernetice și a strategiilor de atenuare în jurul AI, pentru a se asigura că securitatea nu este un postscript al dezvoltării, ci o cerință de bază pe tot parcursul. 

„Sunt mândru că NCSC conduce eforturi cruciale pentru a ridica ștacheta securității cibernetice AI: un spațiu cibernetic global mai sigur ne va ajuta pe toți să realizăm în siguranță și cu încredere oportunitățile minunate ale acestei tehnologii.”

Orientările adoptă a sigur-după-proiectare abordare, ajutând în mod ideal dezvoltatorii AI să ia cele mai sigure decizii cibernetice în toate etapele procesului de dezvoltare. Acestea se vor aplica aplicațiilor create de la zero și celor construite pe baza resurselor existente.

Lista completă a țărilor care aprobă ghidul, împreună cu agențiile de securitate cibernetică respective, este mai jos:

• Australia – Centrul australian de securitate cibernetică (ACSC) al Direcției de semnale australiane 
• Canada – Centrul canadian pentru securitate cibernetică (CCCS) 
• Chile – Guvernul Chile CSIRT
• Cehia – Agenția Națională de Securitate Cibernetică și Informațională a Cehiei (NUKIB)
• Estonia – Autoritatea Sistemului Informațional din Estonia (RIA) și Centrul Național de Securitate Cibernetică din Estonia (NCSC-EE)
• Franța – Agenția Franceză de Securitate Cibernetică (ANSSI)
• Germania – Oficiul Federal pentru Securitatea Informației (BSI) al Germaniei
• Israel – Direcția Națională Cibernetică Israeliană (INCD)
• Italia – Agenția Națională de Securitate Cibernetică Italiană (ACN)
• Japonia – Centrul Național de Pregătire pentru Incidente și Strategie pentru Securitate Cibernetică (NISC; Secretariatul Japoniei pentru Politică de Știință, Tehnologie și Inovare, Biroul Cabinetului)
• Noua Zeelandă – Centrul național de securitate cibernetică din Noua Zeelandă
• Nigeria – Agenția Națională de Dezvoltare a Tehnologiei Informației din Nigeria (NITDA)
• Norvegia – Centrul național norvegian de securitate cibernetică (NCSC-NO)
• Polonia – Institutul Național de Cercetare NASK din Polonia (NASK)
• Republica Coreea – Serviciul Național de Informații al Republicii Coreea (NIS)
• Singapore – Agenția de securitate cibernetică din Singapore (CSA)
• Regatul Unit al Marii Britanii și Irlandei de Nord – Centrul Național de Securitate Cibernetică (NCSC)
• Statele Unite ale Americii – Agenția de Infrastructură și Securitate Cibernetică (CISA); Agenția Națională de Securitate (NSA; Biroul Federal de Investigații (FBI)

Orientările sunt împărțite în patru domenii cheie de interes, fiecare cu sugestii specifice pentru a îmbunătăți fiecare etapă a ciclului de dezvoltare a AI.

1. Design sigur

După cum sugerează titlul, liniile directoare precizează că securitatea ar trebui luată în considerare chiar înainte de începerea dezvoltării. Primul pas este creșterea gradului de conștientizare a personalului cu privire la riscurile de securitate AI și atenuările acestora. 

Dezvoltatorii ar trebui apoi să modeleze amenințările la adresa sistemului lor, luând în considerare și acestea pentru viitor, cum ar fi luarea în considerare a numărului mai mare de amenințări de securitate care vor apărea pe măsură ce tehnologia atrage mai mulți utilizatori și viitoarele dezvoltări tehnologice, cum ar fi atacurile automate.

Deciziile de securitate ar trebui, de asemenea, luate cu fiecare decizie de funcționalitate. Dacă în faza de proiectare un dezvoltator este conștient de faptul că componentele AI vor declanșa anumite acțiuni, trebuie puse întrebări despre cum să securizeze cel mai bine acest proces. De exemplu, dacă AI va modifica fișierele, atunci trebuie adăugate măsurile de protecție necesare pentru a limita această capacitate doar la limitele nevoilor specifice ale aplicației.

2. Dezvoltare sigură

Securizarea etapei de dezvoltare include îndrumări privind securitatea lanțului de aprovizionare, menținerea documentației solide, protejarea activelor și gestionarea datoriei tehnice.

Securitatea lanțului de aprovizionare a fost un punct de interes special pentru apărători în ultimii câțiva ani, cu o serie de atacuri importante care au dus la un număr mare de victime. 

Este important să vă asigurați că furnizorii utilizați de dezvoltatorii AI sunt verificați și funcționează la standarde înalte de securitate, la fel ca și stabilirea de planuri pentru atunci când sistemele esențiale întâmpină probleme.

3. Implementare sigură

Implementarea securizată implică protejarea infrastructurii utilizate pentru a susține un sistem AI, inclusiv controale de acces pentru API-uri, modele și date. Dacă s-ar manifesta un incident de securitate, dezvoltatorii ar trebui să aibă, de asemenea, planuri de răspuns și remediere care presupun că problemele vor apărea într-o zi.

Funcționalitatea modelului și datele pe care a fost antrenat ar trebui protejate de atacuri în mod continuu și ar trebui eliberate în mod responsabil, numai atunci când au fost supuse unor evaluări amănunțite de securitate. 

Sistemele AI ar trebui să faciliteze, de asemenea, utilizatorilor să fie în siguranță în mod implicit, făcând, acolo unde este posibil, opțiunea sau configurația cea mai sigură ca implicită pentru toți utilizatorii. Transparența cu privire la modul în care datele utilizatorilor sunt utilizate, stocate și accesate este, de asemenea, esențială.

4. Operare și întreținere sigure

Secțiunea finală acoperă modul de securizare a sistemelor AI după ce au fost implementate. 

Monitorizarea se află în centrul multor probleme, fie că este vorba de comportamentul sistemului de a urmări schimbările care pot afecta securitatea sau de ceea ce este introdus în sistem. Îndeplinirea cerințelor privind confidențialitatea și protecția datelor va necesita monitorizare și logare intrări pentru semne de utilizare greșită. 

De asemenea, actualizările ar trebui să fie emise automat în mod implicit, astfel încât versiunile învechite sau vulnerabile să nu fie utilizate. În cele din urmă, a fi un participant activ în comunitățile de partajare a informațiilor poate ajuta industria să înțeleagă amenințările de securitate AI, oferind apărătorilor mai mult timp pentru a concepe măsuri de atenuare care, la rândul lor, ar putea limita potențialele exploit-uri rău intenționate. ®

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/