CISA и NCSC возглавляют усилия по повышению стандартов безопасности ИИ

Национальное агентство кибербезопасности Великобритании (NCSC) и Агентство кибербезопасности и безопасности инфраструктуры США (CISA) опубликовали официальное руководство по обеспечению безопасности приложений ИИ – документ, который, как надеются агентства, обеспечит безопасность, неотъемлемую часть развития ИИ.

Британское шпионское агентство сообщает, что руководящий документ является первым в своем роде и одобрен еще 17 странами.

Вождение публикация Это давнее опасение, что безопасность станет второстепенной, поскольку поставщики систем искусственного интеллекта стараются идти в ногу с темпами развития искусственного интеллекта.

Линди Кэмерон, генеральный директор NCSC, ранее в этом году заявила, что технологическая индустрия имеет историю отодвигать безопасность на второй план, когда темпы технологического развития высоки.

Сегодня «Руководство по разработке безопасных систем искусственного интеллекта» снова привлекло внимание к этой проблеме, добавив, что искусственный интеллект также неизбежно будет подвергаться новым уязвимостям.

«Мы знаем, что ИИ развивается феноменальными темпами, и чтобы не отставать, необходимы согласованные международные действия правительств и промышленности», — сказал Кэмерон.

«Эти рекомендации знаменуют собой значительный шаг в формировании действительно глобального, общего понимания киберрисков и стратегий их смягчения, связанных с ИИ, чтобы гарантировать, что безопасность является не постскриптумом к развитию, а основным требованием во всем. 

«Я горжусь тем, что NCSC возглавляет решающие усилия по поднятию планки кибербезопасности ИИ: более безопасное глобальное киберпространство поможет нам всем безопасно и уверенно реализовать замечательные возможности этой технологии».

В руководящих принципах принят обеспечить, по-дизайн подход, в идеале помогающий разработчикам ИИ принимать наиболее кибербезопасные решения на всех этапах процесса разработки. Они будут применяться к приложениям, созданным с нуля, а также к приложениям, созданным на основе существующих ресурсов.

Полный список стран, которые одобряют данное руководство, а также их соответствующих агентств по кибербезопасности, приведен ниже:

• Австралия - Австралийский центр кибербезопасности (ACSC) Австралийского управления сигналов. 
• Канада – Канадский центр кибербезопасности (CCCS) 
• Чили - CSIRT правительства Чили
• Чехия - Национальное агентство кибербезопасности и информационной безопасности Чехии (NUKIB)
• Эстония – Управление информационной системы Эстонии (RIA) и Национальный центр кибербезопасности Эстонии (NCSC-EE)
• Франция – Французское агентство кибербезопасности (ANSSI)
• Германия – Федеральное ведомство информационной безопасности Германии (BSI)
• Израиль – Национальное управление кибербезопасности Израиля (INCD)
• Италия – Итальянское национальное агентство кибербезопасности (ACN)
• Япония - Национальный центр готовности к инцидентам и стратегии кибербезопасности Японии (NISC; Секретариат Японии по науке, технологиям и инновационной политике, Канцелярия Кабинета министров).
• Новая Зеландия – Национальный центр кибербезопасности Новой Зеландии
• Нигерия - Национальное агентство развития информационных технологий Нигерии (NITDA)
• Норвегия – Норвежский национальный центр кибербезопасности (NCSC-NO)
• Польша - Польский национальный исследовательский институт НАСК (НАСК)
• Республика Корея - Национальная разведывательная служба Республики Корея (НИС)
• Сингапур – Агентство кибербезопасности Сингапура (CSA)
• Соединенное Королевство Великобритании и Северной Ирландии – Национальный центр кибербезопасности (NCSC)
• Соединенные Штаты Америки – Агентство кибербезопасности и инфраструктуры (CISA); Агентство национальной безопасности (АНБ; Федеральное бюро расследований (ФБР)

Рекомендации разбиты на четыре ключевых направления, каждое из которых содержит конкретные предложения по улучшению каждого этапа цикла разработки ИИ.

1. Безопасная конструкция

Как следует из названия, в рекомендациях говорится, что безопасность следует учитывать еще до начала разработки. Первым шагом является повышение осведомленности сотрудников о рисках безопасности ИИ и способах их снижения. 

Затем разработчикам следует смоделировать угрозы для своей системы, учитывая их перспективность, например, учет большего количества угроз безопасности, которые будут возникать по мере того, как технология привлекает больше пользователей, а также будущих технологических разработок, таких как автоматические атаки.

Решения по безопасности также должны приниматься вместе с каждым решением по функциональности. Если на этапе проектирования разработчик знает, что компоненты ИИ будут инициировать определенные действия, необходимо задать вопросы о том, как лучше всего защитить этот процесс. Например, если ИИ будет изменять файлы, необходимо добавить необходимые меры безопасности, ограничивающие эту возможность только рамками конкретных потребностей приложения.

2. Безопасное развитие

Обеспечение безопасности на этапе разработки включает в себя рекомендации по безопасности цепочки поставок, ведению надежной документации, защите активов и управлению техническим долгом.

Безопасность цепочки поставок была предметом особого внимания правозащитников в течение последних нескольких лет, поскольку волна громких атак привела к огромное количество жертв. 

Важно гарантировать, что поставщики, которых используют разработчики ИИ, проверены и работают в соответствии с высокими стандартами безопасности, а также иметь планы на случай возникновения проблем в критически важных системах.

3. Безопасное развертывание

Безопасное развертывание предполагает защиту инфраструктуры, используемой для поддержки системы искусственного интеллекта, включая контроль доступа к API, моделям и данным. В случае возникновения инцидента безопасности разработчики также должны иметь планы реагирования и исправления, предполагающие, что однажды проблемы возникнут.

Функциональность модели и данные, на которых она была обучена, должны быть постоянно защищены от атак, и их следует выпускать ответственно только после тщательной оценки безопасности. 

Системы искусственного интеллекта также должны облегчать пользователям обеспечение безопасности по умолчанию, по возможности делая наиболее безопасный вариант или конфигурацию по умолчанию для всех пользователей. Прозрачность использования, хранения и доступа к данным пользователей также имеет ключевое значение.

4. Безопасная эксплуатация и обслуживание.

В последнем разделе рассказывается, как защитить системы ИИ после их развертывания. 

Мониторинг лежит в основе большей части этого, будь то поведение системы для отслеживания изменений, которые могут повлиять на безопасность, или то, что вводится в систему. Выполнение требований конфиденциальности и защиты данных потребует мониторинга и каротаж данные о признаках неправильного использования. 

Обновления также должны выпускаться автоматически по умолчанию, чтобы не использовались устаревшие или уязвимые версии. Наконец, активное участие в сообществах по обмену информацией может помочь отрасли понять угрозы безопасности ИИ, предоставляя защитникам больше времени для разработки мер по смягчению последствий, которые, в свою очередь, могут ограничить потенциальные вредоносные действия. ®

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/