Как безопасно спроектировать ИИ в ваших программах кибербезопасности

В конце июня компания Group-IB, специализирующаяся на кибербезопасности, сообщила о заметном нарушение безопасности, затронувшее учетные записи ChatGPT. Компания выявила ошеломляющие 100,000 XNUMX скомпрометированных устройств, каждое из которых имело учетные данные ChatGPT, которые впоследствии были проданы на незаконных торговых площадках Dark Web в течение прошлого года. Это нарушение требует немедленного внимания к скомпрометированной безопасности учетных записей ChatGPT, поскольку поисковые запросы, содержащие конфиденциальную информацию, становятся доступными для хакеров.

В другом инциденте, в течение менее месяца, Samsung пострадала от трех задокументированных случаев, когда сотрудники непреднамеренно слил конфиденциальную информацию через ChatGPT. Поскольку ChatGPT сохраняет введенные пользователем данные для повышения собственной производительности, эти ценные коммерческие тайны, принадлежащие Samsung, теперь находятся во владении OpenAI, компании, предоставляющей услуги искусственного интеллекта. Это вызывает серьезные опасения относительно конфиденциальности и безопасности частной информации Samsung.

Из-за подобных опасений по поводу соблюдения ChatGPT Общего регламента ЕС по защите данных (GDPR), который требует строгих правил сбора и использования данных, Италия ввела общенациональный запрет об использовании ChatGPT.

Быстрый прогресс в области искусственного интеллекта и генеративных приложений искусственного интеллекта открыл новые возможности для ускорения роста бизнес-аналитики, продуктов и операций. Но владельцы программ кибербезопасности должны обеспечить конфиденциальность данных, ожидая разработки законов.

Публичный движок против частного движка

Чтобы лучше понять концепции, давайте начнем с определения публичного и частного ИИ. Публичный ИИ относится к общедоступным программным приложениям ИИ, которые были обучены на наборах данных, часто полученных от пользователей или клиентов. Ярким примером публичного ИИ является ChatGPT, который использует общедоступные данные из Интернета, включая текстовые статьи, изображения и видео.

Общедоступный ИИ также может включать в себя алгоритмы, использующие наборы данных, не предназначенные только для конкретного пользователя или организации. Следовательно, клиенты общедоступного ИИ должны знать, что их данные могут не оставаться полностью конфиденциальными.

С другой стороны, частный ИИ включает алгоритмы обучения на данных, которые уникальны для конкретного пользователя или организации. В этом случае, если вы используете системы машинного обучения для обучения модели с использованием определенного набора данных, например счетов-фактур или налоговых форм, эта модель остается эксклюзивной для вашей организации. Поставщики платформ не используют ваши данные для обучения своих моделей, поэтому частный ИИ предотвращает любое использование ваших данных для помощи вашим конкурентам.

Интеграция ИИ в учебные программы и политики

Чтобы экспериментировать, разрабатывать и интегрировать приложения ИИ в свои продукты и услуги, придерживаясь лучших практик, сотрудники службы кибербезопасности должны применять на практике следующие политики.

Осведомленность и образование пользователей: Информируйте пользователей о рисках, связанных с использованием ИИ, и призывайте их быть осторожными при передаче конфиденциальной информации. Продвигайте методы безопасного общения и советуйте пользователям проверять подлинность системы ИИ.

• Минимизация данных: Предоставляйте движку ИИ только минимальный объем данных, необходимый для выполнения задачи. Избегайте обмена ненужной или конфиденциальной информацией, которая не имеет отношения к обработке ИИ.
• Анонимизация и деидентификация: По возможности анонимизируйте или деидентифицируйте данные перед их вводом в механизм ИИ. Это включает в себя удаление личной информации (PII) или любых других конфиденциальных атрибутов, которые не требуются для обработки ИИ.

Практика безопасной обработки данных: Установите строгие политики и процедуры для обработки ваших конфиденциальных данных. Ограничьте доступ только авторизованному персоналу и применяйте надежные механизмы аутентификации для предотвращения несанкционированного доступа. Обучите сотрудников передовым методам обеспечения конфиденциальности данных и внедрите механизмы ведения журналов и аудита для отслеживания доступа к данным и их использования.

Хранение и утилизация: Определите политики хранения данных и безопасно утилизируйте данные, когда они больше не нужны. Реализовать надлежащее механизмы удаления данных, такие как безопасное удаление или криптографическое стирание, чтобы гарантировать невозможность восстановления данных после того, как они больше не нужны.

Юридические аспекты и вопросы соответствия: Поймите юридические последствия данных, которые вы вводите в механизм ИИ. Убедитесь, что то, как пользователи используют ИИ, соответствует соответствующим правилам, таким как законы о защите данных или отраслевых стандартов.

Оценка поставщика: Если вы используете механизм искусственного интеллекта, предоставленный сторонним поставщиком, проведите тщательную оценку его мер безопасности. Убедитесь, что поставщик следует лучшим отраслевым практикам в области безопасности и конфиденциальности данных и что у него имеются соответствующие меры безопасности для защиты ваших данных. Например, аттестация ISO и SOC обеспечивает ценную стороннюю проверку соблюдения поставщиком признанных стандартов и его приверженности информационной безопасности.

Формализуйте Политику допустимого использования ИИ (AUP): Политика приемлемого использования ИИ должна определять цель и задачи политики, подчеркивая ответственное и этичное использование технологий ИИ. Он должен определить приемлемые варианты использования, указав объем и границы использования ИИ. AUP должен поощрять прозрачность, подотчетность и ответственное принятие решений при использовании ИИ, способствуя развитию культуры этических практик ИИ внутри организации. Регулярные обзоры и обновления обеспечивают актуальность политики для развития технологий и этики искусственного интеллекта.

Выводы

Придерживаясь этих рекомендаций, владельцы программ могут эффективно использовать инструменты искусственного интеллекта, защищая конфиденциальную информацию и соблюдая этические и профессиональные стандарты. Крайне важно проверять материалы, сгенерированные ИИ, на предмет их точности, одновременно защищая вводимые данные, которые используются для создания подсказок с ответами.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs