Kako varno oblikovati AI v svojih programih za kibernetsko varnost

Konec junija je podjetje za kibernetsko varnost Group-IB razkrilo pomembno kršitev varnosti, ki je vplivala na račune ChatGPT. Podjetje je odkrilo osupljivih 100,000 ogroženih naprav, vsaka s poverilnicami ChatGPT, s katerimi se je v preteklem letu pozneje trgovalo na nezakonitih tržnicah Dark Web. Ta kršitev je spodbudila pozive k takojšnji pozornosti za obravnavo ogrožene varnosti računov ChatGPT, saj so iskalne poizvedbe, ki vsebujejo občutljive informacije, izpostavljene hekerjem.

V drugem incidentu v manj kot mesecu dni je Samsung utrpel tri dokumentirane primere, v katerih so zaposleni nenamerno prek ChatGPT uhajale občutljive informacije. Ker ChatGPT obdrži uporabniške vnesene podatke za izboljšanje lastne učinkovitosti, so te dragocene poslovne skrivnosti, ki pripadajo Samsungu, zdaj v lasti OpenAI, podjetja, ki stoji za storitvijo AI. To povzroča resne pomisleke glede zaupnosti in varnosti Samsungovih lastniških informacij.

Zaradi takšnih skrbi glede skladnosti ChatGPT s Splošno uredbo EU o varstvu podatkov (GDPR), ki določa stroge smernice za zbiranje in uporabo podatkov, Italija je uvedla prepoved po vsej državi o uporabi ChatGPT.

Hiter napredek na področju umetne inteligence in generativnih aplikacij umetne inteligence je odprl nove priložnosti za pospešitev rasti poslovne inteligence, izdelkov in operacij. Toda lastniki programov kibernetske varnosti morajo zagotoviti zasebnost podatkov, medtem ko čakajo na razvoj zakonov.

Javni motor proti zasebnemu motorju

Da bi bolje razumeli koncepte, začnimo z opredelitvijo javne in zasebne umetne inteligence. Javna umetna inteligenca se nanaša na javno dostopne programske aplikacije umetne inteligence, ki so bile usposobljene na naborih podatkov, pogosto pridobljenih od uporabnikov ali strank. Najboljši primer javne umetne inteligence je ChatGPT, ki uporablja javno dostopne podatke iz interneta, vključno z besedilnimi članki, slikami in videoposnetki.

Javna umetna inteligenca lahko vključuje tudi algoritme, ki uporabljajo nize podatkov, ki niso izključno za določenega uporabnika ali organizacijo. Zato se morajo stranke javne umetne inteligence zavedati, da njihovi podatki morda ne bodo ostali povsem zasebni.

Zasebna umetna inteligenca po drugi strani vključuje urjenje algoritmov na podatkih, ki so edinstveni za določenega uporabnika ali organizacijo. V tem primeru, če uporabljate sisteme strojnega učenja za usposabljanje modela z uporabo določenega nabora podatkov, kot so računi ali davčni obrazci, ta model ostane izključno v vaši organizaciji. Prodajalci platform ne uporabljajo vaših podatkov za usposabljanje lastnih modelov, zato zasebni AI preprečuje kakršno koli uporabo vaših podatkov za pomoč vašim konkurentom.

Vključite umetno inteligenco v programe in politike usposabljanja

Za eksperimentiranje, razvoj in integracijo aplikacij umetne inteligence v svoje izdelke in storitve ob upoštevanju najboljših praks bi moralo osebje za kibernetsko varnost uporabiti naslednje politike.

Ozaveščanje in izobraževanje uporabnikov: Uporabnike poučite o tveganjih, povezanih z uporabo umetne inteligence, in jih spodbudite, naj bodo previdni pri prenosu občutljivih informacij. Spodbujati varne komunikacijske prakse in svetovati uporabnikom, naj preverijo pristnost sistema AI.

• Zmanjšanje podatkov: Motorju AI zagotovite samo minimalno količino podatkov, potrebnih za izvedbo naloge. Izogibajte se deljenju nepotrebnih ali občutljivih informacij, ki niso pomembne za obdelavo AI.
• Anonimizacija in deidentifikacija: Kadarkoli je mogoče, podatke anonimizirajte ali deidentificirajte, preden jih vnesete v mehanizem AI. To vključuje odstranitev osebno določljivih podatkov (PII) ali katerih koli drugih občutljivih atributov, ki niso potrebni za obdelavo AI.

Prakse varnega ravnanja s podatki: Vzpostavite stroge politike in postopke za ravnanje z občutljivimi podatki. Omejite dostop le na pooblaščeno osebje in uveljavite močne mehanizme za preverjanje pristnosti, da preprečite nepooblaščen dostop. Usposabljajte zaposlene o najboljših praksah glede zasebnosti podatkov ter implementirajte mehanizme beleženja in revizije za sledenje dostopu do podatkov in njihovi uporabi.

Zadrževanje in odstranjevanje: Določite politike hrambe podatkov in jih varno odstranite, ko jih ne potrebujete več. Izvajati pravilno mehanizmi za odstranjevanje podatkov, kot je varno brisanje ali kriptografsko brisanje, da zagotovite, da podatkov ni mogoče obnoviti, potem ko niso več potrebni.

Pravni vidiki in vidiki skladnosti: Razumeti pravne posledice podatkov, ki jih vnašate v motor AI. Zagotovite, da je način, kako uporabniki uporabljajo AI, v skladu z ustreznimi predpisi, kot je npr zakoni o varstvu podatkov ali industrijskih standardov.

Ocena prodajalca: Če uporabljate mehanizem umetne inteligence, ki ga zagotavlja neodvisni prodajalec, izvedite temeljito oceno njihovih varnostnih ukrepov. Zagotovite, da prodajalec upošteva najboljše prakse v panogi za varnost in zasebnost podatkov ter da ima ustrezne zaščitne ukrepe za zaščito vaših podatkov. Potrdila ISO in SOC na primer zagotavljajo dragocene potrditve tretjih oseb o spoštovanju prodajalca priznanih standardov in njegovi zavezanosti informacijski varnosti.

Formalizirajte politiko sprejemljive uporabe AI (AUP): Politika sprejemljive uporabe umetne inteligence bi morala opisati namen in cilje politike, s poudarkom na odgovorni in etični uporabi tehnologij umetne inteligence. Opredeliti bi moral sprejemljive primere uporabe ter določiti obseg in meje za uporabo umetne inteligence. AUP bi moral spodbujati preglednost, odgovornost in odgovorno odločanje pri uporabi umetne inteligence ter spodbujati kulturo etičnih praks umetne inteligence v organizaciji. Redni pregledi in posodobitve zagotavljajo ustreznost pravilnika za razvijajoče se tehnologije in etiko umetne inteligence.

Sklepi

Z upoštevanjem teh smernic lahko lastniki programov učinkovito izkoristijo orodja umetne inteligence, hkrati pa varujejo občutljive informacije ter spoštujejo etične in strokovne standarde. Ključnega pomena je, da pregledate gradivo, ustvarjeno z umetno inteligenco, glede točnosti, hkrati pa zaščitite vnesene podatke, ki gredo v generiranje odzivnih pozivov.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs