CISA:s färdplan: Kartlägga en kurs för pålitlig AI-utveckling

Cyberförsvar: Medan AI-system kan hjälpa organisationer att förbättra sitt försvar mot nya såväl som avancerade cyberhot, utgör AI-baserade programvarusystem en antal risker som kräver en robust AI-försvar. Färdkartan syftar till att främja en fördelaktig användning av AI och samtidigt skydda landets system från AI-baserade hot.

Riskminskning och motståndskraft: Kritisk infrastruktur organisationer använder alltmer AI-system för att upprätthålla och stärka sin egen cyberresiliens. Med sin färdplan vill CISA främja en ansvarsfull och riskmedveten användning av AI-baserade mjukvarusystem som är "säkert genom design” — där säkerhet implementeras i designfasen av en produkts utvecklingslivscykel så att exploateringsbara brister kan minskas vid källan.

Operativt samarbete: När AI-tekniken växer kan amerikanska medborgare och kritiska infrastruktursektorer utsättas för riktade hot, vilket kan kräva informationsdelning och samordnade svar från organisationer, brottsbekämpande myndigheter och internationella partner. CISA planerar att utveckla ett ramverk som hjälper till att förbättra anpassningen och samordningen mellan relevanta intressenter.

Byråns sammanslagning: CISA strävar efter att förena och integrera AI-programvarusystem över hela byrån, vilket kommer att hjälpa den att använda AI-system mer sammanhängande. CISA planerar också att rekrytera och utveckla en arbetsstyrka som kan utnyttja AI-system optimalt.

Ansvarsfull användning av AI: CISA avser att distribuera AI-aktiverade mjukvaruverktyg för att stärka cyberförsvar och stödja kritisk infrastruktur. Alla system och verktyg kommer att genomgå en rigorös urvalsprocess där CISA kommer att säkerställa att AI-relaterade system är ansvarsfulla, säkra, etiska och säkra att använda. CISA kommer också att implementera robusta förvaltningsprocesser som inte bara kommer att överensstämma med federala upphandlingsprocesser, tillämpliga lagar och policyer, integritet och medborgerliga rättigheter och friheter, utan också anta ett tillvägagångssätt för kontinuerlig utvärdering av AI-modeller samtidigt som IT-säkerhetspraxis granskas för att säkert integrera teknologin.

Försäkra AI-system: För att bygga säkrare och motståndskraftigare AI-programvaruutveckling och implementering planerar CISA att kämpa för säker-by-design initiativ, utveckla säkerhetspraxis och vägledning för ett brett spektrum av intressenter (t.ex. federala civila statliga myndigheter, företag inom den privata sektorn, statliga, lokala, stam- och territoriella regeringar) och driva på antagandet av starka metoder för sårbarhetshantering, som specificerar en process för avslöjande av sårbarhet och ge vägledning för säkerhetstester och röda teamövningar för AI-system.

Skydda kritisk infrastruktur från skadlig användning av AI: CISA kommer att samarbeta med statliga myndigheter och industripartners såsom Joint Cyber ​​Defense Collaborative att utveckla, testa och utvärdera AI-verktyg och samarbeta för att utvecklas AI-hot. CISA kommer att publicera material för att öka medvetenheten om nya risker och kommer också att utvärdera riskhanteringsmetoder för att fastställa lämpliga analytiska ramar för bedömning och behandling av AI-risker.

Samarbeta med byråer, internationella partners och allmänheten: För att öka medvetenheten, för att dela hotinformation och för att förbättra incidentrespons och utredningskapacitet, planerar CISA att främja samarbetande tillvägagångssätt som AI-arbetsgrupper, delta i eller delta i möten mellan myndigheter och nära samordning med Department of Homeland Security-enheter. CISA kommer att arbeta över hela byrån för att säkerställa att dess policyer och strategier överensstämmer med hela regeringen och kommer att engagera internationella partner för att uppmuntra antagandet av internationella bästa praxis för säker AI.

Utöka AI-expertis i arbetsstyrkan: Mänskligt vaksamhet, tillsyn och intuition behövs alltid för att upptäcka AI- och icke-AI-baserade cyberhot och för att säkerställa att AI-system är fria från fel, fördomar och manipulation. Mänsklig intuition och vaksamhet kan bara stärkas med kraftfulla initiativ för säkerhetsmedvetenhet. Det är därför CISA planerar att kontinuerligt utbilda personalen i AI-programvarusystem och tekniker, rekrytera anställda med AI-expertis och genomföra utbildningsprogram för säkerhetsmedvetenhet som bör inkludera situationsbaserade övningar för att säkerställa att anställda förstår de juridiska, etiska och policyaspekterna av AI-baserad system, utöver de tekniska aspekterna.