CISA та NCSC очолюють зусилля з підвищення стандартів безпеки ШІ

Національне агентство кібербезпеки Великої Британії (NCSC) і Агентство кібербезпеки та безпеки інфраструктури США (CISA) опублікували офіційні вказівки щодо захисту додатків ШІ – документ, який, як сподіваються агентства, гарантує, що безпека є невід’ємною частиною розробки ШІ.

Про це повідомляє британське розвідувальне агентство керівний документ є першим у своєму роді та підтримується ще 17 країнами.

Водіння публікація є давнє побоювання, що безпека стане запізнілою думкою, оскільки постачальники систем ШІ працюють, щоб не відставати від темпів розвитку ШІ.

Лінді Кемерон, генеральний директор NCSC, на початку цього року заявила, що індустрія технологій має історію, коли безпека залишається на другому плані, коли темпи технологічного розвитку є високими.

Сьогодні Рекомендації щодо безпечної розробки систем штучного інтелекту знову привернули увагу до цієї проблеми, додавши, що штучний інтелект також незмінно буде піддаватися новим уразливостям.

«Ми знаємо, що штучний інтелект розвивається феноменальною швидкістю, і існує потреба в узгоджених міжнародних діях між урядами та галуззю, щоб не відставати», — сказав Кемерон.

«Ці Рекомендації знаменують значний крок у формуванні справді глобального загального розуміння кіберризиків і стратегій пом’якшення, пов’язаних із штучним інтелектом, щоб гарантувати, що безпека є не підсумком розробки, а основною вимогою. 

«Я пишаюся тим, що NCSC очолює важливі зусилля для підвищення планки кібербезпеки ШІ: більш безпечний глобальний кіберпростір допоможе нам усім безпечно та впевнено реалізувати чудові можливості цієї технології».

Керівні принципи приймають a безпечний дизайн підхід, ідеально допомагаючи розробникам ШІ приймати найбільш кібербезпечні рішення на всіх етапах процесу розробки. Вони застосовуватимуться до додатків, створених з нуля, і до тих, які створені на основі наявних ресурсів.

Нижче наведено повний список країн, які схвалюють інструкції, а також їхні відповідні агентства з кібербезпеки:

• Австралія – Австралійський центр кібербезпеки (ACSC) Австралійського управління сигналів 
• Канада – Канадський центр кібербезпеки (CCCS) 
• Чилі – CSIRT уряду Чилі
• Чехія – Національне агентство з кібернетичної та інформаційної безпеки Чехії (NUKIB)
• Естонія – Управління інформаційної системи Естонії (RIA) та Національний центр кібербезпеки Естонії (NCSC-EE)
• Франція – Французьке агентство з кібербезпеки (ANSSI)
• Німеччина – Федеральне відомство інформаційної безпеки Німеччини (BSI)
• Ізраїль – Ізраїльський національний кіберуправління (INCD)
• Італія – Італійське національне агентство з кібербезпеки (ACN)
• Японія – Японський національний центр готовності до інцидентів і стратегії кібербезпеки (NISC; Секретаріат політики науки, технологій та інновацій Японії, Кабінет міністрів
• Нова Зеландія – Національний центр кібербезпеки Нової Зеландії
• Нігерія – Національне агентство розвитку інформаційних технологій Нігерії (NITDA)
• Норвегія – Норвезький національний центр кібербезпеки (NCSC-NO)
• Польща – Національний науково-дослідний інститут Польщі NASK (NASK)
• Республіка Корея – Національна розвідувальна служба Республіки Корея (NIS)
• Сінгапур – Агентство кібербезпеки Сінгапуру (CSA)
• Сполучене Королівство Великої Британії та Північної Ірландії – Національний центр кібербезпеки (NCSC)
• Сполучені Штати Америки – Агентство з кібербезпеки та інфраструктури (CISA); Агентство національної безпеки (АНБ; Федеральне бюро розслідувань (ФБР)

Інструкції розбиті на чотири основні напрямки, кожна з яких містить конкретні пропозиції щодо вдосконалення кожного етапу циклу розробки ШІ.

1. Захищений дизайн

Як випливає з назви, у настановах зазначено, що питання безпеки слід враховувати ще до початку розробки. Першим кроком є ​​підвищення обізнаності персоналу щодо ризиків безпеки ШІ та способів їх пом’якшення. 

Потім розробникам слід змоделювати загрози для своєї системи, враховуючи їх у майбутньому, наприклад, враховуючи більшу кількість загроз безпеці, які з’являться, коли технологія залучатиме більше користувачів, і майбутні технологічні розробки, як-от автоматизовані атаки.

Рішення щодо безпеки також слід приймати з кожним рішенням щодо функціональності. Якщо на етапі проектування розробник усвідомлює, що компоненти штучного інтелекту запускатимуть певні дії, необхідно поставити питання про те, як найкраще захистити цей процес. Наприклад, якщо штучний інтелект змінюватиме файли, необхідно додати необхідні засоби захисту, щоб обмежити цю можливість лише в межах конкретних потреб програми.

2. Безпечний розвиток

Забезпечення етапу розробки включає вказівки щодо безпеки ланцюга постачання, ведення надійної документації, захист активів і управління технічним боргом.

Протягом останніх кількох років безпека ланцюга постачання була особливою темою для захисників, оскільки серія резонансних атак призвела до величезна кількість жертв. 

Важливо переконатися, що постачальники, яких використовують розробники штучного інтелекту, перевірені та працюють за високими стандартами безпеки, так само як і наявність планів на випадок, коли критично важливі системи мають проблеми.

3. Безпечне розгортання

Безпечне розгортання передбачає захист інфраструктури, яка використовується для підтримки системи штучного інтелекту, включаючи контроль доступу до API, моделей і даних. У разі виявлення інциденту безпеки розробники також повинні мати плани реагування та усунення, які передбачають, що проблеми одного дня виникнуть.

Функціональні можливості моделі та дані, на яких вона навчалася, мають бути постійно захищені від атак, і їх слід відповідально розкривати лише після ретельної оцінки безпеки. 

Системи штучного інтелекту також повинні полегшити користувачам забезпечення безпеки за замовчуванням, де це можливо, встановлюючи найбезпечніший варіант або конфігурацію за замовчуванням для всіх користувачів. Прозорість у тому, як використовуються, зберігаються та доступні дані користувачів, також є ключовою.

4. Безпечна експлуатація та обслуговування

Останній розділ розповідає про те, як захистити системи ШІ після їх розгортання. 

Моніторинг є основою багатьох з них, будь то поведінка системи для відстеження змін, які можуть вплинути на безпеку, або те, що вводиться в систему. Виконання вимог конфіденційності та захисту даних вимагатиме моніторингу та каротаж вхідні дані для ознак неправильного використання. 

Оновлення також мають випускатися автоматично за замовчуванням, щоб не використовувалися застарілі або вразливі версії. Нарешті, активна участь у спільнотах обміну інформацією може допомогти галузі зрозуміти загрози безпеці штучного інтелекту, надаючи більше часу захисникам на розробку засобів пом’якшення, які, у свою чергу, можуть обмежити потенційні шкідливі дії. ®

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/