CISA và NCSC dẫn đầu nỗ lực nâng cao tiêu chuẩn bảo mật AI

Cơ quan An ninh mạng Quốc gia (NCSC) của Vương quốc Anh và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) của Hoa Kỳ đã công bố hướng dẫn chính thức để bảo mật các ứng dụng AI – một tài liệu mà các cơ quan hy vọng sẽ đảm bảo rằng sự an toàn vốn có trong quá trình phát triển AI.

Cơ quan tình báo Anh cho biết tài liệu hướng dẫn là công ty đầu tiên thuộc loại này và đang được 17 quốc gia khác chứng thực.

Lái xe công bố là nỗi lo sợ lâu nay rằng bảo mật sẽ là vấn đề cần cân nhắc khi các nhà cung cấp hệ thống AI nỗ lực theo kịp tốc độ phát triển của AI.

Lindy Cameron, Giám đốc điều hành của NCSC, đầu năm nay cho biết ngành công nghệ có lịch sử coi an ninh là vấn đề thứ yếu khi tốc độ phát triển công nghệ cao.

Hôm nay, Nguyên tắc Phát triển Hệ thống AI An toàn một lần nữa thu hút sự chú ý đến vấn đề này, đồng thời nói thêm rằng AI cũng sẽ luôn gặp phải các lỗ hổng mới.

Cameron cho biết: “Chúng tôi biết rằng AI đang phát triển với tốc độ chóng mặt và cần có hành động phối hợp quốc tế, giữa các chính phủ và ngành công nghiệp để theo kịp”.

“Những Nguyên tắc này đánh dấu một bước quan trọng trong việc hình thành sự hiểu biết chung, thực sự mang tính toàn cầu về các chiến lược giảm thiểu và rủi ro mạng xung quanh AI để đảm bảo rằng bảo mật không phải là điều bắt buộc trong quá trình phát triển mà là yêu cầu cốt lõi xuyên suốt. 

“Tôi tự hào rằng NCSC đang dẫn đầu những nỗ lực quan trọng nhằm nâng cao tiêu chuẩn an ninh mạng AI: một không gian mạng toàn cầu an toàn hơn sẽ giúp tất cả chúng ta nhận ra những cơ hội tuyệt vời của công nghệ này một cách an toàn và tự tin.”

Các hướng dẫn áp dụng một thiết kế an toàn cách tiếp cận lý tưởng nhất là giúp các nhà phát triển AI đưa ra các quyết định an toàn mạng nhất ở tất cả các giai đoạn của quá trình phát triển. Chúng sẽ áp dụng cho các ứng dụng được xây dựng từ đầu và cho các ứng dụng được xây dựng dựa trên các tài nguyên hiện có.

Dưới đây là danh sách đầy đủ các quốc gia tán thành hướng dẫn cùng với các cơ quan an ninh mạng tương ứng của họ:

• Úc – Trung tâm An ninh Mạng Úc (ACSC) của Tổng cục Tín hiệu Úc 
• Canada – Trung tâm An ninh mạng Canada (CCCS) 
• Chile – CSIRT của Chính phủ Chile
• Séc – Cơ quan An ninh Thông tin và Mạng Quốc gia Séc (NUKIB)
• Estonia – Cơ quan Hệ thống Thông tin Estonia (RIA) và Trung tâm An ninh Mạng Quốc gia Estonia (NCSC-EE)
• Pháp – Cơ quan An ninh mạng Pháp (ANSSI)
• Đức – Văn phòng An ninh Thông tin Liên bang Đức (BSI)
• Israel – Tổng cục Mạng Quốc gia Israel (INCD)
• Ý – Cơ quan An ninh mạng Quốc gia Ý (ACN)
• Nhật Bản – Trung tâm Quốc gia về Sẵn sàng Sự cố và Chiến lược An ninh Mạng của Nhật Bản (NISC; Ban Thư ký Chính sách Khoa học, Công nghệ và Đổi mới của Nhật Bản, Văn phòng Nội các
• New Zealand – Trung tâm An ninh mạng Quốc gia New Zealand
• Nigeria – Cơ quan Phát triển Công nghệ Thông tin Quốc gia Nigeria (NITDA)
• Na Uy – Trung tâm An ninh mạng Quốc gia Na Uy (NCSC-NO)
• Ba Lan – Viện nghiên cứu quốc gia NASK (NASK) của Ba Lan
• Hàn Quốc – Cơ quan Tình báo Quốc gia Hàn Quốc (NIS)
• Singapore – Cơ quan An ninh mạng Singapore (CSA)
• Vương quốc Liên hiệp Anh và Bắc Ireland – Trung tâm An ninh Mạng Quốc gia (NCSC)
• Hợp chủng quốc Hoa Kỳ – Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA); Cơ quan An ninh Quốc gia (NSA; Cục Điều tra Liên bang (FBI)

Các hướng dẫn này được chia thành bốn lĩnh vực trọng tâm chính, mỗi lĩnh vực có đề xuất cụ thể để cải thiện từng giai đoạn của chu trình phát triển AI.

1. Thiết kế an toàn

Như tiêu đề gợi ý, hướng dẫn nêu rõ rằng bảo mật cần được xem xét ngay cả trước khi bắt đầu phát triển. Bước đầu tiên là nâng cao nhận thức của nhân viên về các rủi ro bảo mật AI và cách giảm thiểu chúng. 

Sau đó, các nhà phát triển nên lập mô hình các mối đe dọa đối với hệ thống của họ, xem xét việc kiểm soát các mối đe dọa này trong tương lai, chẳng hạn như tính toán số lượng lớn hơn các mối đe dọa bảo mật sẽ xuất hiện khi công nghệ thu hút nhiều người dùng hơn và các phát triển công nghệ trong tương lai như các cuộc tấn công tự động.

Các quyết định bảo mật cũng nên được đưa ra cùng với mọi quyết định về chức năng. Nếu trong giai đoạn thiết kế, nhà phát triển nhận thức được rằng các thành phần AI sẽ kích hoạt một số hành động nhất định thì cần đặt câu hỏi về cách tốt nhất để bảo mật quy trình này. Ví dụ: nếu AI sửa đổi các tệp thì cần bổ sung các biện pháp bảo vệ cần thiết để chỉ giới hạn khả năng này trong giới hạn các nhu cầu cụ thể của ứng dụng.

2. Phát triển an toàn

Đảm bảo giai đoạn phát triển bao gồm hướng dẫn về bảo mật chuỗi cung ứng, duy trì tài liệu chắc chắn, bảo vệ tài sản và quản lý nợ kỹ thuật.

An ninh chuỗi cung ứng là điểm tập trung đặc biệt của những người bảo vệ trong vài năm qua, với một loạt các cuộc tấn công quy mô lớn dẫn đến số lượng lớn nạn nhân. 

Việc đảm bảo các nhà cung cấp mà các nhà phát triển AI sử dụng được xác minh và vận hành theo các tiêu chuẩn bảo mật cao là rất quan trọng, cũng như phải có kế hoạch sẵn sàng khi các hệ thống quan trọng gặp sự cố.

3. Triển khai an toàn

Triển khai an toàn bao gồm việc bảo vệ cơ sở hạ tầng được sử dụng để hỗ trợ hệ thống AI, bao gồm các biện pháp kiểm soát quyền truy cập đối với API, mô hình và dữ liệu. Nếu một sự cố bảo mật xuất hiện, các nhà phát triển cũng nên có sẵn các kế hoạch ứng phó và khắc phục với giả định rằng một ngày nào đó các vấn đề sẽ xuất hiện.

Chức năng của mô hình và dữ liệu được đào tạo phải được bảo vệ khỏi các cuộc tấn công liên tục và chúng phải được phát hành một cách có trách nhiệm, chỉ khi chúng đã được đánh giá bảo mật kỹ lưỡng. 

Hệ thống AI cũng phải giúp người dùng dễ dàng được đảm bảo an toàn theo mặc định, nếu có thể, hãy đặt tùy chọn hoặc cấu hình an toàn nhất làm mặc định cho tất cả người dùng. Tính minh bạch về cách sử dụng, lưu trữ và truy cập dữ liệu của người dùng cũng là yếu tố then chốt.

4. Vận hành và bảo trì an toàn

Phần cuối cùng trình bày cách bảo mật hệ thống AI sau khi chúng được triển khai. 

Giám sát là trọng tâm của phần lớn công việc này, cho dù đó là hành vi của hệ thống nhằm theo dõi những thay đổi có thể ảnh hưởng đến bảo mật hay nội dung đầu vào của hệ thống. Việc thực hiện các yêu cầu về quyền riêng tư và bảo vệ dữ liệu sẽ yêu cầu giám sát và khai thác gỗ đầu vào cho các dấu hiệu sử dụng sai. 

Các bản cập nhật cũng phải được phát hành tự động theo mặc định để không sử dụng các phiên bản lỗi thời hoặc dễ bị tấn công. Cuối cùng, việc trở thành người tham gia tích cực vào các cộng đồng chia sẻ thông tin có thể giúp ngành xây dựng hiểu biết về các mối đe dọa bảo mật AI, mang lại nhiều thời gian hơn cho những người bảo vệ đưa ra các biện pháp giảm nhẹ, từ đó có thể hạn chế các hoạt động khai thác độc hại tiềm ẩn. ®

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/