Cách kiến ​​trúc AI một cách an toàn trong các chương trình an ninh mạng của bạn

Vào cuối tháng XNUMX, công ty an ninh mạng Group-IB đã tiết lộ một thông tin đáng chú ý. vi phạm bảo mật đã ảnh hưởng đến tài khoản ChatGPT. Công ty đã xác định được 100,000 thiết bị bị xâm nhập đáng kinh ngạc, mỗi thiết bị có thông tin đăng nhập ChatGPT sau đó được giao dịch trên các thị trường Dark Web bất hợp pháp trong suốt năm qua. Vi phạm này đã thúc đẩy các lời kêu gọi cần chú ý ngay lập tức để giải quyết vấn đề bảo mật bị xâm phạm của tài khoản ChatGPT, vì các truy vấn tìm kiếm có chứa thông tin nhạy cảm sẽ bị lộ trước tay tin tặc.

Trong một sự cố khác, trong vòng chưa đầy một tháng, Samsung đã phải chịu ba trường hợp được ghi nhận trong đó nhân viên vô tình rò rỉ thông tin nhạy cảm qua ChatGPT. Vì ChatGPT giữ lại dữ liệu đầu vào của người dùng để cải thiện hiệu suất của chính nó nên những bí mật thương mại có giá trị này thuộc về Samsung hiện thuộc quyền sở hữu của OpenAI, công ty đứng sau dịch vụ AI. Điều này đặt ra những lo ngại đáng kể về tính bảo mật và an ninh của thông tin độc quyền của Samsung.

Vì những lo lắng như vậy về việc ChatGPT tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) của EU, quy định các nguyên tắc nghiêm ngặt về thu thập và sử dụng dữ liệu, Ý đã áp đặt lệnh cấm trên toàn quốc về việc sử dụng ChatGPT.

Những tiến bộ nhanh chóng trong AI và các ứng dụng AI tổng quát đã mở ra những cơ hội mới để thúc đẩy tăng trưởng về trí tuệ kinh doanh, sản phẩm và hoạt động. Nhưng chủ sở hữu chương trình an ninh mạng cần đảm bảo quyền riêng tư của dữ liệu trong khi chờ luật được xây dựng.

Công cụ công cộng so với công cụ tư nhân

Để hiểu rõ hơn về các khái niệm, hãy bắt đầu bằng cách định nghĩa AI công cộng và AI riêng tư. AI công cộng đề cập đến các ứng dụng phần mềm AI có thể truy cập công khai đã được đào tạo trên các bộ dữ liệu, thường có nguồn gốc từ người dùng hoặc khách hàng. Một ví dụ điển hình về AI công cộng là ChatGPT, tận dụng dữ liệu có sẵn công khai từ Internet, bao gồm các bài viết văn bản, hình ảnh và video.

AI công cộng cũng có thể bao gồm các thuật toán sử dụng các bộ dữ liệu không dành riêng cho một người dùng hoặc tổ chức cụ thể. Do đó, khách hàng của AI công cộng nên biết rằng dữ liệu của họ có thể không hoàn toàn riêng tư.

Mặt khác, AI riêng liên quan đến các thuật toán đào tạo trên dữ liệu duy nhất cho một người dùng hoặc tổ chức cụ thể. Trong trường hợp này, nếu bạn sử dụng hệ thống máy học để đào tạo một mô hình bằng cách sử dụng một tập dữ liệu cụ thể, chẳng hạn như hóa đơn hoặc biểu mẫu thuế, thì mô hình đó vẫn dành riêng cho tổ chức của bạn. Các nhà cung cấp nền tảng không sử dụng dữ liệu của bạn để đào tạo các mô hình của riêng họ, vì vậy, AI riêng ngăn chặn mọi hoạt động sử dụng dữ liệu của bạn để hỗ trợ đối thủ cạnh tranh của bạn.

Tích hợp AI vào các chương trình và chính sách đào tạo

Để thử nghiệm, phát triển và tích hợp các ứng dụng AI vào các sản phẩm và dịch vụ của họ đồng thời tuân thủ các phương pháp hay nhất, nhân viên an ninh mạng nên áp dụng các chính sách sau vào thực tiễn.

Nhận thức và giáo dục người dùng: Giáo dục người dùng về những rủi ro liên quan đến việc sử dụng AI và khuyến khích họ thận trọng khi truyền thông tin nhạy cảm. Thúc đẩy các phương pháp giao tiếp an toàn và khuyên người dùng xác minh tính xác thực của hệ thống AI.

• Giảm thiểu dữ liệu: Chỉ cung cấp cho công cụ AI lượng dữ liệu tối thiểu cần thiết để hoàn thành nhiệm vụ. Tránh chia sẻ thông tin không cần thiết hoặc nhạy cảm không liên quan đến quá trình xử lý AI.
• Ẩn danh và hủy nhận dạng: Bất cứ khi nào có thể, hãy ẩn danh hoặc hủy nhận dạng dữ liệu trước khi nhập dữ liệu đó vào công cụ AI. Điều này liên quan đến việc xóa thông tin nhận dạng cá nhân (PII) hoặc bất kỳ thuộc tính nhạy cảm nào khác không cần thiết cho quá trình xử lý AI.

Thực tiễn xử lý dữ liệu an toàn: Thiết lập các chính sách và quy trình nghiêm ngặt để xử lý dữ liệu nhạy cảm của bạn. Chỉ giới hạn quyền truy cập cho những người được ủy quyền và thực thi các cơ chế xác thực mạnh mẽ để ngăn chặn truy cập trái phép. Đào tạo nhân viên về các phương pháp hay nhất về quyền riêng tư dữ liệu, đồng thời triển khai cơ chế ghi nhật ký và kiểm tra để theo dõi việc truy cập và sử dụng dữ liệu.

Lưu giữ và Xử lý: Xác định các chính sách lưu giữ dữ liệu và xử lý dữ liệu một cách an toàn khi không còn cần thiết. Thực hiện đúng cơ chế xử lý dữ liệu, chẳng hạn như xóa an toàn hoặc xóa bằng mật mã, để đảm bảo rằng không thể khôi phục dữ liệu sau khi không còn cần thiết nữa.

Cân nhắc pháp lý và tuân thủ: Hiểu sự phân nhánh hợp pháp của dữ liệu bạn đang nhập vào công cụ AI. Đảm bảo rằng cách người dùng sử dụng AI tuân thủ các quy định có liên quan, chẳng hạn như luật bảo vệ dữ liệu hoặc các tiêu chuẩn cụ thể của ngành.

Đánh giá nhà cung cấp: Nếu bạn đang sử dụng công cụ AI do nhà cung cấp bên thứ ba cung cấp, hãy thực hiện đánh giá kỹ lưỡng các biện pháp bảo mật của họ. Đảm bảo rằng nhà cung cấp tuân theo các phương pháp hay nhất trong ngành về bảo mật và quyền riêng tư dữ liệu, đồng thời họ có sẵn các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu của bạn. Ví dụ: chứng nhận ISO và SOC cung cấp các xác nhận có giá trị của bên thứ ba về sự tuân thủ của nhà cung cấp đối với các tiêu chuẩn được công nhận và cam kết của họ đối với bảo mật thông tin.

Chính thức hóa Chính sách sử dụng được chấp nhận của AI (AUP): Chính sách sử dụng AI được chấp nhận phải nêu rõ mục đích và mục tiêu của chính sách, nhấn mạnh việc sử dụng công nghệ AI một cách có trách nhiệm và có đạo đức. Nó phải xác định các trường hợp sử dụng có thể chấp nhận được, chỉ định phạm vi và ranh giới cho việc sử dụng AI. AUP nên khuyến khích tính minh bạch, trách nhiệm giải trình và ra quyết định có trách nhiệm trong việc sử dụng AI, thúc đẩy văn hóa thực hành AI có đạo đức trong tổ chức. Việc đánh giá và cập nhật thường xuyên đảm bảo tính phù hợp của chính sách với việc phát triển các công nghệ và đạo đức AI.

Kết luận

Bằng cách tuân thủ các nguyên tắc này, chủ sở hữu chương trình có thể tận dụng hiệu quả các công cụ AI đồng thời bảo vệ thông tin nhạy cảm và duy trì các tiêu chuẩn đạo đức và nghề nghiệp. Điều quan trọng là phải xem xét độ chính xác của tài liệu do AI tạo ra đồng thời bảo vệ dữ liệu đã nhập để tạo lời nhắc phản hồi.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs