Zephyrnet-logo

Generatieve data-intelligentie

AI

CISA en NCSC leiden de inspanningen om de AI-beveiligingsnormen te verhogen

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 135

De Britse National Cyber ​​Security Agency (NCSC) en de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben officiële richtlijnen gepubliceerd voor het beveiligen van AI-toepassingen – een document waarvan de agentschappen hopen dat het ervoor zal zorgen dat veiligheid inherent is aan de ontwikkeling van AI.

Dat zegt de Britse spionagedienst leidraad is de eerste in zijn soort en wordt door 17 andere landen onderschreven.

Rijden met de uitgave is de al lang bestaande angst dat beveiliging een bijzaak zou zijn, aangezien leveranciers van AI-systemen eraan werken om het tempo van de AI-ontwikkeling bij te houden.

Lindy Cameron, CEO van het NCSC, zei eerder dit jaar dat de technologie-industrie in het verleden veiligheid als een secundaire overweging heeft gelaten wanneer het tempo van de technologische ontwikkeling hoog is.

Vandaag hebben de Guidelines for Secure AI System Development opnieuw de aandacht op dit probleem gevestigd, eraan toevoegend dat AI steevast ook zal worden blootgesteld aan nieuwe kwetsbaarheden.

“We weten dat AI zich in een fenomenaal tempo ontwikkelt en dat er behoefte is aan gecoördineerde internationale actie, door overheden en de industrie heen, om gelijke tred te houden”, aldus Cameron.

“Deze richtlijnen markeren een belangrijke stap in het vormgeven van een werkelijk mondiaal, gemeenschappelijk begrip van de cyberrisico’s en mitigatiestrategieën rond AI om ervoor te zorgen dat beveiliging geen naschrift is voor de ontwikkeling, maar overal een kernvereiste is. 

“Ik ben er trots op dat het NCSC cruciale inspanningen levert om de lat voor cyberbeveiliging op het gebied van AI hoger te leggen: een veiligere mondiale cyberruimte zal ons allemaal helpen om veilig en met vertrouwen de prachtige mogelijkheden van deze technologie te benutten.”

De richtlijnen nemen a veilig-door-ontwerp aanpak, die AI-ontwikkelaars idealiter helpt de meest cyberveilige beslissingen te nemen in alle fasen van het ontwikkelingsproces. Ze zijn van toepassing op applicaties die vanaf de basis zijn gebouwd en op applicaties die bovenop bestaande bronnen zijn gebouwd.

De volledige lijst van landen die de richtlijnen onderschrijven, samen met hun respectievelijke cyberbeveiligingsagentschappen, vindt u hieronder:

  • Australië - Australian Cyber ​​Security Centre (ACSC) van het Australian Signals Directorate 
  • Canada – Canadees Centrum voor Cybersecurity (CCCS) 
  • Chili – CSIRT van de Chileense regering
  • Tsjechië – Tsjechisch Nationaal Agentschap voor Cyber- en Informatiebeveiliging (NUKIB)
  • Estland – Informatiesysteemautoriteit van Estland (RIA) en Nationaal Cyberbeveiligingscentrum van Estland (NCSC-EE)
  • Frankrijk – Frans Agentschap voor Cyberbeveiliging (ANSSI)
  • Duitsland – Duits Federaal Bureau voor Informatiebeveiliging (BSI)
  • Israël – Israëlisch Nationaal Cyberdirectoraat (INCD)
  • Italië – Italiaans Nationaal Agentschap voor Cyberbeveiliging (ACN)
  • Japan – Japans Nationaal Centrum voor Incidentgereedheid en Strategie voor Cybersecurity (NISC; Japans Secretariaat voor Wetenschaps-, Technologie- en Innovatiebeleid, Cabinet Office
  • Nieuw-Zeeland – Nieuw-Zeeland Nationaal Cyber ​​Security Center
  • Nigeria - Nigeria's National Information Technology Development Agency (NITDA)
  • Noorwegen – Noors Nationaal Cyber ​​Security Centrum (NCSC-NO)
  • Polen - Polen's NASK Nationaal Onderzoeksinstituut (NASK)
  • Republiek Korea - Nationale Inlichtingendienst van de Republiek Korea (NIS)
  • Singapore – Cyberbeveiligingsagentschap van Singapore (CSA)
  • Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland – National Cyber ​​Security Centre (NCSC)
  • Verenigde Staten van Amerika – Cybersecurity and Infrastructure Agency (CISA); Nationale Veiligheidsdienst (NSA; Federaal Onderzoeksbureau (FBI))

De richtlijnen zijn onderverdeeld in vier belangrijke aandachtsgebieden, elk met specifieke suggesties om elke fase van de AI-ontwikkelingscyclus te verbeteren.

1. Veilig ontwerp

Zoals de titel suggereert, stellen de richtlijnen dat veiligheid al in overweging moet worden genomen voordat de ontwikkeling begint. De eerste stap is het vergroten van het bewustzijn onder het personeel van AI-veiligheidsrisico’s en de mitigaties ervan. 

Ontwikkelaars moeten vervolgens de bedreigingen voor hun systeem modelleren en deze ook toekomstbestendig maken, zoals rekening houden met het grotere aantal beveiligingsbedreigingen dat zal ontstaan ​​naarmate de technologie meer gebruikers aantrekt, en toekomstige technologische ontwikkelingen zoals geautomatiseerde aanvallen.

Bij elke functionaliteitsbeslissing moeten ook beveiligingsbeslissingen worden genomen. Als een ontwikkelaar zich er in de ontwerpfase van bewust is dat AI-componenten bepaalde acties in gang zetten, moeten er vragen worden gesteld over hoe dit proces het beste kan worden beveiligd. Als AI bijvoorbeeld bestanden gaat wijzigen, moeten de nodige waarborgen worden toegevoegd om deze mogelijkheid alleen te beperken tot de specifieke behoeften van de applicatie.

2. Veilige ontwikkeling

Het beveiligen van de ontwikkelingsfase omvat onder meer begeleiding bij de beveiliging van de toeleveringsketen, het onderhouden van robuuste documentatie, het beschermen van activa en het beheren van technische schulden.

Beveiliging van de toeleveringsketen is de afgelopen jaren een bijzonder aandachtspunt geweest voor verdedigers, met een golf van spraakmakende aanvallen die hebben geleid tot enorme aantallen slachtoffers

Ervoor zorgen dat de leveranciers die door AI-ontwikkelaars worden gebruikt, worden geverifieerd en volgens hoge beveiligingsnormen werken, is belangrijk, net als het hebben van plannen voor het geval dat bedrijfskritische systemen problemen ondervinden.

3. Veilige implementatie

Veilige implementatie omvat het beschermen van de infrastructuur die wordt gebruikt om een ​​AI-systeem te ondersteunen, inclusief toegangscontroles voor API's, modellen en gegevens. Als zich een beveiligingsincident zou voordoen, moeten ontwikkelaars ook over respons- en herstelplannen beschikken die ervan uitgaan dat problemen ooit aan de oppervlakte zullen komen.

De functionaliteit van het model en de gegevens waarop het is getraind, moeten voortdurend tegen aanvallen worden beschermd, en ze moeten op verantwoorde wijze worden vrijgegeven, alleen als ze aan grondige veiligheidsbeoordelingen zijn onderworpen. 

AI-systemen moeten het gebruikers ook gemakkelijk maken om standaard veilig te zijn, waarbij waar mogelijk de veiligste optie of configuratie voor alle gebruikers de standaard moet zijn. Transparantie over hoe de gegevens van gebruikers worden gebruikt, opgeslagen en toegankelijk is ook van cruciaal belang.

4. Veilige bediening en onderhoud

In het laatste deel wordt besproken hoe u AI-systemen kunt beveiligen nadat ze zijn geïmplementeerd. 

Monitoring vormt de kern van veel hiervan, of het nu gaat om het gedrag van het systeem om veranderingen bij te houden die van invloed kunnen zijn op de beveiliging, of om wat er in het systeem wordt ingevoerd. Om aan de eisen op het gebied van privacy en gegevensbescherming te voldoen, is monitoring nodig logging ingangen op tekenen van misbruik. 

Updates moeten ook standaard automatisch worden uitgegeven, zodat verouderde of kwetsbare versies niet in gebruik zijn. Ten slotte kan het actief deelnemen aan gemeenschappen voor het delen van informatie de industrie helpen inzicht te krijgen in de bedreigingen van de AI-veiligheid, waardoor verdedigers meer tijd krijgen om oplossingen te bedenken die op hun beurt potentiële kwaadwillige exploits kunnen beperken. ®

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.