Kuinka ISMS voi auttaa kehittäjiä noudattamaan NCSC:n uusia suojattua tekoälyä koskevia ohjeita

16 tammikuu 2024

Sisällysluettelo:

1) Mitä NCSC:n ohjeet sisältävät?
2) Kuinka ISMS voi auttaa
3) Seuraavat vaiheet

EU on epäilemättä tällä hetkellä maailman johtava tekoälyn sääntelyssä. Kuitenkin virheellinen sen uusi AI-laki voi olla, se on merkittävä saavutus. Yhdistynyt kuningaskunta on omaksumassa varovaisemman lähestymistavan, vaikka se on osoittanut tavoitteensa olla vastuullinen globaali toimija kutsumalla koolle maailmanlaajuisen tekoälyn turvallisuushuippukokouksen viime vuoden marraskuussa. Pian sen jälkeen sen National Cyber Security Center (NCSC) tuotti uudet ohjeet turvalliseen tekoälyjärjestelmän kehittämiseen.

US Cybersecurity and Infrastructure Security Agencyn (CISA) ylistämä ohjeet ovat hyvä ensimmäinen askel auttamaan kehittäjiä rakentamaan työhönsä sisäänrakennetun tietoturvan periaatteita. Vielä parempi uutinen on, että he voivat käyttää olemassa olevia parhaita käytäntöjä auttamaan heitä.

Mitä NCSC:n ohjeet sisältävät?

Uusi asiakirja koskee minkä tahansa tekoälyä sisältävien järjestelmien toimittajia – onko ne rakennettu tyhjästä tai olemassa olevien palvelujen päälle. Ne ovat myös hyväksyneet Amazon, Google, Microsoft ja OpenAI sekä useat muut maat, mukaan lukien kaikki G7-maat, sekä Chile, Tšekki, Viro, Israel, Nigeria, Norja, Puola, Singapore ja Etelä-Korea. Ohjeet on jaettu neljään osaan:

Turvallinen muotoilu

Tekoälyn kehittämisen ensimmäisessä vaiheessa huomioitavaa ovat:

Lisää tietotieteilijöiden, kehittäjien, vanhempien johtajien ja järjestelmien omistajien tietoisuutta uhista ja riskeistä. Kehittäjät on koulutettava turvallisiin koodaustekniikoihin sekä turvallisiin ja vastuullisiin tekoälykäytäntöihin
Käytä "kokonaisvaltaista prosessia" arvioidaksesi tekoälyjärjestelmään kohdistuvia uhkia ja ymmärtää mahdolliset vaikutukset järjestelmään ja käyttäjiin/yhteiskuntaan, jos tekoäly vaarantuu tai käyttäytyy "odottamatta".
Suunnittele järjestelmä turvallisuuden sekä toiminnallisuuden ja suorituskyvyn kannalta. Tämä vaatii toimitusketjun riskienhallintaja tekoälyohjelmistojen kehittämisen integrointi olemassa oleviin turvallisiin käytäntöihin
Ymmärrä turvallisuuden kompromisseja ja etuja valitessasi tekoälymallia. Mallin arkkitehtuuri, konfiguraatio, koulutustiedot, koulutusalgoritmi ja hyperparametrit tulee valita organisaation uhkamallin mukaisesti ja arvioida säännöllisesti uudelleen.

Turvallinen kehitys

Harkitse kehitysvaiheessa:

Toimitusketjun turvallisuuden arviointi ja seuranta tekoälyjärjestelmän koko elinkaaren ajan. Toimittajien tulee noudattaa samoja standardeja, joita organisaatio soveltaa muihin ohjelmistoihin
Tekoälyyn liittyvien resurssien tunnistaminen, seuranta ja suojaaminen, mukaan lukien mallit, tiedot, kehotteet, ohjelmistot, dokumentaatiot, lokit ja arvioinnit
Mallien, tietojoukkojen ja metakehotteiden luomisen, käytön ja elinkaaren hallinnan dokumentointi
Teknisen velan hallinta ja seuranta tekoälymallin elinkaaren kautta

Turvallinen käyttöönotto

Käyttöönottovaiheessa katso:

Infrastruktuurin turvaaminen parhaiden käytäntöjen periaatteiden mukaan, kuten kulunvalvonta API:ille, malleille ja datalle sekä arkaluonteista koodia sisältävien ympäristöjen erottelulle
Jatkuva parhaiden käytäntöjen suojaus mallille suoralta ja epäsuoralta pääsyltä
Kehittäminen vaaratilanteiden hallinta menettelyt
Mallien, sovellusten tai järjestelmien julkaiseminen vasta tietoturva-arvioinnin, kuten punaisen tiimin harjoitusten, jälkeen
Suojatun konfiguroinnin käyttöönotto oletuksena, jotta käyttäjien on helpompi tehdä oikeita asioita

Turvallinen käyttö ja huolto

Toimintavaiheessa NCSC ehdottaa, että organisaatiot:

Tarkkaile ja kirjaa järjestelmätulot yksityisyyden ja tietosuojan mukaisesti tietosuoja vaatimusten noudattamisen, tarkastuksen, tutkimuksen ja korjaamisen mahdollistamiseksi
Noudata turvallista suunnittelua koskevaa lähestymistapaa päivityksissä
Osallistua maailmanlaajuisia tiedonjakoyhteisöjä ja mahdollistavat turvallisuuden tutkijoita tutkimaan ja raportoimaan haavoittuvuuksista

Kuinka ISMS voi auttaa

ISMS.onlinen teknologiajohtaja Sam Petersin mukaan tietoturvan hallintajärjestelmällä (ISMS) voidaan varmistaa, että organisaation tekoälyjärjestelmät ja käyttö ovat turvallisia, joustavia ja luotettavia. Hän väittää, että ISO 27001 -yhteensopivuus tarjoaa "skaalautuvan, ylhäältä alaspäin suuntautuvan tietoturvakulttuurin", joka perustuu "riskilähtöiseen, prosessipohjaiseen tietoturvaan", joka voi auttaa kehittäjiä, jotka haluavat noudattaa NCSC:n ohjeita.

"ISO 27001:n kauneus on, että se kehystää infosecin organisaation hallintoon liittyväksi ongelmaksi", Peters kertoo ISMS.online-sivustolle.

"Ottamalla tätä hallintatapaa tekoälyn tietoturvastrategiassa organisaatiot voivat luottaa siihen, että ne voivat skaalata turvallisuutta kestävästi sen sijaan, että he vain leikkivät kiinni. Joukkueilla on myös selkeitä perusodotuksia. Viime kädessä tämä vähentää riskejä, vaikka tekoälyjärjestelmät ja käyttö muuttuvat eksponentiaalisesti monimutkaisemmiksi."

Peters näkee seitsemän avainaluetta ISO 27001:n ja NCSC-ohjeiden välillä:

Riskianalyysit:

ISO 27001 edellyttää säännöllisiä infosec-riskinarviointeja, jotka voivat auttaa paljastamaan tekoälyjärjestelmien haavoittuvuuksia, uhkia ja hyökkäysvektoreita.

Käytännöt ja menettelyt:

ISMS vaatii kattavia käytäntöjä ja prosesseja turvallisuuden hallintaan. Nämä voidaan räätälöidä tekoälyjärjestelmille ja mukauttaa NCSC:n ohjeisiin.

Pääsyn hallinta:

Roolipohjainen ISO edellyttää pääsyn valvontaa ja käyttöoikeuksien hallintaa 27001, ja se voisi myös auttaa rajoittamaan pääsyä arkaluonteisiin tekoälyresursseihin, kuten tietojoukkoon ja malleihin.

Toimittajan johto:

ISO 27001 -vaatimukset auditoinneille ja sopimussopimuksille voivat auttaa hallitsemaan riskejä kolmannen osapuolen suhteissa tekoälytoimittajien kanssa.

Tapahtumanhallinta:

ISO-standardi sisältää myös vaatimukset tapausten hallinta, jonka avulla organisaatiot voivat reagoida turvallisuuteen tekoälyjärjestelmiin vaikuttavia tapauksia.

Turvallisuuden valvonta:

ISO 27001 -yhteensopivuuden edellyttämät kirjaamisen, valvonnan ja hälytyksen hallintalaitteet voivat auttaa organisaatioita havaitsemaan tekoälyjärjestelmän epänormaalin toiminnan ja reagoimaan tapahtumiin.

Turvallisuustietoisuus ja koulutus:

Tämän alueen ISO 27001 -vaatimuksia voidaan laajentaa sen varmistamiseksi, että keskeiset sidosryhmät ymmärtävät tekoälyjärjestelmien ainutlaatuiset tietoturvahaasteet ja pysyvät ajan tasalla uusimmista uhista ja parhaista käytännöistä.

Seuraavat vaiheet

"Kun tekoälyteknologiat kehittyvät ja sulautuvat yhä enemmän jokapäiväisiin prosesseihin, päällekkäisyys tekoälyn turvallisuuden ja tietoturvan välillä tulee todennäköisesti kasvamaan sellaisilla aloilla kuin tietoturva, mallien kestävyys, selitettävyys ja luottamuksellisuus – jotka kaikki rakentuvat suoraan tietoturvan perustalle", Peters päättää.

"Tämä vaatii kokonaisvaltaista lähestymistapaa turvallisuuteen, jossa otetaan huomioon sekä perinteiset tietoturvaperiaatteet että tekoälyteknologian ainutlaatuiset haasteet."

Otetaanko NCSC:n ohjeet laajalti käyttöön? Koska ne ovat vapaaehtoisia, tuomaristo on edelleen sen suhteen. Mutta kaikille tekoälyjärjestelmiä kehittäville organisaatioille ne ovat erittäin suositeltavia. Parempi käyttää aikaa ja vaivaa nyt turvallisen suunnittelun järjestelmien rakentamiseen, kuin vaarantaa vakavan rikkomuksen tulevaisuudessa. Tällaisen tapauksen korjaaminen ja maineesta toipuminen voisi maksaa organisaatiolle monta kertaa enemmän.

kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit