Новые рекомендации по безопасности ИИ, опубликованные NCSC, CISA и другими международными агентствами

Национальный центр кибербезопасности Великобритании, Агентство кибербезопасности и безопасности инфраструктуры США и международные агентства из 16 других стран выпустили новые рекомендации по безопасности систем искусственного интеллекта.

Рекомендации по разработке безопасных систем ИИ призваны помочь разработчикам, в частности, при проектировании, разработке, развертывании и эксплуатации систем ИИ, а также обеспечить, чтобы безопасность оставалась ключевым компонентом на протяжении всего их жизненного цикла. Однако эта информация также может оказаться полезной и для других участников проектов ИИ.

Эти рекомендации были опубликованы вскоре после того, как мировые лидеры взяли на себя обязательство безопасного и ответственного развития искусственного интеллекта на Саммите по безопасности ИИ в начале ноября.

Перейти к:

Краткий обзор: Рекомендации по разработке безопасных систем искусственного интеллекта Обеспечение безопасности четырех ключевых этапов жизненного цикла разработки ИИ. Руководство для всех систем искусственного интеллекта и связанных с ними заинтересованных сторон Основываясь на результатах Саммита по безопасности ИИ Реакция представителей индустрии кибербезопасности на эти рекомендации по искусственному интеллекту

Краткий обзор: Рекомендации по разработке безопасных систем искусственного интеллекта

В «Руководстве по разработке безопасных систем искусственного интеллекта» изложены рекомендации по обеспечению того, чтобы модели искусственного интеллекта – независимо от того, созданы ли они с нуля или на основе существующих моделей или API других компаний – «функционировали по назначению, были доступны при необходимости и работали без раскрытия конфиденциальных данных неавторизованным лицам». »

СМОТРИТЕ: Набор для найма: Инженер-подсказчик (TechRepublic Premium)

Ключом к этому является подход «безопасность по умолчанию», пропагандируемый NCSC, CISA, Национальным институтом стандартов и технологий и различными другими международными агентствами по кибербезопасности в существующих структурах. Принципы этих рамок включают в себя:

Взять на себя ответственность за результаты в области безопасности для клиентов. Принятие радикальной прозрачности и подотчетности. Построение организационной структуры и лидерства таким образом, чтобы «задуманная безопасность» стала главным приоритетом бизнеса.

По данным NCSC, в общей сложности 21 агентство и министерство из 18 стран подтвердили, что они одобряют и совместно скрепляют новые руководящие принципы. Сюда входят Агентство национальной безопасности и Федеральное бюро расследований США, а также Канадский центр кибербезопасности, Французское агентство кибербезопасности, Федеральное управление информационной безопасности Германии, Агентство кибербезопасности Сингапура и Национальный центр инцидентов Японии. Готовность и стратегия кибербезопасности.

Линди Кэмерон, главный исполнительный директор NCSC, заявила в пресс-релизе: «Мы знаем, что ИИ развивается феноменальными темпами, и чтобы не отставать, необходимы согласованные международные действия правительств и промышленности. Эти руководящие принципы знаменуют собой значительный шаг в формировании действительно глобального, общего понимания киберрисков и стратегий их смягчения, связанных с ИИ, чтобы гарантировать, что безопасность является не постскриптумом к развитию, а основным требованием во всем».

Обеспечение безопасности четырех ключевых этапов жизненного цикла разработки ИИ.

Руководство по разработке безопасной системы ИИ состоит из четырех разделов, каждый из которых соответствует различным этапам жизненного цикла разработки системы ИИ: безопасное проектирование, безопасная разработка, безопасное развертывание и безопасная эксплуатация и обслуживание.

Безопасное проектирование предлагает рекомендации, относящиеся к этапу проектирования жизненного цикла разработки системы искусственного интеллекта. В нем подчеркивается важность распознавания рисков и проведения моделирования угроз, а также рассмотрения различных тем и компромиссов при проектировании систем и моделей. Безопасная разработка охватывает этап разработки жизненного цикла системы ИИ. Рекомендации включают обеспечение безопасности цепочки поставок, ведение тщательной документации и эффективное управление активами и техническим долгом. Безопасное развертывание относится к этапу развертывания систем искусственного интеллекта. Рекомендации здесь включают защиту инфраструктуры и моделей от компрометации, угроз или потерь, создание процессов управления инцидентами и принятие принципов ответственного выпуска. Безопасная эксплуатация и обслуживание содержит рекомендации по этапу эксплуатации и обслуживания после развертывания моделей ИИ. Он охватывает такие аспекты, как эффективное ведение журналов и мониторинг, управление обновлениями и ответственный обмен информацией.

Руководство для всех систем искусственного интеллекта и связанных с ними заинтересованных сторон

Рекомендации применимы ко всем типам систем искусственного интеллекта, а не только к «передовым» моделям, которые активно обсуждались на саммите по безопасности искусственного интеллекта, проходившем в Великобритании 1–2 ноября 2023 года. Рекомендации также применимы ко всем специалистам, работающим в искусственном интеллекте и вокруг него, включая разработчиков, специалистов по обработке данных, менеджеров, лиц, принимающих решения, и других «владельцев рисков» ИИ.

«Мы нацелены на поставщиков систем искусственного интеллекта, которые используют модели, размещенные в организации (или используют внешние API), но мы призываем всех заинтересованных сторон… прочитать эти рекомендации, чтобы помочь им принять обоснованные решения о проектировании, разработке. , развертывание и эксплуатацию своих систем искусственного интеллекта», — заявили в NCSC.

Рекомендации по разработке безопасных систем искусственного интеллекта соответствуют Хиросимскому процессу искусственного интеллекта «Большой семерки», опубликованному в конце октября 2023 года, а также Добровольным обязательствам США в области искусственного интеллекта и Указу о безопасном, защищенном и заслуживающем доверия искусственном интеллекте.

В совокупности эти руководящие принципы означают растущее признание мировыми лидерами важности выявления и смягчения рисков, связанных с искусственным интеллектом, особенно после бурного роста генеративного ИИ.

Основываясь на результатах Саммита по безопасности ИИ

Во время Саммита по безопасности ИИ, проходившего в историческом месте Блетчли-Парк в Бакингемшире, Англия, представители 28 стран подписали Декларацию Блетчли о безопасности ИИ, в которой подчеркивается важность безопасного и ответственного проектирования и развертывания систем ИИ с упором на сотрудничество. и прозрачность.

В декларации признается необходимость устранения рисков, связанных с передовыми моделями ИИ, особенно в таких секторах, как кибербезопасность и биотехнологии, и содержится призыв к расширению международного сотрудничества для обеспечения безопасного, этичного и выгодного использования ИИ.

Мишель Донелан, министр науки и технологий Великобритании, заявила, что недавно опубликованные рекомендации «поставят кибербезопасность в центр разработки ИИ» от начала до развертывания.

«Всего через несколько недель после того, как мы собрали мировых лидеров в Блетчли-Парке, чтобы заключить первое международное соглашение о безопасном и ответственном искусственном интеллекте, мы снова объединяем страны и компании в этих поистине глобальных усилиях», — заявил Донелан в пресс-релизе NCSC.

«При этом мы продвигаемся вперед в нашей миссии по использованию этой определяющей десятилетие технологии и реализации ее потенциала для преобразования нашей Национальной системы здравоохранения, революционного преобразования наших государственных услуг и создания новых, высококвалифицированных и высокооплачиваемых рабочих мест будущего».

Реакция представителей индустрии кибербезопасности на эти рекомендации по искусственному интеллекту

Публикация руководящих указаний по ИИ была встречена экспертами и аналитиками по кибербезопасности с одобрением.

Тоби Льюис, руководитель глобального отдела анализа угроз в Darktrace, назвал это руководство «долгожданным планом» для обеспечения безопасности и надежных систем искусственного интеллекта.

Комментируя это по электронной почте, Льюис сказал: «Я рад видеть, что в руководящих принципах подчеркивается необходимость для поставщиков ИИ защищать свои данные и модели от злоумышленников, а для пользователей ИИ — применять правильный ИИ для правильной задачи. Те, кто создает ИИ, должны пойти дальше и завоевать доверие, знакомя пользователей с тем, как их ИИ достигает ответов. Благодаря безопасности и доверию мы быстрее осознаем преимущества искусственного интеллекта для большего числа людей».

Между тем, Жорж Аниджар, вице-президент Informatica по Южной Европе, заявил, что публикация руководящих принципов знаменует собой «значительный шаг на пути к решению проблем кибербезопасности, присущих этой быстро развивающейся области».

В заявлении, полученном по электронной почте, Аниджар заявил: «Это международное обязательство признает важнейшее пересечение между искусственным интеллектом и безопасностью данных, усиливая необходимость комплексного и ответственного подхода как к технологическим инновациям, так и к защите конфиденциальной информации. Отрадно видеть глобальное признание важности внедрения мер безопасности в основу разработки ИИ, способствующего созданию более безопасного цифрового ландшафта как для бизнеса, так и для частных лиц».

Он добавил: «Встраивание безопасности в системы искусственного интеллекта с момента их создания глубоко перекликается с принципами безопасного управления данными. Поскольку организации все чаще используют возможности искусственного интеллекта, крайне важно, чтобы данные, лежащие в основе этих систем, обрабатывались с максимальной безопасностью и целостностью».