הסוכנות הלאומית לאבטחת סייבר של בריטניה (NCSC) וסוכנות הסייבר לאבטחת תשתיות (CISA) פרסמו הנחיות רשמיות לאבטחת יישומי בינה מלאכותית - מסמך שהסוכנויות מקווים שיבטיח שהבטיחות טבועה בפיתוח של בינה מלאכותית.

סוכנות הריגול הבריטית אומרת - מסמך הדרכה הוא הראשון מסוגו והוא זוכה לתמיכה של 17 מדינות נוספות.

נוהג פרסום הוא החשש הממושך שאבטחה תהיה מחשבה לאחר מכן, כאשר ספקי מערכות בינה מלאכותית פועלות כדי לעמוד בקצב הפיתוח של AI.

לינדי קמרון, מנכ"לית NCSC, מוקדם יותר השנה אמרה שלתעשיית הטכנולוגיה יש היסטוריה של השארת אבטחה כשיקול משני כאשר קצב הפיתוח הטכנולוגי גבוה.

היום, ההנחיות לפיתוח מערכות בינה מלאכותית מאובטחות שוב משכו את תשומת הלב לנושא זה, והוסיפו כי בינה מלאכותית תמיד תהיה חשופה לפגיעויות חדשות.

"אנחנו יודעים שבינה מלאכותית מתפתחת בקצב פנומנלי ויש צורך בפעולה בינלאומית מרוכזת, בין ממשלות ותעשייה, כדי לעמוד בקצב", אמר קמרון.

"הנחיות אלה מסמנות צעד משמעותי בעיצוב הבנה גלובלית ומשותף באמת של סיכוני הסייבר ואסטרטגיות הפחתת הבינה המלאכותית על מנת להבטיח שהאבטחה אינה כרחי לפיתוח אלא דרישה מרכזית לאורך כל הדרך. 

"אני גאה שה-NCSC מוביל מאמצים מכריעים להעלות את רף אבטחת הסייבר של AI: מרחב סייבר גלובלי מאובטח יותר יעזור לכולנו לממש בבטחה ובביטחון את ההזדמנויות הנפלאות של הטכנולוגיה הזו."

ההנחיות מאמצות את א מאובטח-על-ידי עיצוב באופן אידיאלי לעזור למפתחי בינה מלאכותית לקבל את ההחלטות המאובטחות ביותר בסייבר בכל שלבי תהליך הפיתוח. הם יחולו על יישומים שנבנו מהיסוד ועל אלה שנבנו על גבי משאבים קיימים.

הרשימה המלאה של המדינות שתומכות בהנחיות, יחד עם סוכנויות אבטחת הסייבר שלהן, היא להלן:

• אוסטרליה – מרכז אבטחת הסייבר האוסטרלי (ACSC) של מנהלת אותות אוסטרליה 
• קנדה - המרכז הקנדי לאבטחת סייבר (CCCS) 
• צ'ילה - CSIRT של ממשלת צ'ילה
• צ'כיה - סוכנות הסייבר ואבטחת המידע הלאומית של צ'כיה (NUKIB)
• אסטוניה - רשות מערכת המידע של אסטוניה (RIA) ומרכז אבטחת הסייבר הלאומי של אסטוניה (NCSC-EE)
• צרפת - הסוכנות הצרפתית לאבטחת סייבר (ANSSI)
• גרמניה - המשרד הפדרלי של גרמניה לאבטחת מידע (BSI)
• ישראל - מנהל הסייבר הלאומי הישראלי (INCD)
• איטליה - הסוכנות הלאומית האיטלקית לאבטחת סייבר (ACN)
• יפן – המרכז הלאומי של יפן למוכנות לאירועים ואסטרטגיה לאבטחת סייבר (NISC; המזכירות של יפן למדע, טכנולוגיה ומדיניות חדשנות, משרד הקבינט
• ניו זילנד - המרכז הלאומי לאבטחת סייבר של ניו זילנד
• ניגריה - הסוכנות הלאומית לפיתוח טכנולוגיות מידע של ניגריה (NITDA)
• נורבגיה - מרכז אבטחת סייבר לאומי נורבגי (NCSC-NO)
• פולין – מכון המחקר הלאומי NASK של פולין (NASK)
• הרפובליקה של קוריאה - שירות הביון הלאומי של הרפובליקה של קוריאה (ש"ח)
• סינגפור - סוכנות אבטחת הסייבר של סינגפור (CSA)
• הממלכה המאוחדת של בריטניה הגדולה וצפון אירלנד - המרכז הלאומי לאבטחת סייבר (NCSC)
• ארצות הברית של אמריקה - סוכנות סייבר ותשתיות (CISA); הסוכנות לביטחון לאומי (NSA; הבולשת הפדרלית לחקירות (FBI)

ההנחיות מחולקות לארבעה תחומי מיקוד מרכזיים, כל אחד עם הצעות ספציפיות לשיפור כל שלב במחזור הפיתוח של AI.

1. עיצוב מאובטח

כפי שמרמזת הכותרת, ההנחיות קובעות שיש לשקול אבטחה עוד לפני תחילת הפיתוח. הצעד הראשון הוא להעלות את המודעות בקרב הצוות לסיכוני אבטחת בינה מלאכותית והפחתות שלהם. 

מפתחים צריכים אז לדגמן את האיומים על המערכת שלהם, לשקול להגן לעתיד גם את אלה, כמו לקחת בחשבון את המספר הגדול יותר של איומי אבטחה שיגיעו ככל שהטכנולוגיה תמשוך יותר משתמשים, ופיתוחים טכנולוגיים עתידיים כמו התקפות אוטומטיות.

החלטות אבטחה צריכות להתקבל גם עם כל החלטה על פונקציונליות. אם בשלב התכנון מפתח מודע לכך שרכיבי בינה מלאכותית יפעילו פעולות מסוימות, יש לשאול שאלות לגבי הדרך הטובה ביותר לאבטח את התהליך הזה. לדוגמה, אם בינה מלאכותית תשנה קבצים, יש להוסיף את אמצעי ההגנה הדרושים כדי להגביל את היכולת הזו רק לגבולות הצרכים הספציפיים של האפליקציה.

2. פיתוח מאובטח

אבטחת שלב הפיתוח כוללת הדרכה לגבי אבטחת שרשרת האספקה, שמירה על תיעוד חזק, הגנה על נכסים וניהול חובות טכניים.

אבטחת שרשרת האספקה ​​הייתה נקודת מיקוד מיוחדת עבור המגינים במהלך השנים האחרונות, עם שפע של התקפות בפרופיל גבוה שהוביל מספר עצום של קורבנות. 

חשוב להבטיח שהספקים המשמשים מפתחי בינה מלאכותית מאומתים ופועלים לפי תקני אבטחה גבוהים, כמו גם קיום תוכניות למקרים בהם מערכות קריטיות למשימה נתקלות בבעיות.

3. פריסה מאובטחת

פריסה מאובטחת כוללת הגנה על התשתית המשמשת לתמיכה במערכת AI, כולל בקרות גישה לממשקי API, מודלים ונתונים. אם יתגלה אירוע אבטחה, למפתחים צריכים להיות גם תוכניות תגובה ותיקון שמניחים שבעיות יצוצו יום אחד.

יש להגן על הפונקציונליות של המודל והנתונים עליהם הוא הוכשר מפני התקפות באופן רציף, ולשחרר אותם באחריות, רק כאשר הם עברו הערכות אבטחה יסודיות. 

מערכות בינה מלאכותית צריכות גם להקל על המשתמשים להיות בטוחים כברירת מחדל, במידת האפשר להפוך את האפשרות או התצורה המאובטחת ביותר לברירת המחדל עבור כל המשתמשים. שקיפות לגבי אופן השימוש, האחסון והגישה של הנתונים של המשתמשים היא גם מפתח.

4. תפעול ותחזוקה מאובטחים

החלק האחרון מכסה כיצד לאבטח מערכות AI לאחר פריסתן. 

ניטור הוא הלב של חלק גדול מזה, בין אם זה התנהגות המערכת לעקוב אחר שינויים שעשויים להשפיע על האבטחה, או מה שנכנס למערכת. מילוי דרישות הפרטיות והגנת נתונים ידרוש ניטור ו רישום תשומות לסימני שימוש לרעה. 

עדכונים צריכים להיות מונפקים אוטומטית כברירת מחדל, כך שגרסאות לא מעודכנות או פגיעות אינן בשימוש. לבסוף, השתתפות פעילה בקהילות שיתוף מידע יכולה לעזור לתעשייה לבנות הבנה של איומי אבטחת בינה מלאכותית, ולהציע יותר זמן למגינים לתכנן אמצעי הגנה אשר בתורם עלולים להגביל ניצול זדוני פוטנציאלי. ®

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/