چگونه قوانین در حال تحول هوش مصنوعی بر امنیت سایبری تأثیر می گذارد

مقابله با خطرات هوش مصنوعی شامل درک قوانین در حال تحول است. در اینجا معنای آن برای رهبران امنیت سایبری آمده است.

در حالی که همکاران تجاری و فنی آنها مشغول آزمایش و توسعه برنامه های کاربردی جدید هستند، رهبران امنیت سایبری به دنبال راه هایی برای پیش بینی و مقابله با تهدیدات جدید مبتنی بر هوش مصنوعی هستند.

همیشه واضح بوده است که هوش مصنوعی بر امنیت سایبری تأثیر می‌گذارد، اما این یک خیابان دوطرفه است. در جایی که هوش مصنوعی به طور فزاینده ای برای پیش بینی و کاهش حملات استفاده می شود، این برنامه ها خود آسیب پذیر هستند. همان اتوماسیون، مقیاس و سرعت مورد علاقه همه برای مجرمان سایبری و عوامل تهدید نیز در دسترس است. اگرچه هنوز از جریان اصلی دور است، استفاده مخرب از هوش مصنوعی در حال رشد است. از شبکه‌های متخاصم مولد گرفته تا بات‌نت‌های عظیم و حملات DDoS خودکار، پتانسیل نسل جدیدی از حملات سایبری وجود دارد که می‌توانند سازگار شوند و یاد بگیرند که از شناسایی و کاهش آن فرار کنند.

در این محیط، چگونه می توانیم از سیستم های هوش مصنوعی در برابر حمله دفاع کنیم؟ هوش مصنوعی تهاجمی چه اشکالی خواهد داشت؟ مدل‌های هوش مصنوعی بازیگران تهدید چگونه خواهند بود؟ آیا می‌توانیم هوش مصنوعی را آزمایش کنیم – چه زمانی باید شروع کنیم و چرا؟ همانطور که کسب‌وکارها و دولت‌ها خطوط لوله هوش مصنوعی خود را گسترش می‌دهند، چگونه از حجم عظیم داده‌هایی که به آنها وابسته هستند محافظت می‌کنیم؟

این سؤالاتی است که هم دولت ایالات متحده و هم اتحادیه اروپا را در جلو و مرکز امنیت سایبری قرار داده اند، زیرا هر یک به دنبال ایجاد راهنمایی، قوانین و مقررات برای شناسایی و کاهش چشم انداز خطر جدید هستند. برای اولین بار نیست، تفاوت قابل توجهی در رویکرد وجود دارد، اما این بدان معنا نیست که همپوشانی وجود ندارد.

بیایید نگاهی کوتاه به آنچه در این زمینه وجود دارد بیندازیم، قبل از اینکه به معنای همه این موارد برای رهبران امنیت سایبری و سازمان‌های اطلاعاتی باشیم.

رویکرد نظارتی هوش مصنوعی ایالات متحده – یک مرور کلی

دستور اجرایی به کنار، رویکرد غیرمتمرکز ایالات متحده به مقررات هوش مصنوعی توسط کشورهایی مانند کالیفرنیا در حال توسعه دستورالعمل های قانونی خود است. تصمیمات کالیفرنیا به عنوان خانه سیلیکون ولی، احتمالاً به شدت بر نحوه توسعه و پیاده‌سازی هوش مصنوعی شرکت‌های فناوری، تا مجموعه داده‌های مورد استفاده برای آموزش برنامه‌ها تأثیر می‌گذارد. در حالی که این امر کاملاً بر همه افراد درگیر در توسعه فناوری‌ها و برنامه‌های جدید تأثیر می‌گذارد، از دیدگاه صرفاً CISO یا رهبر امنیت سایبری، توجه به این نکته مهم است که در حالی که چشم‌انداز ایالات متحده بر نوآوری و خود تنظیمی تأکید دارد، رویکرد کلی مبتنی بر ریسک است. p>

چشم انداز نظارتی ایالات متحده بر نوآوری تأکید دارد و در عین حال خطرات بالقوه مرتبط با فناوری های هوش مصنوعی را نیز مورد توجه قرار می دهد. مقررات بر ترویج توسعه و استقرار هوش مصنوعی مسئول، با تاکید بر خود تنظیمی صنعت و انطباق داوطلبانه تمرکز دارد.

برای CISO ها و دیگر رهبران امنیت سایبری، توجه به این نکته مهم است که دستور اجرایی به مؤسسه ملی استانداردها و فناوری (NIST) دستور می دهد تا توسعه استانداردها برای تست تیم قرمز سیستم های هوش مصنوعی. همچنین درخواستی وجود دارد که «قوی‌ترین سیستم‌های هوش مصنوعی» ملزم به انجام تست نفوذ و به اشتراک گذاشتن نتایج با دولت شوند.

قانون هوش مصنوعی اتحادیه اروپا – یک نمای کلی

رویکرد پیشگیرانه‌تر اتحادیه اروپا امنیت سایبری و حریم خصوصی داده‌ها را از همان ابتدا با استانداردهای اجباری و مکانیسم‌های اجرایی ایجاد می‌کند. مانند سایر قوانین اتحادیه اروپا، قانون هوش مصنوعی مبتنی بر اصول است: مسئولیت اثبات انطباق با سازمان ها از طریق اسنادی که از اقدامات آنها پشتیبانی می کند، است.

ماده ۹.۱ توجه بسیاری را برای سازمان های CISO و سایر رهبران امنیت سایبری به خود جلب کرده است. بیان می کند که

سیستم‌های هوش مصنوعی پرخطر باید براساس اصل امنیت به‌صورت طراحی و به‌طور پیش‌فرض طراحی و توسعه داده شوند. با توجه به هدف مورد نظر خود، آنها باید به سطح مناسبی از دقت، استحکام، ایمنی و امنیت سایبری دست یابند و در طول چرخه زندگی خود به طور مداوم در این زمینه ها عمل کنند. مطابقت با این الزامات باید شامل اجرای اقدامات پیشرفته با توجه به بخش خاص بازار یا دامنه کاربرد باشد.

در اساسی‌ترین سطح، ماده ۹.۱ به این معنی است که رهبران امنیت سایبری در زیرساخت‌های حیاتی و سایر سازمان‌های پرخطر باید ارزیابی‌های ریسک هوش مصنوعی را انجام دهند و استانداردهای امنیت سایبری را رعایت کنند. ماده ۱۵ این قانون اقدامات امنیت سایبری را پوشش می دهد که می تواند برای محافظت، کاهش و کنترل حملات انجام شود، از جمله مواردی که سعی در دستکاری مجموعه داده های آموزشی (“مسمومیت داده ها”) یا مدل ها دارند. برای CISO ها، رهبران امنیت سایبری و توسعه دهندگان هوش مصنوعی به طور یکسان، این بدان معنی است که هر کسی که یک سیستم پرخطر بسازد باید از روز اول پیامدهای امنیت سایبری را در نظر بگیرد.

قانون هوش مصنوعی اتحادیه اروپا در مقابل رویکرد نظارتی هوش مصنوعی ایالات متحده – تفاوت های کلیدی

معنای مقررات هوش مصنوعی برای CISO و سایر رهبران امنیت سایبری

با وجود رویکردهای متضاد، اتحادیه اروپا و ایالات متحده از رویکرد مبتنی بر ریسک حمایت می کنند. و همانطور که در مورد GDPR دیدیم، وقتی به سمت همکاری و اجماع بر روی استانداردهای جهانی پیش می رویم، فضای زیادی برای همسویی وجود دارد.

از دیدگاه یک رهبر امنیت سایبری، واضح است که مقررات و استانداردهای هوش مصنوعی در مراحل اولیه بلوغ هستند و تقریباً با یادگیری بیشتر در مورد فن‌آوری‌ها و برنامه‌ها، به طور قطع تکامل خواهند یافت. همانطور که رویکردهای نظارتی ایالات متحده و اتحادیه اروپا تأکید می کنند، مقررات امنیت سایبری و حاکمیت بسیار بالغ تر هستند، به ویژه به این دلیل که جامعه امنیت سایبری قبلاً منابع، تخصص و تلاش قابل توجهی را برای ایجاد آگاهی و دانش انجام داده است.

همپوشانی و وابستگی متقابل بین هوش مصنوعی و امنیت سایبری به این معنی است که رهبران امنیت سایبری بیشتر از پیامدهای در حال ظهور آگاه هستند. از این گذشته، بسیاری از هوش مصنوعی و یادگیری ماشینی برای شناسایی و کاهش بدافزار، مسدود کردن IP مخرب و طبقه‌بندی تهدید استفاده می‌کنند. در حال حاضر، CISO ها موظف به توسعه استراتژی های هوش مصنوعی جامع برای اطمینان از حریم خصوصی، امنیت و انطباق در سراسر تجارت خواهند بود، از جمله مراحلی مانند:

• تعیین موارد استفاده که در آن هوش مصنوعی بیشترین مزیت را دارد.
• شناسایی منابع مورد نیاز برای اجرای موفقیت آمیز هوش مصنوعی.
• ایجاد یک چارچوب حاکمیتی برای مدیریت و ایمن سازی داده های مشتری/حساس و اطمینان از انطباق با مقررات در هر کشوری که سازمان شما در آن تجارت می کند.
• ارزیابی و ارزیابی واضح از تأثیر پیاده‌سازی هوش مصنوعی در سراسر تجارت، از جمله مشتریان.

همگام با چشم انداز تهدید هوش مصنوعی

از آنجایی که قوانین هوش مصنوعی همچنان در حال تکامل هستند، تنها اطمینان واقعی در حال حاضر این است که هم ایالات متحده و هم اتحادیه اروپا در تنظیم استانداردها موقعیت های محوری خواهند داشت. سرعت سریع تغییر به این معنی است که ما مطمئناً شاهد تغییرات در مقررات، اصول و دستورالعمل‌ها هستیم. چه سلاح‌های خودران یا وسایل نقلیه خودران، امنیت سایبری نقش اساسی در نحوه رسیدگی به این چالش‌ها ایفا می‌کند.

هم سرعت و هم پیچیدگی این احتمال را ایجاد می‌کند که از قوانین خاص کشور دور شویم و به اجماع جهانی‌تر در مورد چالش‌ها و تهدیدهای کلیدی برسیم. با نگاهی به کار ایالات متحده و اتحادیه اروپا تا به امروز، زمینه مشترک روشنی برای کار وجود دارد. GDPR (مقررات عمومی حفاظت از داده ها) نشان داد که چگونه رویکرد اتحادیه اروپا در نهایت تأثیر قابل توجهی بر قوانین سایر حوزه های قضایی داشته است. به‌نظر می‌رسد هم‌ترازی نوعی اجتناب‌ناپذیر است، به ویژه به دلیل گرانی چالش.

همانطور که در مورد GDPR، این مسئله بیشتر به زمان و همکاری بستگی دارد. مجدداً، GDPR یک سابقه پرونده مفید را اثبات می کند. در آن صورت، امنیت سایبری از تدارک فنی به الزام ارتقا یافت. امنیت یک نیاز جدایی ناپذیر در برنامه های کاربردی هوش مصنوعی خواهد بود. در شرایطی که توسعه‌دهندگان یا کسب‌وکارها می‌توانند در قبال محصولات خود پاسخگو باشند، بسیار مهم است که رهبران امنیت سایبری به سرعت معماری‌ها و فناوری‌های مورد استفاده در سازمان‌هایشان را ادامه دهند.

در ماه‌های آینده، خواهیم دید که چگونه مقررات اتحادیه اروپا و ایالات متحده بر سازمان‌هایی که در حال ساخت برنامه‌ها و محصولات هوش مصنوعی هستند، تأثیر می‌گذارد و چگونه چشم‌انداز تهدیدات هوش مصنوعی در حال ظهور تکامل می‌یابد.

رام مووا رئیس و مدیر اجرایی Securin Inc. Aviral Verma تیم تحقیقات و اطلاعات تهدیدات در Securin را رهبری می کند.

—

Generative AI Insights مکانی را برای رهبران فناوری – از جمله فروشندگان و سایر مشارکت‌کنندگان خارجی – فراهم می‌کند تا چالش‌ها و فرصت‌های هوش مصنوعی مولد را بررسی و بحث کنند. این انتخاب گسترده است، از غواصی عمیق فناوری گرفته تا مطالعات موردی گرفته تا نظرات متخصص، اما همچنین ذهنی است، بر اساس قضاوت ما در مورد اینکه کدام موضوعات و درمان ها به بهترین وجه به مخاطبان فنی پیشرفته InfoWorld خدمت می کنند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. تماس با doug_dineley@foundryco.com.