ontwikkelaars ncsc ai riglyne blog

Hoe 'n ISMS ontwikkelaars kan help om die NCSC se nuwe veilige KI-riglyne te volg

Die EU is ongetwyfeld die huidige wêreldleier wat KI-regulering betref. Maar gebrekkig sy nuwe KI-wet mag wees, verteenwoordig dit 'n beduidende prestasie. Die VK volg 'n meer praktiese benadering, ondanks sy ambisie om 'n verantwoordelike wêreldakteur te wees, deur 'n wêreldwye KI-veiligheidsberaad in November verlede jaar te belê. Kort daarna het sy Nasionale Kuberveiligheidsentrum (NCSC) vervaardig 'n nuwe stel riglyne vir veilige KI-stelselontwikkeling.

Die riglyne, wat deur die Amerikaanse agentskap vir kuberveiligheid en infrastruktuur (CISA) as 'n "sleutelmylpaal" beskou word, is 'n uitstekende eerste stap om ontwikkelaars te help om sekuriteit-deur-ontwerp-beginsels in hul werk in te bou. Die nog beter nuus is dat hulle bestaande beste praktyke kan gebruik om hulle te help.

Wat behels die NCSC-riglyne?

Die nuwe dokument is relevant vir verskaffers van enige stelsels wat KI bevat – of dit van nuuts af gebou is of bo-op bestaande dienste. Hulle is ook onderskryf deur Amazon, Google, Microsoft en OpenAI, sowel as verskeie ander lande, insluitend die hele G7, plus Chili, Tsjeggië, Estland, Israel, Nigerië, Noorweë, Pole, Singapoer en Suid-Korea. Die riglyne word in vier afdelings verdeel:

Veilige ontwerp

Oorwegings by die eerste fase van KI-ontwikkeling sluit in:

  • Verhoog bewustheid van bedreigings en risiko's onder datawetenskaplikes, ontwikkelaars, senior leiers en stelseleienaars. Ontwikkelaars sal opgelei moet word in veilige koderingstegnieke en veilige en verantwoordelike KI-praktyke
  • Pas 'n "holistiese proses" toe om bedreigings vir die KI-stelsel te assesseer, en verstaan ​​die potensiële impak op die stelsel en gebruikers/samelewing as die KI gekompromitteer word of "onverwags" optree
  • Ontwerp die stelsel vir sekuriteit sowel as funksionaliteit en werkverrigting. Dit sal voorsieningsketting vereis risiko bestuur, en die integrasie van KI-sagtewarestelselontwikkeling in bestaande veilige praktyke
  • Verstaan ​​sekuriteitskeppings sowel as voordele wanneer 'n KI-model gekies word. Keuse van modelargitektuur, konfigurasie, opleidingsdata, opleidingsalgoritme en hiperparameters moet volgens die organisasie se bedreigingsmodel gemaak word en gereeld heroorweeg word

Veilige ontwikkeling

Oorweeg in die ontwikkelingstadium:

  • Assessering en monitering van voorsieningskettingsekuriteit oor die KI-stelsel se lewensiklus. Verskaffers moet aan dieselfde standaarde voldoen as wat die organisasie op ander sagteware toepas
  • Identifisering, dop en beskerming van KI-verwante bates, insluitend modelle, data, aanmanings, sagteware, dokumentasie, logboeke en assesserings
  • Dokumentering van die skepping, bedryf en lewensiklusbestuur van modelle, datastelle en meta-aanwysings
  • Bestuur en volg tegniese skuld deur die KI-modellewensiklus

Veilige ontplooiing

Kyk in die ontplooiingstadium na:

  • Beveiliging van infrastruktuur volgens beste praktykbeginsels, soos toegangskontroles vir API's, modelle en data, en skeiding van omgewings met sensitiewe kode
  • Deurlopende beste praktykbeskerming van die model teen direkte en indirekte toegang
  • Ontwikkeling voorvalbestuur prosedures
  • Die vrystelling van modelle, toepassings of stelsels slegs na sekuriteitsevaluering soos rooispanoefeninge
  • Implementering van veilige konfigurasie by verstek, so dit is makliker vir gebruikers om die regte dinge te doen

Veilige werking en instandhouding

In die operasionele stadium stel die NCSC voor dat organisasies:

Hoe 'n ISMS kan help

’n Inligtingsekuriteitbestuurstelsel (ISMS) kan baie help om te verseker dat ’n organisasie se KI-stelsels en -gebruik veilig, veerkragtig en betroubaar is, volgens ISMS.online CTO Sam Peters. Hy voer aan dat ISO 27001-voldoening 'n "skaalbare, bo-na-onder inligtingsekuriteitskultuur" lewer wat gebou is op "risikogedrewe, prosesgebaseerde sekuriteit", wat ontwikkelaars kan help wat die NCSC-riglyne wil volg.

"Die skoonheid van ISO 27001 is dat dit infosec omraam as 'n organisatoriese bestuurskwessie," sê Peters aan ISMS.online.

“Deur hierdie bestuursbenadering vir KI-sekuriteitstrategie te volg, kan organisasies vol vertroue wees dat hulle sekuriteit volhoubaar kan skaal in plaas daarvan om net op te vang. Spanne het ook duidelikheid oor basislynverwagtinge. Uiteindelik verminder dit risiko, selfs al word KI-stelsels en -gebruik eksponensieel meer kompleks.

Peters sien sewe sleutelareas van oorkruising tussen ISO 27001 en die NCSC-riglyne:

Risikobeoordelings:

ISO 27001 vereis gereelde infosec-risikobeoordelings, wat kan help om kwesbaarhede, bedreigings en aanvalvektore in KI-stelsels te ontbloot.

Beleide en prosedures:

'n ISMS vereis omvattende beleide en prosesse vir die bestuur van sekuriteit. Dit kan aangepas word vir KI-stelsels en in lyn gebring word met die NCSC-riglyne.

Toegangskontroles:

Rolgebaseerd toegangskontroles en voorregtebestuur word deur ISO vereis 27001 en kan ook help om toegang tot sensitiewe KI-bates soos datastelle en modelle te beperk.

Verskafferbestuur:

ISO 27001-vereistes vir oudits en kontraktuele ooreenkomste kan help om risiko's in derdeparty-verhoudings met KI-verskaffers te bestuur.

Voorvalbestuur:

Die ISO-standaard bevat ook vereistes vir voorvalbestuur wat organisasies kan gebruik om op sekuriteit te reageer voorvalle wat KI-stelsels raak.

Sekuriteitsmonitering:

Die aanteken-, monitering- en waarskuwingskontroles wat nodig is vir ISO 27001-nakoming, kan organisasies help om abnormale KI-stelselgedrag op te spoor en op voorvalle te reageer.

Sekuriteitsbewustheid en opleiding:

ISO 27001-vereistes op hierdie gebied kan uitgebrei word om te verseker dat sleutelbelanghebbendes die unieke sekuriteitsuitdagings van KI-stelsels verstaan ​​en op hoogte bly van die nuutste bedreigings en beste praktyke.

Die volgende stappe

“Namate KI-tegnologie ontwikkel en meer ingebed raak in alledaagse prosesse, sal die oorvleueling tussen KI-sekuriteit en inligtingsekuriteit waarskynlik groei op gebiede soos datasekuriteit, modelrobuustheid, verklaarbaarheid en vertroulikheid – wat alles direk op die fondamente van inligtingsekuriteit bou,” Peters sluit af.

"Dit sal 'n omvattende benadering tot sekuriteit vereis wat beide tradisionele inligtingsekuriteitsbeginsels en die unieke uitdagings wat KI-tegnologieë in ag neem, in ag neem."

Sal die NCSC-riglyne wydverspreide aanvaarding kry? Aangesien hulle vrywillig is, is die jurie steeds uit oor daardie een. Maar vir enige organisasie wat KI-stelsels ontwikkel, word dit sterk aanbeveel. Dit is beter om nou tyd en moeite in te sit om veilige-deur-ontwerp-stelsels te bou as om 'n ernstige oortreding in die toekoms te waag. So 'n voorval kan die organisasie baie keer meer kos om te herstel en van reputasie te herstel.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!