اعتماد واسع النطاق الذكاء الاصطناعي (منظمة العفو الدولية) تقود الطلبات والخدمات تحولًا أساسيًا في كيفية قيام كبير موظفي أمن المعلومات (CISOs) بإنشاء سياسات واستراتيجيات الأمن السيبراني.
إن الخصائص الفريدة للمنظمة العفوبية ، وطبيعتها المكثفة للبيانات ، والنماذج المعقدة ، وإمكانية اتخاذ القرارات ذاتية الحكم ، تقدم أسطحًا جديدة للمهاجمة والمخاطر التي تتطلب تحسينات فورية ومحددة للسياسة وإعادة الأهمية الاستراتيجية.
الأهداف الأساسية هي منع تسرب البيانات غير المقصود من قبل الموظفين باستخدام الذكاء الاصطناعى و AI التوليدي (Genai) الأدوات ولضمان عدم المساس بالقرارات القائمة على أنظمة الذكاء الاصطناعى من قبل الجهات الفاعلة الضارة ، سواء كانت داخلية أو خارجية. فيما يلي مخطط استراتيجي لـ CISO لمحاذاة الأمن السيبراني مع النشر الآمن واستخدام أنظمة GENAI.
- تجديد الاستخدام المقبول وسياسات معالجة البيانات لمنظمة العفو الدولية: سياسات الاستخدام المقبولة الحالية (AUPs) يجب تحديثها خصيصًا لمعالجة استخدام أدوات الذكاء الاصطناعي ، مما يحظر صراحة إدخال بيانات الشركة الحساسة أو السرية أو الملكية في نماذج AI العامة أو غير المعتمدة. يمكن أن تتضمن البيانات الحساسة المعلومات الشخصية للعميل أو السجلات المالية أو الأسرار التجارية. يجب أن تحدد السياسات بوضوح ما يشكل بيانات “حساسة” في سياق الذكاء الاصطناعي. يجب على سياسات معالجة البيانات أيضًا تفصيل متطلبات عدم الكشف عن هويتها ، والاستيلاء على المستعار ، ورمز البيانات المستخدمة للتدريب على نموذج الذكاء الاصطناعى الداخلي أو ضبطها.
- تخفيف حل وسط نظام الذكاء الاصطناعي والعبث: يجب أن تركز CISO على سلامة نظام الذكاء الاصطناعي والأمان. نشر ممارسات الأمن في خط أنابيب تطوير الذكاء الاصطناع الحقن الفوريوتسمم البيانات و انعكاس النموذج. قم بتنفيذ مرشحات ومقاومة قوية لجميع البيانات التي تدخل نظام الذكاء الاصطناعى (المطالبات ، والبيانات التي تم استردادها لـ RAG) لمنع هجمات العدوى. وبالمثل ، يجب أن يتم تطهير جميع المخرجات التي تم إنشاؤها من الذكاء الاصطناعي والتحقق من صحتها قبل تقديمها للمستخدمين أو استخدامها في الأنظمة المصب لتجنب الحقن الخبيثة. أينما كان ذلك ممكنًا ، قم بنشر أنظمة الذكاء الاصطناعى مع إمكانيات XAI ، مما يسمح بالشفافية في كيفية اتخاذ القرارات. بالنسبة لقرارات المخاطر العالية ، فرض الإشراف على الإنسان عند التعامل مع البيانات الحساسة أو إجراء عمليات لا رجعة فيها لتوفير حماية نهائية ضد ناتج الذكاء الاصطناعي.
- بناء خطوط أنابيب تطوير الذكاء الاصطناعى مرنة وآمنة: تأمين خطوط أنابيب تنمية الذكاء الاصطناعي من الأهمية بمكان ضمان جدارة ومرونة تطبيقات الذكاء الاصطناعي المدمجة في البنية التحتية للشبكة الحرجة ومنتجات الأمن والحلول التعاونية. يستلزم تضمين الأمان طوال دورة حياة الذكاء الاصطناعي بأكملها. تعتبر رمز Genai والموديلات ومجموعات بيانات التدريب جزءًا من سلسلة إمداد البرمجيات الحديثة. تأمين خطوط أنابيب AIOPs مع CI/CD أفضل الممارسات، توقيع الكود والتحقق من النزاهة النموذج. فحص مجموعات بيانات التدريب والتحف النموذجية للرمز الخبيث أو الأوزان طروادة. VET نماذج ومكتبات الطرف الثالث للالتواء والامتثال للترخيص.
- تنفيذ إطار شامل لحوكمة الذكاء الاصطناعي: يجب على CISO أن يبطئوا إنشاء إطار حوكمة الذكاء الاصطناعي على مستوى المؤسسة الذي يضمن الأمن منذ البداية. لا ينبغي عزل مخاطر الذكاء الاصطناعي ولكن المنسوجة في ممارسات إدارة المخاطر على مستوى المؤسسة. يجب أن يحدد هذا الإطار أدوارًا ومسؤوليات واضحة لتطوير الذكاء الاصطناعي والنشر والإشراف على إنشاء عملية لإدارة المخاطر المتمحورة حول الذكاء الاصطناعي. يجب الحفاظ على مخزون مركزي لأدوات الذكاء الاصطناعى المعتمدة ، إلى جانب تصنيفات المخاطر الخاصة بهم. يساعد إطار الحوكمة بشكل كبير في إدارة المخاطر المرتبطة بـ “الظل الذكاء الاصطناعي” ، واستخدام أدوات أو خدمات الذكاء الاصطناعى غير المعروفة. تفويض فقط أدوات الذكاء الاصطناعى وحظر جميع أدوات وخدمات الذكاء الاصطناعي الأخرى.
- تعزيز أدوات الوقاية من فقدان البيانات (DLPs) لسير عمل الذكاء الاصطناعي: استراتيجيات DLP يجب أن تتطور لاكتشاف البيانات الحساسة ومنعها من إدخال بيئات الذكاء الاصطناعى غير المصرح بها أو التخلص منها عبر مخرجات الذكاء الاصطناعي. يتضمن ذلك تكوين أدوات DLP لمراقبة قنوات التفاعل AI على وجه التحديد (مثل واجهات الدردشة ومكالمات API إلى LLMS) ، مع تحديد الأنماط التي تدل على وجود بيانات حساسة يتم إدخالها. يجب تطوير قواعد DLP الخاصة بـ AI لمنع أو علم محاولات لصق PII أو الممتلكات الفكرية أو القانون السري في مطالبات AI العامة.
- تعزيز التدريب على الوعي بالموظف والقيادة: غالبًا ما يكون الموظفون أضعف رابط في المنظمة. يجب على CISO أن تنفذ برامج تدريب مستهدفة ومستمرة حول الاستخدام المقبول لمنظمة العفو الدولية ، وتحديد التهديدات التي تركز على الذكاء الاصطناعى ، وتعزيز أفضل الممارسات الهندسية ، وتوفير التعليم في الإبلاغ عن حوادث أمنية تتعلق بسوء استخدام أدوات الذكاء الاصطناعي والحل الوسط المحتمل.
- معهد إدارة مخاطر البائعين لخدمات الذكاء الاصطناعي: مع زيادة الشركات بشكل متزايد على خدمات الذكاء الاصطناعي من طرف ثالث ، يجب على CISO أن تعززها إدارة مخاطر الطرف الثالث (TPRM) برامج لمعالجة هذه المخاطر. يجب عليهم تحديد معايير تقييم الموقف الأمني لسلسلة التوريد الخاصة ببائع الذكاء الاصطناعى ، والالتزام بالبنود التعاقدية القوية التي تفرض معايير الأمان ، وخصوصية البيانات ، والمسؤولية عن الانتهاكات ، وحقوق التدقيق لمقدمي خدمات الذكاء الاصطناعى. يجب أن تكون هناك تقييمات أمنية متعمقة لبائعي الذكاء الاصطناعى ، وتدقيق ممارسات التعامل مع البيانات ، والأمان النموذجي ، وأمن API ، وقدرات الاستجابة الخاصة بالحوادث الخاصة بـ AI.
- دمج المراقبة المستمرة والاختبار العدواني: في المشهد المتطور باستمرار لتهديدات الذكاء الاصطناعي والمخاطر ، لا تكفي تدابير الأمن الثابتة. يجب أن تشدد CISO على أهمية المراقبة المستمرة لأنظمة الذكاء الاصطناعى للكشف عن التنازلات المحتملة أو تسرب البيانات أو هجمات العدواني – التي تشير إليها أنماط سريعة غير عادية أو مخرجات غير متوقعة أو تغييرات مفاجئة في سلوك النموذج. يجب أن تساعد تمارين الجماعات الحمراء العادية والاختبار العدواني ، المصممة خصيصًا لاستغلال نقاط الضعف من الذكاء الاصطناعي المنظمات على اكتشاف نقاط الضعف قبل الجهات الفاعلة الضارة.
سيكون CISOs الذين يقومون بهذه التغييرات أكثر قدرة على إدارة المخاطر المرتبطة بـ AI ، مما يتيح الممارسات الأمنية لمواكبة نشر الذكاء الاصطناعي أو التقدم. وهذا يتطلب تحولًا من الدفاع التفاعلي إلى وضعية أمنية استباقية وتكيفية منسوجة في نسيج مبادرات الذكاء الاصطناعي.
Aditya K Sood هي نائبة رئيس هندسة الأمن واستراتيجية الذكاء الاصطناعي في أرياكا.
اقرأ المزيد عن تخطيط استمرارية العمل
