دستورالعملهایی برای بکارگیری امن سیستمهای هوش مصنوعی
امروز، فناوریهای مبتنی بر هوش مصنوعی را در هر شرکتی میشود دید- انتظار میرود 33 درصد سازمانهای تجاری تا دو سال آینده به جمع سازمانهایی که از هوش مصنوعی و ملحقاتش استفاده میکنند بپیوندند. هوش مصنوعی در هر شکل و نوعش به زودی ماهیتی «همهجاحاضر» پیدا خواهد کرد. مزایای اقتصادی اتخاذ هوش مصنوعی دامنهای گسترده از رضایتمندی مشتری دارد تا رشد مستقیم درآمد. همزمان با اینکه کسب و کارها درک خود را از نقاط قوت و ضعف سیستمهای هوش مصنوعی عمیقتر میکنند، اثربخشیشان نیز بالا خواهد رفت.
با این حال، همین الانش هم واضح است که باید فعالانه به ریسکهای مرتبط با اتخاذ هوش مصنوعی پرداخت. حتی نمونههای اولیه پیادهسازی هوش مصنوعی نشان میدهد که خطاها میتوانند هزینهبردار باشند- نه نها بخش مالی که اعتبار سازمان، روابط مشتری، سلامت بیمار و غیره هم زیر سوال میرود. در مورد سیستمهای سایبری فیزیکی مانند وسایل نقلیه خودران، نگرانیهای مربوط به بخش ایمنی حتی حیاتیتر هم میشوند. پیادهسازی اقدامات امنیتی به طوری که عطف به ماسبق بشود –مانند مورد نسلهای قبلیِ فناوری- گران خواهد بود و گاهی هم محال.
فقط تخمینهای اخیر خسارات جهانی اقتصادی ناشی از جرایم سایبری را ببینید: 8 تریلیون دلار تنها در سال 2023. پس جای تعجب ندارد که کشورهایی که مدعی رهبری فناوری قرن بیست و یکم هستند، برای تنظیم مقررات هوش مصنوعی عجله داشته باشند (به عنوان مثال، چارچوب حاکمیت ایمنی هوش مصنوعی چین، قانون هوش مصنوعی اتحادیه اروپا، و فرمان اجرایی ایالات متحده در مورد هوش مصنوعی). با این حال، قوانین به ندرت جزئیات فنی یا توصیه های عملی را مشخص می کنند – هدف آنها این نیست. بنابراین، برای اعمال واقعی الزامات نظارتی مانند تضمین قابلیت اطمینان، اخلاقیات و مسئولیتپذیری هوش مصنوعی در تصمیماتش، دستورالعملهای ملموس و قابل اجرا مورد نیاز است.
کارشناسان کسپرسکی برای کمک به پزشکان در پیادهسازی هوش مصنوعی امروز و تضمین آیندهای امنتر، مجموعهای از توصیهها را با همکاری آلیسون وایلد، شبکه سیاستگذاری انجمن راهبری اینترنت سازمان ملل متحد در مورد عضو تیم هوش مصنوعی ارائه کردهاند. دکتر ملودنا استفنز، استاد مدیریت نوآوری و فناوری از مدرسه دولتی محمد بن راشد (امارات متحده عربی) و سرجیو مایو ماسیاس، مدیر برنامههای نوآوری در موسسه فناوری آراگون (اسپانیا). این سند در طول پنل “امنیت سایبری در هوش مصنوعی: ایجاد تعادل در نوآوری و خطرات” در نوزدهمین مجمع سالانه اداره اینترنت سازمان ملل متحد (IGF) برای بحث با جامعه جهانی سیاستگذاران هوش مصنوعی ارائه شد. پیروی از شیوههای مشروحه در سند به مهندسین مربوطه – متخصصین DevOps و MLOps که راهکارهای هوش مصنوعی را توسعه و اجرا میکنند – کمک میکند تا به سطح بالایی از امنیت و ایمنی برای سیستمهای هوش مصنوعی در تمام مراحل چرخه عمر خود دست یابند. توصیههای موجود در سند باید سر هر پیادهسازی هوش مصنوعی تنظیم شوند، زیرا کاربرد آنها به نوع هوش مصنوعی و مدل استقرار بستگی دارد.
ریسکهایی که باید مد نظر قرار داد
کاربردهای متنوع هوش مصنوعی، سازمان ها را مجبور میکند تا به طیف وسیعی از خطرات رسیدگی کنند:
- خطر عدم استفاده از هوش مصنوعی. ممکن است سرگرمکننده به نظر برسد، اما تنها با مقایسه سود و زیان احتمالی استفاده از هوش مصنوعی است که یک شرکت میتواند به درستی تمام ریسک های دیگر را ارزیابی کند.
- خطرات ناشی از عدم رعایت مقررات. قوانین هوش مصنوعی که به سرعت در حال تحول هستند این را به یک ریسک پویا تبدیل میکند که نیاز به ارزیابی مجدد مکرر دارد. جدای از مقررات خاص هوش مصنوعی، خطرات مرتبط مانند نقض قوانین پردازش دادههای شخصی نیز باید در نظر گرفته شود.
- خطرات ESG. اینها شامل خطرات اجتماعی و اخلاقی کاربرد هوش مصنوعی، خطرات افشای اطلاعات حساس و خطرات برای محیط زیست میشوند.
- خطر سوء استفاده از خدمات هوش مصنوعی توسط کاربران. این میتواند از سناریوهای شوخی تا فعالیتهای مخرب متغیر باشد.
- تهدیدهایی برای مدلهای هوش مصنوعی و مجموعه دادههای مورد استفاده برای آموزش.
- تهدیدهای خدمات شرکت به دلیل اجرای هوش مصنوعی.
- تهدیدهای ناشی از دادههای پردازششده توسط این سرویسها.
“در بطن” سه گروه خطر آخر، همه تهدیدات امنیتی سایبری معمولی و وظایف مربوط به زیرساختهای کلود پیچیده نهفته شدند: کنترل دسترسی، تقسیمبندی، آسیبپذیری و مدیریت پچ، ایجاد سیستمهای نظارت و پاسخ، و امنیت زنجیره تامین.
زوایای پیادهسازی امن هوش مصنوعی
برای پیادهسازی امن هوش مصنوعی، سازمانها نیاز دارند هر دو اقدامات سازمانی و فنی – از آموزش به کارمندان گرفته تا ممیزیهای دورهایِ انطباق با مقررات و آزمایش هوش مصنوعی روی نمونه دادهها و پرداختن به آسیبپذیریهای نرمافزاری به طور نظاممند- را اتخاذ کنند. این اقدامات را میتوان به هشت دستهبندی اصلی تقسیم کرد.
- مدلسازی تهدید برای هر سرویس هوش مصنوعی مستقر شده.
- آموزش کارکنان. نه تنها آموزش قواعد عمومی برای استفاده از هوش مصنوعی به کارکنان بلکه همچنین آشنایی ذینفعان کسب و کار با خطرات خاص استفاده از هوش مصنوعی و ابزارهایی برای مدیریت این خطرات مهم است.
- امنیت زیرساخت. این شامل امنیت هویت، ثبت رویداد، تقسیمبندی شبکه و XDR میشود.
- امنیت زنجیره تامین برای هوش مصنوعی، این شامل انتخاب دقیق فروشندگان و سرویسهای واسطهای میشود که دسترسی به هوش مصنوعی را فراهم میکنند، و فقط مدلها و ابزارها را از منابع مطمئن و تأیید شده در قالبهای امن دانلود میکنند.
- تست و اعتبار سنجی. مدلهای هوش مصنوعی باید از نظر انطباق با بهترین شیوههای صنعت، انعطافپذیری در برابر پرسشهای نامناسب و توانایی آنها برای پردازش مؤثر دادهها در فرآیند تجاری خاص سازمان ارزیابی شوند.
- رسیدگی به آسیب پذیریها فرآیندهایی باید برای رفع خطاها و آسیب پذیریهای شناسایی شده توسط طرفسوممها در سیستم سازمان و مدلهای هوش مصنوعی ایجاد شود. این شامل مکانیسمهایی برای کاربران برای گزارش آسیبپذیریها و سوگیریهای شناساییشده در سیستمهای هوش مصنوعی است که ممکن است از آموزش دادههای غیرنماینده ناشی شود.
- محافظت در برابر تهدیدات خاص مدلهای هوش مصنوعی، از جمله تزریق سریع و سایر درخواستهای مخرب، مسمومیت دادههای آموزشی و موارد دیگر.
- به روزرسانی و نگهداری. مانند هر سیستم فناوری اطلاعات، فرآیندی باید برای اولویتبندی و حذف سریع آسیبپذیریها ایجاد شود، در حالیکه برای مسائل مربوط به سازگاری با تکامل سریع کتابخانهها و مدلها آماده میشود.
- انطباق با مقررات. از آنجایی که قوانین و مقررات ایمنی هوش مصنوعی در سرتاسر جهان در حال تصویب است، سازمانها باید این چشم انداز را به دقت رصد کنند و مطمئن شوند که فرآیندها و فناوری های آنها با الزامات قانونی مطابقت دارد.
آبادیس (نمایندگی فروش محصولات کسپرسکی)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.