Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), yapay zeka destekli sistem geliştiricilerinin ve sağlayıcılarının “amaçlandığı gibi çalışan, ihtiyaç duyulduğunda kullanılabilen ve hassas verileri yetkisiz taraflara ifşa etmeden çalışan yapay zeka sistemleri oluşturmasına” yardımcı olabilecek yeni yönergeler yayınladı.
Siber güvenlik yapay zeka sistemlerinin merkezine nasıl yerleştirilir?
Güvenli yapay zeka sistemi geliştirme yönergeleri makine öğrenimi (ML) uygulamalarının geliştirme yaşam döngüsünün dört temel aşamasını kapsar.
Güvenli tasarım İlgili tüm kişilerin (sistem sahipleri, geliştiriciler, kullanıcılar) yapay zeka sistemlerinin karşı karşıya olduğu benzersiz güvenlik risklerinin farkında olmasına ve bunlardan kaçınmanın öğretilmesine bağlıdır.
Kılavuz, “Sisteminize yönelik tehditleri modelleyin ve sisteminizi işlevsellik ve performansın yanı sıra güvenlik açısından da tasarlayın” . Ayrıca geliştiriciler yapay zeka modellerini seçerken güvenlik avantajlarını ve ödünleşimleri de göz önünde bulundurmalıdır (daha karmaşık her zaman daha iyi değildir).
Güvenli geliştirme tedarik zincirinin güvence altına alınmasını gerektirir; varlıkları korumak (modeller, veriler, istemler, yazılım, günlükler vb.); modelleri, veri kümelerini ve meta veya sistem istemlerini belgelemek; ve teknik borcun yönetilmesi.
Güvenli dağıtım Güvenli bir altyapı (sistem yaşam döngüsünün her bölümünde) ve modun ve verilerin doğrudan ve dolaylı erişime karşı sürekli korunmasını gerektirir. (Kaçınılmaz) güvenlik olaylarını ele almak için olay müdahalesi, üst kademeye yükseltme ve iyileştirme planlarının eksiksiz ve uygulamaya konulması gerekir.
Yapay zeka sorumlu bir şekilde, yani yalnızca güvenliği kapsamlı bir şekilde değerlendirildikten (ve kullanıcılar sınırlamalar veya potansiyel hata modları konusunda değerlendirildikten sonra) serbest bırakılmalıdır.
“İdeal olarak, en güvenli ayar tek seçenek olarak sisteme entegre edilecektir. Yapılandırma gerekli olduğunda, varsayılan seçenek yaygın tehditlere karşı geniş ölçüde güvenli olmalıdır (yani, varsayılan olarak güvenlidir). Yönergelerde, sisteminizin kötü niyetli yollarla kullanılmasını veya dağıtılmasını önlemek için kontroller uygularsınız” deniyor.
Operatörlerin, sistemlerinin davranışını ve girdilerini izlemeleri, otomatik güncellemeleri varsayılan olarak açmaları ve özellikle arızalar söz konusu olduğunda (örneğin güvenlik açıkları) şeffaf ve duyarlı olmaları istenmektedir.
Yapay zeka siber güvenlik yönergeleri kimler içindir?
Kılavuzlar, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve dünya çapındaki benzer kuruluşlar ve CERT’lerin yanı sıra sektör uzmanlarının yardımıyla hazırlanmıştır.
“İngiltere liderliğindeki yeni yönergeler, küresel olarak kabul edilen türünün ilk örneğidir. NCSC, yapay zeka kullanan tüm sistemlerin geliştiricilerinin, geliştirme sürecinin her aşamasında bilinçli siber güvenlik kararları almasına yardımcı olacak; bu sistemler ister sıfırdan oluşturulmuş olsun, ister başkaları tarafından sağlanan araç ve hizmetlerin üzerine inşa edilmiş olsun,” dedi.
“[The guidelines are] İster bir kuruluş tarafından barındırılan modellere dayalı olsun, isterse harici uygulama programlama arayüzlerinden (API’ler) yararlansın, öncelikli olarak yapay zeka sistemleri sağlayıcılarını hedefler. Ancak tüm paydaşların (veri bilimcileri, geliştiriciler, yöneticiler, karar vericiler ve risk sahipleri dahil) makine öğrenimi yapay zeka sistemlerinin tasarımı, dağıtımı ve işletimi hakkında bilinçli kararlar almalarına yardımcı olmak için bu yönergeleri okumasını tavsiye ediyoruz.”
Yönergelerin yayınlanması, Başkan Joe Biden’ın yayınladığı Başkanlık Kararnamesini takip ediyor. Amerikalıları yapay zeka sistemlerinin potansiyel risklerinden (dolandırıcılık, gizlilik tehditleri, ayrımcılık ve diğer suiistimaller) korumayı amaçlayan eylemleri hızlı bir şekilde başlatmak.
