不斷發(fā)展的AI監(jiān)管如何影響網(wǎng)絡安全
了解不斷變化的法規(guī)是應對人工智能風險的關鍵。這對網(wǎng)絡安全領導者意味著什么。
譯自How evolving AI regulations impact cybersecurity,作者 Ram Movva; Aviral Verma。
雖然他們的商業(yè)和技術同事忙于嘗試和開發(fā)新的應用程序,但網(wǎng)絡安全領導者正在尋找方法來預測和應對新的、由人工智能驅動的威脅。
人工智能對網(wǎng)絡安全的影響一直很明顯,但這是一個雙向的過程。人工智能越來越多地被用于預測和緩解攻擊,但這些應用程序本身也容易受到攻擊。每個人都興奮的自動化、規(guī)模和速度也同樣適用于網(wǎng)絡犯罪分子和威脅行為者。雖然距離主流應用還很遠,但人工智能的惡意使用一直在增長。從生成對抗網(wǎng)絡到大型僵尸網(wǎng)絡和自動化的 DDoS 攻擊,人工智能有可能產生一種新型的網(wǎng)絡攻擊,這種攻擊可以適應和學習以逃避檢測和緩解。
在這種環(huán)境下,我們如何防御人工智能系統(tǒng)免受攻擊?攻擊性人工智能將采取什么形式?威脅行為者的 AI 模型將是什么樣的?我們能對 AI 進行滲透測試嗎?我們應該何時開始以及為什么?隨著企業(yè)和政府擴展其 AI 管道,我們將如何保護他們依賴的大量數(shù)據(jù)?
正是這些問題促使美國政府和歐盟將網(wǎng)絡安全置于首位,因為它們都在努力制定指導方針、規(guī)則和法規(guī)來識別和緩解新的風險環(huán)境。這并非第一次出現(xiàn)明顯不同的方法,但這并不意味著沒有重疊。
讓我們簡要了解一下其中涉及的內容,然后再繼續(xù)考慮這對網(wǎng)絡安全領導者和 CISO 的意義。
美國人工智能監(jiān)管方法概述
除了行政命令,美國對人工智能監(jiān)管的分散式方法也體現(xiàn)在加州等州制定自己的法律指南。作為硅谷的所在地,加州的決定可能會極大地影響科技公司開發(fā)和實施人工智能的方式,一直到用于訓練應用程序的數(shù)據(jù)集。雖然這絕對會影響所有參與開發(fā)新技術和應用程序的人,但從純粹的 CISO 或網(wǎng)絡安全領導者的角度來看,重要的是要注意,雖然美國的環(huán)境強調創(chuàng)新和自我監(jiān)管,但總體方法是基于風險的。美國的監(jiān)管環(huán)境強調創(chuàng)新,同時解決與人工智能技術相關的潛在風險。法規(guī)側重于促進負責任的人工智能開發(fā)和部署,重點是行業(yè)自我監(jiān)管和自愿合規(guī)。
對于 CISO 和其他網(wǎng)絡安全領導者來說,重要的是要注意,行政命令指示美國國家標準與技術研究院 (NIST)制定標準用于對 AI 系統(tǒng)進行紅隊測試。還呼吁“最強大的 AI 系統(tǒng)”必須進行滲透測試并將結果與政府共享。
歐盟人工智能法案概述
歐盟更加謹慎的方法從一開始就將網(wǎng)絡安全和數(shù)據(jù)隱私納入其中,并制定了強制性標準和執(zhí)行機制。與其他歐盟法律一樣,人工智能法案是基于原則的:組織有責任通過支持其實踐的文檔來證明合規(guī)性。
對于 CISO 和其他網(wǎng)絡安全領導者來說,第 9.1 條引起了很多關注。它指出
高風險人工智能系統(tǒng)應按照以下原則設計和開發(fā)安全設計和默認安全。鑒于其預期用途,它們應達到適當?shù)臏蚀_性、穩(wěn)健性、安全性、網(wǎng)絡安全水平,并在其整個生命周期內始終如一地保持這些水平。遵守這些要求應包括根據(jù)特定市場細分或應用范圍實施最先進的措施。
從最根本的層面上講,第 9.1 條意味著關鍵基礎設施和其他高風險組織的網(wǎng)絡安全領導者將需要進行 AI 風險評估并遵守網(wǎng)絡安全標準。該法案第 15 條涵蓋了可以采取的網(wǎng)絡安全措施來保護、緩解和控制攻擊,包括試圖操縱訓練數(shù)據(jù)集(“數(shù)據(jù)中毒”)或模型的攻擊。對于 CISO、網(wǎng)絡安全領導者和 AI 開發(fā)人員來說,這意味著任何構建高風險系統(tǒng)的人都需要從一開始就考慮網(wǎng)絡安全的影響。
歐盟人工智能法案與美國人工智能監(jiān)管方法的關鍵區(qū)別
特征 | 歐盟人工智能法案 | 美國方法 |
監(jiān)管方法 | 基于原則的,強制性標準和執(zhí)行機制 | 基于風險的,強調創(chuàng)新和自我監(jiān)管 |
重點 | 網(wǎng)絡安全和數(shù)據(jù)隱私 | 創(chuàng)新和負責任的 AI 開發(fā) |
合規(guī)性 | 組織有責任證明合規(guī)性 | 自愿合規(guī) |
滲透測試 | 要求對高風險 AI 系統(tǒng)進行滲透測試 | 鼓勵對“最強大的 AI 系統(tǒng)”進行滲透測試 |
數(shù)據(jù)隱私 | 嚴格的數(shù)據(jù)隱私規(guī)定 | 數(shù)據(jù)隱私保護較少 |
實施 | 已經(jīng)實施 | 正在制定中 |
總體理念 | 預防性,基于風險 | 市場驅動,以創(chuàng)新為中心 |
--- | --- | --- |
法規(guī) | 對“高風險”人工智能的具體規(guī)則,包括網(wǎng)絡安全方面 | 廣泛的原則,部門指南,重點關注自我監(jiān)管 |
數(shù)據(jù)隱私 | 適用 GDPR,嚴格的用戶權利和透明度 | 沒有全面的聯(lián)邦法律,各州法規(guī)拼湊而成 |
網(wǎng)絡安全標準 | 對高風險人工智能的強制性技術標準 | 鼓勵自愿最佳實踐,行業(yè)標準 |
執(zhí)行 | 對不遵守規(guī)定處以罰款、禁令和其他制裁 | 機構調查,潛在的貿易限制 |
透明度 | 對高風險人工智能的可解釋性要求 | 要求有限,重點關注消費者保護 |
問責制 | 由人工智能造成的損害的明確責任框架 | 責任不明確,通常歸咎于用戶或開發(fā)人員 |
人工智能法規(guī)對 CISO 和其他網(wǎng)絡安全領導者的意義
盡管方法不同,但歐盟和美國都主張采取基于風險的方法。而且,正如我們在 GDPR 中所見,隨著我們朝著全球標準的合作和共識邁進,存在著大量協(xié)調的空間。
從網(wǎng)絡安全領導者的角度來看,很明顯,人工智能法規(guī)和標準處于成熟度的早期階段,并且隨著我們對技術和應用的了解不斷加深,幾乎肯定會發(fā)生變化。正如美國和歐盟的監(jiān)管方法所強調的那樣,網(wǎng)絡安全和治理法規(guī)要成熟得多,這至少是因為網(wǎng)絡安全社區(qū)已經(jīng)投入了大量資源、專業(yè)知識和努力來提高意識和知識。
人工智能和網(wǎng)絡安全之間的重疊和相互依賴意味著網(wǎng)絡安全領導者更加敏銳地意識到新出現(xiàn)的后果。畢竟,許多人一直在使用人工智能和機器學習來進行惡意軟件檢測和緩解、惡意 IP 阻止和威脅分類。目前,CISO 將負責制定全面的 AI 戰(zhàn)略,以確保整個業(yè)務的隱私、安全和合規(guī)性,包括以下步驟:
- 確定 AI 帶來最大收益的用例。
- 確定成功實施 AI 所需的資源。
- 建立一個治理框架來管理和保護客戶/敏感數(shù)據(jù),并確保遵守您組織開展業(yè)務的每個國家/地區(qū)的法規(guī)。
- 清晰地評估和評估 AI 實施對整個業(yè)務(包括客戶)的影響。
與人工智能威脅形勢保持同步
隨著人工智能法規(guī)不斷發(fā)展,目前唯一真正確定的是,美國和歐盟將在制定標準方面發(fā)揮關鍵作用。快速的變化意味著我們肯定會看到法規(guī)、原則和指南的變化。無論是自主武器還是自動駕駛汽車,網(wǎng)絡安全都將在解決這些挑戰(zhàn)的方式中發(fā)揮核心作用。
速度和復雜性都表明,我們很可能從特定國家/地區(qū)的規(guī)則演變?yōu)閲@關鍵挑戰(zhàn)和威脅達成更廣泛的全球共識。從迄今為止的美國-歐盟合作來看,已經(jīng)存在明確的共同基礎可以借鑒。GDPR(通用數(shù)據(jù)保護條例)表明,歐盟的方法最終對其他司法管轄區(qū)的法律產生了重大影響。某種程度的協(xié)調似乎不可避免,這至少是因為挑戰(zhàn)的嚴重性。
與 GDPR 一樣,這更多是一個時間和合作的問題。同樣,GDPR 提供了一個有用的案例歷史。在這種情況下,網(wǎng)絡安全從技術規(guī)定提升到了要求。安全將成為人工智能應用中不可或缺的要求。在開發(fā)人員或企業(yè)可能對其產品承擔責任的情況下,網(wǎng)絡安全領導者必須及時了解其組織中使用的架構和技術至關重要。
在接下來的幾個月里,我們將看到歐盟和美國法規(guī)如何影響正在構建人工智能應用程序和產品的組織,以及新興的人工智能威脅形勢如何演變。
