Editörün notu: Aşağıdaki yazı, Google Cloud’daki CISO Ofisi’nde güvenlik danışmanı olan Anton Chuvakin’in konuk yazısıdır.
Yapay zeka, güvenlik liderleri için büyüleyici bir paradoks sunuyor — muazzam faydalar vaat eden güçlü bir teknolojidir, ancak aynı zamanda yeni ve eski risklerle dolu bir mayın tarlasıdır. Potansiyelinden gerçekten yararlanmak için, bu kalıcı risklerin etkili risk yönetimi stratejileriyle proaktif bir şekilde ele alınması gerekir.
İnsan denetimini, güçlü temel güvenlik mimarisini ve teknik kontrolleri birleştiren koruma bariyerlerini uygulayarak — dikkatlice geliştirilmiş bir siber stratejiyle destekleniyor — kuruluşlar AI’dan daha büyük faydalar elde edebilir. Bu stratejilerin her birine daha yakından bakalım.
1. Güvenli ve uyumlu AI sağlamak için bariyerler oluşturun
Öncelikle kuruluşların, yapay zekaya özgü bariyerler oluşturmak için mevcut risk ve yönetişim çerçevelerini bir temel olarak kullanmaları gerekiyor.
Güvenlik ekipleri mevcut güvenlik politikalarını gözden geçirmeli ve iyileştirmeli, üretken yapay zeka tarafından ortaya çıkarılan yeni tehdit vektörlerini belirlemeli ve azaltmalı, risk gözetiminin kapsamını iyileştirmeli ve yapay zeka yeteneklerindeki hızlı gelişmelere ayak uydurabilmek için eğitim programlarını güncellemelidir.
Esasında, mevcut güvenlik yeteneklerinin eleştirel bir şekilde incelenmesi, gerekli yapay zeka politikaları için temel oluşturabilir.
Kuruluşun inşa ettiği ve işlettiği AI sistemlerinin denetlenmesinde ve etkili çerçevelerin oluşturulmasında insan katılımı hayati öneme sahip olmaya devam ediyor. “Döngüde insan” yaklaşımı, riskleri azaltmaya ve üç temel alanda sorumlu AI kullanımını teşvik etmeye yardımcı olabilir:
- Yapay zeka kullanımının risklerinin değerlendirilmesi: Yapay zeka kullanım durumlarının risklerini, veri hassasiyeti, bireyler üzerindeki etkisi ve kritik görev işlevleri açısından önemi gibi faktörlere göre kategorilere ayırarak sıralamak, yapay zeka ile ilgili iş kararlarıyla bağlantılı sonuçları ve belirsizlikleri değerlendirmeye yardımcı olabilir.
- Teknik veya operasyonel tetikleyiciler: Riskler belirlenip sıralandıktan sonra, güvenlik ekipleri kritik kararlar için insan müdahalesi gerektiren teknik veya operasyonel tetikleyicileri uygulamalıdır.
- Yapay Zeka Yapılması ve Yapılmaması Gerekenler: Yetkisiz yapay zeka araçlarının (örneğin “gölge yapay zeka”) kullanılma riskini azaltmak için kuruluşlar, bir Kabul Edilebilir Kullanım Politikası oluşturmalı ve kuruluşun ve çalışanlarının çalışma ortamında yapay zekayı nasıl kullanacaklarına dair üzerinde anlaşılmış “yapılması ve yapılmaması gerekenler” oluşturmalıdır.
2. AI’yı desteklemek için güvenlik mimarisine ve teknik kontrollere öncelik verin
Güvenli AI’yı uygulamak için, AI güvenliğini ve veri korumasını destekleyen altyapı ve uygulama düzeyinde kontrollere sahip olmak gerekir. Bu, güvenlik mimarisine öncelik vermeyi ve altyapı/uygulama/model/veri yaklaşımını kullanarak teknik kontrolleri kullanmayı içerir:
- Güvenli bir altyapı oluşturmak: Ağ ve uç nokta kontrolleri gibi geleneksel önlemlerle güvenliği artırın ve yapay zeka tedarik zincirindeki güvenlik açıklarını gidermek için güncellemeleri önceliklendirin.
- Uygulama güvenliğinin önceliklendirilmesi: Güvenli geliştirme uygulamalarını iş akışınıza yerleştirin, modern tarama araçlarını kullanın ve güçlü kimlik doğrulama yetkilendirme önlemlerini uygulayın. Bazıları istem enjeksiyonu gibi AI’ya özgü sorunlara odaklanırken, klasik bir SQL enjeksiyonu hepsini aynı şekilde “yakalayabilir”.
- Yapay Zeka modelinin güvence altına alınması: Saldırgan saldırılara karşı koymak, eğitim verilerindeki önyargıları tespit edip azaltmak ve düzenli olarak eğitim faaliyetleri yürütmek için modeller eğitin. AI kırmızı takım egzersizleri sorunları tespit eder. Modeller ayrıca hem çok taşınabilir hem de oluşturulması çok maliyetlidir ve kötü niyetli aktörler tarafından çalınmaya açıktır. Modeli test edin ve ardından modeli koruyun.
- Veri güvenliğinin uygulanması: Şifreleme ve veri maskeleme dahil sağlam protokolleri yürürlüğe koyun, bütünlük için ayrıntılı veri kayıtları tutun ve hassas bilgileri korumak için sıkı erişim kontrolleri uygulayın. Eğitim verisi kaynağına, model girdilerine/çıktılarına ve diğer ilgili veri kümelerine odaklanın.
Kuruluşlar, bu önlemleri önceliklendirerek ve uygulayarak yapay zeka sistemlerinin ve verilerinin güvenliğini sağlamaya yardımcı olabilirler.
3. Yapay zekayı siber tehditlerden korumak için güvenlik stratejinizi genişletin
Yapay zekaya karşı siber güvenlik tehditlerini azaltmak için canlı, sürekli olarak iyileştirilmiş bir strateji esastır çünkü alan çok hızlı bir şekilde değişmektedir. Bu nedenle Google’ın Güvenli AI Çerçevesi.
Yapay zeka sistemlerini kapsayacak dayanıklı bir siber strateji oluştururken kuruluşların yapay zekanın risklerini anlamaları gerekir — İstemlere yönelik saldırılar, eğitim verisi hırsızlığı, model manipülasyonu, düşmanca örnekler, veri zehirlenmesi ve veri sızdırma dahil.
Ayrıca tehdit tespiti ve yanıt girişimleri gibi güvenlik amaçlı yapay zeka kullanımını da araştırmalılar.
Son olarak, kuruluşlar, AI’ya özgü sorunları ele alan ve AI’yı içeren güvenlik olaylarını tespit etmek, sınırlamak ve ortadan kaldırmak için net protokoller özetleyen kapsamlı bir olay müdahale planı aracılığıyla siber dayanıklılık oluşturmalıdır. Bunu yapmak, kuruluşlara AI dağıtımlarını gelişen siber tehditlere karşı korumak için doğru eğitim ve araçları sağlayacaktır.
Yapay zekanın karmaşık ortamında gezinirken, güvenlik liderlerinin görevi hızlı teknoloji ilerlemesi ve artan risk arasında denge kurmaktır. Güçlü güvenlik önlemleri, insan denetimi, teknik güvenlik kontrolleri ve proaktif bir tehdit savunma stratejisini birleştiren çok katmanlı bir yaklaşım benimseyerek, kuruluşlar kendilerini güvenli ve yenilikçi bir geleceğe hazırlayabilirler.