Teknoloji sıklıkla başa çıkabileceğimizden daha hızlı gelişir. Bu özellikle federal hükümet ve ortakları için geçerlidir; ulusal güvenlik çıkarları doğrultusunda sıkı güvenlik standartlarına uymak zorunda olan kuruluşlar.
Federal Risk ve Yetkilendirme Yönetimi Programı, yaygın olarak FedRAMP olarak bilinir, bunun açık bir örneğidir. FedRAMP, bulut ürünleri ve hizmetleri için güvenlik değerlendirmesi, yetkilendirme ve izleme konusunda standartlaştırılmış ve zorunlu bir yaklaşım sağlar. Hükümetle iş yapmak isteyen ticari bulut hizmeti sağlayıcıları FedRAMP akreditasyonuna sahip ve uyumlu olmalıdır.
Ancak yapay zeka gibi gelişen teknolojiyle birlikte bu tür yeni standartlar henüz şekillenmeye başlıyor.
Rakamlar federal hükümetin yapay zekaya iştahı olduğunu gösteriyor. Stanford Üniversitesi’nden bir rapora göre, ABD Savunma ve Federal Sivil ajansları yapay zeka çözümlerine yaklaşık 3 milyar dolar harcadı. Bu, federal hükümetin rekabetçi kalmak ve ulusal güvenliğimizi korumak için yapay zekayı benimsemenin faydalarını ve ihtiyaçlarını kabul ettiğini gösteriyor. Peki teknoloji şirketleri bu ihtiyaçlar için göreve nasıl hazır hale geliyor?
Standartların Kesişimi
AI’nın federal kullanımıyla ilgili birkaç yeni zorunluluk var, örneğin Yönetim ve Bütçe Ofisi’nin yeni yayınlanan Muhtırası M-24-10. Bu, hükümet kurumlarının daha fazla güvenilirlik testi, şeffaflık ve AI sistemlerinin test edilmesini sağlayan zorunlu AI güvenlik önlemlerini karşılaması ve uygulaması gerektiğini belirtir. Kurumlar bu standartları 1 Aralık 2024’e kadar karşılamalıdır.
İşte burada işler karmaşıklaşıyor. Birçok ticari AI çözümü bulut hizmetleri kullanılarak sunulduğundan, bu AI çözümlerinin FedRAMP akreditasyonuna sahip olması gerekir.
Yapay zekanın hızla benimsenmesiyle birlikte, artık yapay zeka ve bulut hizmetlerinin kesişimini ayrıntılı olarak açıklayan federal kuruma özgü kullanım örnekleri bulunmaktadır. Örneğin, Çalışma Bakanlığı (DOL), dil çevirisi, talep belgesi işleme ve web sitesi sohbet robotları için bulut tabanlı ticari hazır NLP modellerini kullanan birkaç projeye sahiptir. Amerika Birleşik Devletleri Hazine Bakanlığı’nın da benzer kullanım örnekleri vardır.
Hem bulut hem de yapay zeka entegrasyonuna sahip bu kullanım örnekleri halihazırda FedRAMP uyumluluğuna tabidir.
Yeni Ölçütleri ve Ötesini Karşılamak
Bir teknoloji şirketinin bulut tabanlı bir yapay zeka hizmeti mi yoksa sadece tipik bir yapay zeka modeli mi sağladığından bağımsız olarak, FedRAMP gibi mevcut çerçeveleri temel alarak yapay zekanın kullanımını hızlandırmak için hemen atılabilecek birkaç adım var.
NIST AI RMF ve NIST SP 800-53’e dayalı bir AI katmanı oluşturmak için bir yetki-işletme (ATO) sistemiyle uyumluluk daha hızlı bir şekilde sağlanabilir. ATO’yu AI’ya uygulayarak, kurumlar mevcut yönergeleri uyarlayabilir, genişletebilir ve artırabilir ve AI sistemlerinin ve güvenlik önlemlerinin entegrasyonunu hızlandırabilir.
Bir diğer yararlı kaynak ise yakın zamanda federal kurumlar için FedRAMP akrediteli Gen AI bulut çözümlerinin kullanılabilirliğini hızlandırmak üzere tasarlanan Gelişen Teknoloji Önceliklendirme Çerçevesi’ni yayınlayan FedRAMP Program Yönetim Ofisi’nden geliyor.
Yapay zeka çözümlerinin kullanılabilirliğini hızlandırmak için FedRAMP PMO, Generative AI çözümlerinin ilk kategorilerini ve seçimi yönlendirmek için kullanılacak ölçütleri tanımlayan bir taslak önceliklendirme çerçevesi yayınladı. İlk odak noktası, sohbet arayüzleri, kod oluşturma ve istem tabanlı görüntü oluşturma için Generative AI çözümleridir.
Bir şirket FedRAMP veya diğer benzer standartlara tabi olsun veya olmasın, uyumluluğu sağlamak için en son kılavuzla güncel kalmak önemlidir. Bu zorunluluklar ve kılavuzlar hakkında bilgi sahibi olmak, süreçleri ve geliştirmeyi daha verimli hale getirebilir.
Devlet kurumları, güvenliğe öncelik veren ve bir adım önde düşünen endüstri ortakları aramalıdır. Yeni düzenlemeler ve standartlar sıklıkla yürürlüğe giriyor, bu nedenle bu en iyi uygulamalardan bazılarının zorunlu hale gelmesi an meselesi.
Yazar Hakkında
Gaurav “GP” Pal, stackArmor’un CEO’su ve kurucusudur. ABD federal, Savunma Bakanlığı, kar amacı gütmeyen ve finansal hizmetler müşterilerine odaklanan 100 milyon doların üzerinde gelire sahip güvenli bir bulut çözümleri uygulamasını büyütme ve yönetme konusunda başarılı bir geçmişe sahip ödüllü bir Kıdemli İş Lideridir. GP’ye stackArmor’un şirket web sitesi https://stackarmor.com/ adresinden ulaşılabilir.