NIST, SP 800-53 çerçevesi üzerine inşa edilen AI sistemlerini güvence altına almak için yeni kontrol denetimleri için bir konsept makalesi yayınladı. Yeni çerçevenin neyi kapsadığını ve uzmanların neden daha ayrıntılı açıklamalar için çağırdığını öğrenin.
Yapay Zekanın (AI) güvenlik risklerini yönetmeye yönelik önemli bir adımda, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), AI sistemlerini güvence altına almak için kontrol dengeleme çerçevesi öneren yeni bir konsept makalesi yayınladı.
Bu çerçeve, birçok kuruluşun siber güvenlik risklerini yönetmek için zaten aşina olduğu tanınmış NIST Özel Yayın (SP) 800-53 üzerine inşa edilirken, bu kaplamalar aslında kuruluşlara yardımcı olacak bir dizi siber güvenlik yönergesidir.
Konsept bildirisi (PDF), bu yönergelerin farklı AI türlerini korumak için nasıl kullanılabileceğine dair çeşitli senaryolar ortaya koymaktadır. Makale, bir kontrol bindirmesini belirli bir teknoloji için güvenlik kontrollerini özelleştirmenin bir yolu olarak tanımlayarak yönergeleri farklı AI uygulamaları için esnek hale getiriyor. Ayrıca, NIST 800-53 gibi mevcut standartlardan yararlanan AI geliştiricileri için özellikle güvenlik kontrollerini içerir.
Bu görüntüde NIST, üretken AI, öngörücü AI ve ajanik AI sistemleri gibi AI kullanan kuruluşlar için kullanım durumlarını belirlemiştir.
Hareket olumlu bir başlangıç olarak görülse de, eleştirmenleri olmadan değil. Appomni’de AI direktörü Melissa Ruzzi, kağıt hakkındaki düşüncelerini hackread.com ile paylaştı ve yönergelerin gerçekten yararlı olması için daha spesifik olması gerektiğini öne sürdü. Ruzzi, kullanım durumlarının iyi bir başlangıç noktası olduğuna inanıyor, ancak ayrıntılı açıklamalardan yoksun.
“Kullanım durumları en popüler AI uygulamalarını yakalıyor gibi görünüyor,” dedi, “ancak daha açık bir şekilde tanımlanmaları ve tanımlanmaları gerekiyor…”, “denetlenmemiş” gibi farklı AI türlerinin farklı ihtiyaçları olduğunu belirtiyor.
Ayrıca veri duyarlılığının önemini vurgulamaktadır. Ruzzi’ye göre, yönergeler kişisel veya tıbbi bilgiler gibi kullanılan veri türüne göre daha spesifik kontroller ve izleme içermelidir. Bu çok önemlidir, çünkü makalenin amacı, her kullanım durumu için bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır.
Ruzzi’nin yorumları, bu kadar hızlı gelişen bir teknoloji için tek bedene uyan bir güvenlik çerçevesi oluşturmada önemli bir zorluğu vurgulamaktadır. NIST makalesi ilk adımdır ve organizasyon şimdi son versiyonunu şekillendirmeye yardımcı olmak için halktan geri bildirim istiyor.
Hatta uzmanların ve topluluk üyelerinin konuşmaya katılabileceği ve bu yeni güvenlik yönergelerinin geliştirilmesine katkıda bulunabileceği bir gevşek kanal bile başlattı. Bu işbirlikçi yaklaşım, NIST’in gerçek dünya için hem kapsamlı hem de pratik bir çerçeve yaratma konusunda ciddi olduğunu göstermektedir.