中英文下载 | 确保人工智能时代的关键基础设施安全
科技
2024-11-16 08:57
山东
进网络安全行业群
随着人工智能能力的不断提高,关键基础设施(CI)运营商和提供商寻求在整个企业中集成新的人工智能系统;然而,这些功能伴随着风险和好处。人工智能的采用可能会导致更有能力的系统,商业运作的改善,以及检测和应对网络威胁的更好工具。与此同时,人工智能系统也将引入CI提供商必须应对的新网络威胁。去年的人工智能行政命令指示各个部门风险管理机构(SRMAs)“评估并提供…….与人工智能在相关关键基础设施部门的使用相关的潜在风险评估,包括部署人工智能可能使关键基础设施系统更容易受到关键故障、物理攻击和网络攻击的方式。”擅长预测和异常检测的人工智能工具多年来一直被用于网络防御和其他商业活动。例如,提供商长期以来一直依赖由人工智能驱动的商业信息技术解决方案来检测恶意活动。变化的是,新的生成式人工智能技术变得更有能力,并为竞争情报操作员提供了新的机会。潜在的用途包括更有能力的聊天机器人,用于客户互动,增强威胁情报合成和优先化,更快的代码生产过程,以及最近的人工智能代理,可以根据用户提示执行操作。竞争情报运营商和部门正试图驾驭这种快速变化和不确定的局面。幸运的是,我们可以借鉴网络安全领域的类似案例。几年前,网络连接方面的创新为CI操作员提供了远程监控和操作许多系统的方法。然而,这也为恶意行为者创造了新的攻击媒介。过去的经验可以帮助组织了解如何实现人工智能系统的集成。今天,风险可能以两种方式出现:在CI内部署的系统中的AI漏洞或故障,以及针对CI部门恶意使用AI系统。本报告为管理AI在关键基础设施中的使用提供了技术缓解和政策建议。这次讨论得出了一些结论和建议。部门内和跨部门的竞争情报提供者之间的资源差异对人工智能采用和人工智能相关风险管理的前景具有重大影响。需要进一步的计划来支持资源不足的供应商在人工智能相关的帮助下,包括财务资源、培训模型数据、必要的人才和员工、交流论坛以及在更广泛的人工智能讨论中的发言权。扩大正式和非正式的互助手段有助于缩小差距。这些计划在组织间共享资源、人才和知识,以提高整个行业的安全性和弹性。它们包括正式的计划,如共享人员以应对事故或紧急情况,以及非正式的努力,如开发最佳实践或审查产品和服务。公认需要将人工智能风险管理纳入现有的企业风险管理实践;然而,在当前的公司结构中,人工智能风险的所有权可能是模糊的。这种风险被一位参与者称为AI“烫手山芋”,被扔给高管们。需要在公司结构内明确指定人工智能风险的责任。人工智能安全和人工智能安全之间的模糊性也给人工智能风险管理的操作化带来了巨大的挑战。组织通常不确定如何应用国家标准和技术研究所最近发布的人工智能风险管理框架以及网络安全框架的指导。需要进一步指导如何对人工智能风险实施统一的方法。对这一指南进行定制和优先排序,将有助于资源不足的提供者和那些有具体需求(通常是定制需求)的提供者更容易获得这一指南。虽然网络安全信息共享有一些成熟的渠道,但在人工智能领域没有类似的渠道。SRMAs应利用现有的场所,如信息共享和分析中心,进行人工智能安全信息共享。分享Al安全问题、缓解措施和最佳实践也很重要,但这样做的渠道尚不清楚。澄清什么是人工智能事件,哪些事件应该报告,报告的阈值,以及现有的网络事件报告渠道是否足够将是有价值的。为了促进跨部门的可见性和跨人工智能安全和安保的分析各部门应考虑建立一个集中的人工智能安全分析中心。管理网络和人工智能风险的技能相似但不相同。人工智能系统的实施将需要专业知识,而许多竞争情报提供者目前并不具备这些知识。因此,提供商和运营商应积极提升其现有劳动力的技能并寻求机会对员工进行相关网络安全技能的交叉培训,以有效应对一系列人工智能和网络相关风险。生成性人工智能引入了新的问题,这些问题可能更难管理,需要仔细研究。竞争情报提供商应该在采用更新的人工智能技术之前,保持谨慎和知情,特别是对于敏感或关键任务。评估一个组织是否准备好采用这些系统是关键的第一步。人工智能、算力算网
↓
![]()
