A rápida proliferação da Inteligência Artificial (IA) promete um valor significativo para a indústria, os consumidores e a sociedade em geral, mas, como acontece com muitas tecnologias, Novos riscos a partir desses avanços na IA devem ser gerenciados para realizar todo o seu potencial. O Estrutura de gerenciamento de risco de IA do NIST(AI RMF) foi desenvolvido para gerenciar os benefícios e riscos para indivíduos, organizações e sociedade associados à IA e abrange uma ampla gama de riscos, desde segurança até falta de transparência e responsabilidade. Para aqueles de nós no NIST que trabalham em segurança cibernética, privacidade e IA, uma das principais preocupações é como os avanços na ampla adoção da IA podem afetar os riscos atuais de segurança cibernética e privacidade, abordagens de gerenciamento de riscos e como essas abordagens de gerenciamento de riscos se relacionam entre si no nível corporativo.
Com relação à privacidade, a IA cria novos reidentificação riscos, não apenas por causa de seu poder analítico em conjuntos de dados díspares, mas também por causa do potencial Vazamento de dados do treinamento do modelo. Os recursos preditivos da IA também podem revelar maiores insights sobre as pessoas, bem como amplificar o rastreamento e a vigilância comportamental. Do lado positivo, o escopo analítico e o amplo alcance da IA podem ser usados para alimentar assistentes de privacidade pessoal que podem ajudar as pessoas a gerenciar melhor suas preferências de privacidade em suas atividades online.
A IA criará novas oportunidades e desafios para a segurança cibernética, como ameaças cibernéticas habilitadas por IA, uso de IA para melhorar as ferramentas e recursos de segurança cibernética e garantir que os sistemas de IA sejam protegidos contra ameaças tradicionais e emergentes de segurança cibernética. O uso de IA para melhorar a caça a ameaças de segurança cibernética, por exemplo, pode aumentar as taxas de detecção, mas também pode aumentar o número de falsos positivos. Como resultado, os profissionais de segurança cibernética e outros funcionários podem precisar de diferentes Habilidades de segurança cibernéticae salienta a importância de assegurar que qualquer solução seja explicável e interpretável. Além disso, à medida que as unidades de negócios de uma organização incorporam a tecnologia de IA em suas soluções, será necessário entender melhor as dependências de dados em toda a organização. Os responsáveis pelo gerenciamento de riscos de segurança cibernética podem precisar reavaliar a importância relativa dos ativos de dados, atualizar o inventário de ativos de dados e contabilizar novas ameaças e riscos. Por fim, ameaças habilitadas para IA, como o uso de um gerador de voz de IA por adversários, podem exigir que uma organização atualize o treinamento antiphishing anual.
Tudo isso destaca a necessidade crítica de padrões, diretrizes, ferramentas e práticas para melhorar o gerenciamento de segurança cibernética e privacidade na era da IA, garantir a adoção responsável da IA para fins de segurança cibernética e proteção da privacidade e identificar ações importantes que as organizações devem tomar para adaptar sua resposta defensiva às técnicas ofensivas habilitadas para IA. Para atender a essa necessidade e garantir um foco sustentado nesses tópicos importantes, o NIST é Estabelecendo um programa para a cibersegurança e a privacidade da IA e a utilização da IA para a cibersegurança e a privacidade.
O programa se baseará na experiência, pesquisa e publicações existentes do NIST, como:
- O Práticas seguras de desenvolvimento de software para IA generativa e modelos de base de uso duplo: um perfil da comunidade SSDF (NIST SP 218A);
- Aprendizado de máquina adversário: uma taxonomia e terminologia de ataques e mitigações (NIST AI 100-2);
- Habilitando a privacidade na era da IA: Projeto de Diretrizes para Avaliação de Garantias Diferenciais de Privacidade (NIST SP 800-226);
- A recente introdução da Segurança da IA como Área de Competência como parte do Estrutura da força de trabalho da NICE para segurança cibernética (NICE Framework);
- Ferramentas como Dioptra – uma plataforma de teste que visa facilitar as avaliações de algoritmos de aprendizado de máquina, incluindo segurança cibernética, sob um conjunto diversificado de condições.
- Um PETs Testbed que fornece a capacidade de investigar tecnologias de aprimoramento de privacidade (PETs) e sua respectiva adequação para casos de uso específicos, incluindo a proteção de modelos de aprendizado de máquina contra ataques de privacidade.
O programa visa entender como os avanços na IA podem afetar os riscos de segurança cibernética e privacidade, identificar as adaptações necessárias para estruturas e orientações existentes e preencher lacunas nos recursos existentes. O programa trabalhará com as partes interessadas em toda a indústriay, governo e academia, e desempenhará um papel de liderança nos esforços dos EUA e internacionais para proteger o ecossistema de IA. O programa será coordenado com outros programas do NIST, agências federais e entidades comerciais, conforme necessário, para garantir uma abordagem holística para lidar com os desafios e oportunidades de segurança cibernética e privacidade relacionados à IA.
Este programa trabalhando através do NCCOE está dando início a um projeto para Desenvolva um perfil da comunidade adaptar os frameworks existentes, começando pelo Cybersecurity Framework, bem como entender os impactos em outros frameworks, como o Estrutura de Privacidadeo Estrutura de gerenciamento de risco de IA e Estrutura NICE. Esse esforço se baseia em outros perfis da comunidade desenvolvidos para outro uso Casos e tecnologias. O perfil da comunidade de IA começará com foco no gerenciamento de três fontes de riscos de segurança cibernética e privacidade relacionados à IA:
- Riscos de segurança cibernética e privacidade que surgem do uso de IA pelas organizações, incluindo a proteção de sistemas de IA, componentes e infraestruturas de aprendizado de máquina e minimização do vazamento de dados.
- Determinar como se defender contra ataques habilitados por IA.
- Auxiliar as organizações no uso da IA em suas atividades de defesa cibernética e usar a IA para melhorar as proteções de privacidade.
Estamos ansiosos para dialogar e colaborar sobre como avançar no programa e ajudar a comunidade de segurança cibernética e privacidade à medida que adotam o desenvolvimento e o uso onipresentes da IA. Fique ligado e visite o novo site do programa para obter mais informações. Por favor, envie qualquer feedback ou perguntas para AICyber [at] nist.gov (AICyber[at]Nist[dot]gov).