Em 3 de abril de 2025, o NIST organizou umWorkshop de Perfil de Segurança Cibernética e IAem nosso Centro Nacional de Excelência em Segurança Cibernética (NCCoE) para ouvir feedback sobre nosso documento conceitual que apresentou oportunidades para criar perfis doEstrutura de segurança cibernética do NIST (CSF)e oEstrutura de gerenciamento de risco de IA do NIST (AI RMF). Isso serviria para apoiar a comunidade de segurança cibernética à medida que adotam a IA para segurança cibernética, precisam se defender contra ataques de segurança cibernética habilitados por IA, bem como proteger os sistemas de IA à medida que as organizações adotam a IA para apoiar seus negócios.Fique ligado no Relatório de Resumo do Workshop que será lançado em breve!
E quanto às Diretrizes de Implementação?
Os Perfis da Comunidade são um primeiro passo importante. Também ouvimos uma forte demanda (e oportunidade) para que o NIST forneça simultaneamente diretrizes práticas de implementação para ajudar as organizações a alcançar os resultados no perfil Cyber AI. Ao trabalhar esses esforços simultaneamente, o desenvolvimento do perfil pode informar o desenvolvimento de diretrizes de implementação e vice-versa.
Tanto as partes interessadas das agências federais quanto as partes interessadas do setor privado identificaram essa necessidade de diretrizes práticas de implementação para ajudar a melhorar a segurança cibernética dos sistemas de IA. Seguindo o feedback para não reinventar a roda, o NIST pretende aproveitar totalmente as estruturas de segurança cibernética e as diretrizes técnicas existentes (especificamente o Controles de segurança e privacidade) para desenvolver uma série de sobreposições de controlo da cibersegurança centradas em casos de utilização e informadas sobre ameaças.
Sobreposições de controlesão um conjunto de NIST SP 800-53controles projetados e adaptados para atender a requisitos especializados, tecnologias ou missões ou ambientes exclusivos de operações. Em contraste com os Perfis da Comunidade e as Estruturas que os utilizam, os controles do SP 800-53 são geralmente mais detalhados e voltados para implementações específicas.
Em vez de um general Cibersegurançae sobreposição de controle de privacidade para toda a IA, vemos que há uma necessidade crítica de sobreposições mais focadas na implementação e específicas de casos de uso para cobrir os diferentes tipos de sistemas de IA, componentes específicos e usuários. Isso ocorre porque:
- Em muitos aspectos, os controles de segurança cibernética e privacidade necessários para gerenciar o risco para sistemas e componentes de IA não são diferentes daqueles exigidos para qualquer tipo de software; Não há necessidade de refazer ou reiterar esses controles.
- Nem todas as organizações desenvolverão IA; muitos serão apenas usuários. Nesses casos, definir o escopo das necessidades do usuário pretendido garantirá soluções leves e modulares que as organizações podem escolher para usar sozinhas ou em diferentes combinações para atender às suas necessidades exclusivas.
- O foco dessas sobreposições deve ser baseado exclusivamente nos controles que exigem considerações de implementação exclusivas e abordam riscos específicos de IA.
As bases da construção de um conjunto de sobreposições de controle focadas em casos de uso já existem nas diretrizes do NIST:
- NIST SP 800-53 –Controles de segurança e privacidade para sistemas de informação e organizações(um catálogo de controles de segurança e privacidade que podem ser selecionados e personalizados para criar as sobreposições).
- SP 800-218A –Práticas seguras de desenvolvimento de software para IA generativa e modelos de base de uso duplo: um perfil da comunidade SSDF(um ponto de partida para identificar ativos de informação específicos e práticas de segurança para traduzir em controles para desenvolvedores de IA).
- NIST AI-100-2E2025 –Aprendizado de máquina adversário: uma taxonomia e terminologia de ataques e mitigações(um conjunto de casos de uso de IA e ataques e mitigações centrados em IA).
O NIST desenvolverá sobreposições de controle que respondam às chamadas das partes interessadas para desenvolver as estruturas e diretrizes existentes e também demonstrar como nosso amplo portfólio pode ser usado perfeitamente para melhorar as práticas de gerenciamento de riscos de segurança cibernética.
Planos para o trabalho futuro do NIST na interseção de segurança cibernética e IA:
Para complementar os esforços mencionados acima, o NIST pode realizar pesquisas e trabalhar com a comunidade para:
- Identifique, desenvolva e busque comentários públicos sobre casos de uso adicionais de sobreposição de alto nível para organizações que desenvolvem e usam IA.
- Configure uma Comunidade de Interesse (COI) para Sobreposições de Controle de IA para garantir o envolvimento contínuo.
- Continue a receber ideias e feedback da comunidade de segurança cibernética e IA a cada passo do caminho – por meio do COI, workshops e outros mecanismos.
- Compartilhe o progresso e detalhes sobre o que estamos fazendo.
Esperamos que você se junte a nós e contribua com seus comentários sobre este novo e empolgante trabalho; O NIST agradece seu feedback e participação!