了解不斷變化的法規(guī)是應(yīng)對人工智能風(fēng)險的關(guān)鍵。這對網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者意味著什么。

譯自How evolving AI regulations impact cybersecurity，作者 Ram Movva; Aviral Verma。

雖然他們的商業(yè)和技術(shù)同事忙于嘗試和開發(fā)新的應(yīng)用程序，但網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者正在尋找方法來預(yù)測和應(yīng)對新的、由人工智能驅(qū)動的威脅。

人工智能對網(wǎng)絡(luò)安全的影響一直很明顯，但這是一個雙向的過程。人工智能越來越多地被用于預(yù)測和緩解攻擊，但這些應(yīng)用程序本身也容易受到攻擊。每個人都興奮的自動化、規(guī)模和速度也同樣適用于網(wǎng)絡(luò)犯罪分子和威脅行為者。雖然距離主流應(yīng)用還很遠(yuǎn)，但人工智能的惡意使用一直在增長。從生成對抗網(wǎng)絡(luò)到大型僵尸網(wǎng)絡(luò)和自動化的 DDoS 攻擊，人工智能有可能產(chǎn)生一種新型的網(wǎng)絡(luò)攻擊，這種攻擊可以適應(yīng)和學(xué)習(xí)以逃避檢測和緩解。

在這種環(huán)境下，我們?nèi)绾畏烙斯ぶ悄芟到y(tǒng)免受攻擊？攻擊性人工智能將采取什么形式？威脅行為者的 AI 模型將是什么樣的？我們能對 AI 進(jìn)行滲透測試嗎？我們應(yīng)該何時開始以及為什么？隨著企業(yè)和政府?dāng)U展其 AI 管道，我們將如何保護(hù)他們依賴的大量數(shù)據(jù)？

正是這些問題促使美國政府和歐盟將網(wǎng)絡(luò)安全置于首位，因為它們都在努力制定指導(dǎo)方針、規(guī)則和法規(guī)來識別和緩解新的風(fēng)險環(huán)境。這并非第一次出現(xiàn)明顯不同的方法，但這并不意味著沒有重疊。

讓我們簡要了解一下其中涉及的內(nèi)容，然后再繼續(xù)考慮這對網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者和 CISO 的意義。

美國人工智能監(jiān)管方法概述

除了行政命令，美國對人工智能監(jiān)管的分散式方法也體現(xiàn)在加州等州制定自己的法律指南。作為硅谷的所在地，加州的決定可能會極大地影響科技公司開發(fā)和實施人工智能的方式，一直到用于訓(xùn)練應(yīng)用程序的數(shù)據(jù)集。雖然這絕對會影響所有參與開發(fā)新技術(shù)和應(yīng)用程序的人，但從純粹的 CISO 或網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的角度來看，重要的是要注意，雖然美國的環(huán)境強(qiáng)調(diào)創(chuàng)新和自我監(jiān)管，但總體方法是基于風(fēng)險的。美國的監(jiān)管環(huán)境強(qiáng)調(diào)創(chuàng)新，同時解決與人工智能技術(shù)相關(guān)的潛在風(fēng)險。法規(guī)側(cè)重于促進(jìn)負(fù)責(zé)任的人工智能開發(fā)和部署，重點是行業(yè)自我監(jiān)管和自愿合規(guī)。

對于 CISO 和其他網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者來說，重要的是要注意，行政命令指示美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)制定標(biāo)準(zhǔn)用于對 AI 系統(tǒng)進(jìn)行紅隊測試。還呼吁“最強(qiáng)大的 AI 系統(tǒng)”必須進(jìn)行滲透測試并將結(jié)果與政府共享。

歐盟人工智能法案概述

歐盟更加謹(jǐn)慎的方法從一開始就將網(wǎng)絡(luò)安全和數(shù)據(jù)隱私納入其中，并制定了強(qiáng)制性標(biāo)準(zhǔn)和執(zhí)行機(jī)制。與其他歐盟法律一樣，人工智能法案是基于原則的：組織有責(zé)任通過支持其實踐的文檔來證明合規(guī)性。

對于 CISO 和其他網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者來說，第 9.1 條引起了很多關(guān)注。它指出

高風(fēng)險人工智能系統(tǒng)應(yīng)按照以下原則設(shè)計和開發(fā)安全設(shè)計和默認(rèn)安全。鑒于其預(yù)期用途，它們應(yīng)達(dá)到適當(dāng)?shù)臏?zhǔn)確性、穩(wěn)健性、安全性、網(wǎng)絡(luò)安全水平，并在其整個生命周期內(nèi)始終如一地保持這些水平。遵守這些要求應(yīng)包括根據(jù)特定市場細(xì)分或應(yīng)用范圍實施最先進(jìn)的措施。

從最根本的層面上講，第 9.1 條意味著關(guān)鍵基礎(chǔ)設(shè)施和其他高風(fēng)險組織的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將需要進(jìn)行 AI 風(fēng)險評估并遵守網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。該法案第 15 條涵蓋了可以采取的網(wǎng)絡(luò)安全措施來保護(hù)、緩解和控制攻擊，包括試圖操縱訓(xùn)練數(shù)據(jù)集（“數(shù)據(jù)中毒”）或模型的攻擊。對于 CISO、網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者和 AI 開發(fā)人員來說，這意味著任何構(gòu)建高風(fēng)險系統(tǒng)的人都需要從一開始就考慮網(wǎng)絡(luò)安全的影響。

歐盟人工智能法案與美國人工智能監(jiān)管方法的關(guān)鍵區(qū)別

人工智能法規(guī)對 CISO 和其他網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的意義

盡管方法不同，但歐盟和美國都主張采取基于風(fēng)險的方法。而且，正如我們在 GDPR 中所見，隨著我們朝著全球標(biāo)準(zhǔn)的合作和共識邁進(jìn)，存在著大量協(xié)調(diào)的空間。

從網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的角度來看，很明顯，人工智能法規(guī)和標(biāo)準(zhǔn)處于成熟度的早期階段，并且隨著我們對技術(shù)和應(yīng)用的了解不斷加深，幾乎肯定會發(fā)生變化。正如美國和歐盟的監(jiān)管方法所強(qiáng)調(diào)的那樣，網(wǎng)絡(luò)安全和治理法規(guī)要成熟得多，這至少是因為網(wǎng)絡(luò)安全社區(qū)已經(jīng)投入了大量資源、專業(yè)知識和努力來提高意識和知識。

人工智能和網(wǎng)絡(luò)安全之間的重疊和相互依賴意味著網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者更加敏銳地意識到新出現(xiàn)的后果。畢竟，許多人一直在使用人工智能和機(jī)器學(xué)習(xí)來進(jìn)行惡意軟件檢測和緩解、惡意 IP 阻止和威脅分類。目前，CISO 將負(fù)責(zé)制定全面的 AI 戰(zhàn)略，以確保整個業(yè)務(wù)的隱私、安全和合規(guī)性，包括以下步驟：

• 確定 AI 帶來最大收益的用例。
• 確定成功實施 AI 所需的資源。
• 建立一個治理框架來管理和保護(hù)客戶/敏感數(shù)據(jù)，并確保遵守您組織開展業(yè)務(wù)的每個國家/地區(qū)的法規(guī)。
• 清晰地評估和評估 AI 實施對整個業(yè)務(wù)（包括客戶）的影響。

與人工智能威脅形勢保持同步

隨著人工智能法規(guī)不斷發(fā)展，目前唯一真正確定的是，美國和歐盟將在制定標(biāo)準(zhǔn)方面發(fā)揮關(guān)鍵作用。快速的變化意味著我們肯定會看到法規(guī)、原則和指南的變化。無論是自主武器還是自動駕駛汽車，網(wǎng)絡(luò)安全都將在解決這些挑戰(zhàn)的方式中發(fā)揮核心作用。

速度和復(fù)雜性都表明，我們很可能從特定國家/地區(qū)的規(guī)則演變?yōu)閲@關(guān)鍵挑戰(zhàn)和威脅達(dá)成更廣泛的全球共識。從迄今為止的美國-歐盟合作來看，已經(jīng)存在明確的共同基礎(chǔ)可以借鑒。GDPR（通用數(shù)據(jù)保護(hù)條例）表明，歐盟的方法最終對其他司法管轄區(qū)的法律產(chǎn)生了重大影響。某種程度的協(xié)調(diào)似乎不可避免，這至少是因為挑戰(zhàn)的嚴(yán)重性。

與 GDPR 一樣，這更多是一個時間和合作的問題。同樣，GDPR 提供了一個有用的案例歷史。在這種情況下，網(wǎng)絡(luò)安全從技術(shù)規(guī)定提升到了要求。安全將成為人工智能應(yīng)用中不可或缺的要求。在開發(fā)人員或企業(yè)可能對其產(chǎn)品承擔(dān)責(zé)任的情況下，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須及時了解其組織中使用的架構(gòu)和技術(shù)至關(guān)重要。

在接下來的幾個月里，我們將看到歐盟和美國法規(guī)如何影響正在構(gòu)建人工智能應(yīng)用程序和產(chǎn)品的組織，以及新興的人工智能威脅形勢如何演變。