KI Secure by Design

AI-Tasks.de - deine Info-Quelle für KI/AI-News

Die folgende Übersetzung orientiert sich an der Beschreibung des britischen National Cyber Security Center. Das Original ist verfügbar unter: https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development .

Zusammenfassung:

Dieses Dokument bietet Richtlinien für Anbieter von Systemen, die künstliche Intelligenz (KI) nutzen. Es zielt darauf ab, KI-Systeme sicher und verantwortungsvoll zu entwickeln, bereitzustellen und zu betreiben. Die Richtlinien decken den gesamten Lebenszyklus der KI-Systementwicklung ab, einschließlich sicherem Design, sicherer Entwicklung, sicherer Bereitstellung sowie sicherem Betrieb und Wartung. Sie beinhalten spezifische Überlegungen und Maßnahmen zur Risikominderung und folgen einem „Secure by Default“-Ansatz, angelehnt an Praktiken des NCSC, NIST und CISA. Die Richtlinien betonen die Bedeutung von Sicherheit, Transparenz und Verantwortung für Anbieter von KI-Systemen.

Übersetzung:

Dieses Dokument empfiehlt Richtlinien für Anbieter jeglicher Systeme, die künstliche Intelligenz (KI) nutzen, unabhängig davon, ob diese Systeme von Grund auf neu erstellt oder auf der Basis von Tools und Diensten anderer aufgebaut wurden. Die Implementierung dieser Richtlinien hilft Anbietern dabei, KI-Systeme zu entwickeln, die wie beabsichtigt funktionieren, bei Bedarf verfügbar sind und sensible Daten nicht an unbefugte Parteien preisgeben.

Das Dokument richtet sich in erster Linie an Anbieter von KI-Systemen, die Modelle nutzen, die von einer Organisation gehostet werden, oder externe Anwendungsprogrammierschnittstellen (APIs) verwenden. Wir fordern alle Beteiligten (einschließlich Datenwissenschaftler, Entwickler, Manager, Entscheidungsträger und Risikoinhaber) auf, diese Richtlinien zu lesen, um informierte Entscheidungen über das Design, die Entwicklung, die Bereitstellung und den Betrieb ihrer KI-Systeme zu treffen.

Über die Richtlinien: KI-Systeme haben das Potenzial, der Gesellschaft viele Vorteile zu bringen. Damit die Möglichkeiten der KI jedoch vollständig realisiert werden können, muss sie auf sichere und verantwortungsvolle Weise entwickelt, bereitgestellt und betrieben werden.

KI-Systeme unterliegen neuen Sicherheitsanfälligkeiten, die neben den Standard-Cybersicherheitsbedrohungen berücksichtigt werden müssen. Wenn das Entwicklungstempo hoch ist – wie es bei KI der Fall ist – kann Sicherheit oft eine sekundäre Überlegung sein. Sicherheit muss eine Kernanforderung sein, nicht nur in der Entwicklungsphase, sondern während des gesamten Lebenszyklus des Systems.

Aus diesem Grund sind die Richtlinien in vier Schlüsselbereiche innerhalb des Lebenszyklus der KI-Systementwicklung unterteilt: sicheres Design, sichere Entwicklung, sichere Bereitstellung und sicherer Betrieb und Wartung. Für jeden Abschnitt schlagen wir Überlegungen und Minderungsmaßnahmen vor, die das Gesamtrisiko für den KI-Systementwicklungsprozess einer Organisation reduzieren werden.

  1. Sicheres Design Dieser Abschnitt enthält Richtlinien, die sich auf die Designphase des KI-Systementwicklungslebenszyklus beziehen. Er deckt das Verständnis von Risiken und Bedrohungsmodellierung ab sowie spezifische Themen und Kompromisse, die bei System- und Modellentwurf zu berücksichtigen sind.
  2. Sichere Entwicklung Dieser Abschnitt enthält Richtlinien, die sich auf die Entwicklungsphase des KI-Systementwicklungslebenszyklus beziehen, einschließlich Lieferketten-Sicherheit, Dokumentation und Verwaltung von Vermögenswerten und technischer Verschuldung.
  3. Sichere Bereitstellung Dieser Abschnitt enthält Richtlinien, die sich auf die Bereitstellungsphase des KI-Systementwicklungslebenszyklus beziehen, einschließlich des Schutzes von Infrastruktur und Modellen vor Kompromittierung, Bedrohung oder Verlust, der Entwicklung von Incident-Management-Prozessen und verantwortungsvoller Freigabe.
  4. Sicherer Betrieb und Wartung Dieser Abschnitt enthält Richtlinien, die für die Phase des sicheren Betriebs und der Wartung des KI-Systementwicklungslebenszyklus gelten. Er bietet Richtlinien für Maßnahmen, die besonders relevant sind, sobald ein System bereitgestellt wurde, einschließlich Protokollierung und Überwachung, Update-Management und Informationsaustausch.

Die Richtlinien folgen einem „Secure by Default“-Ansatz und sind eng an Praktiken des NCSC, des NIST und an „Secure by Design“-Prinzipien von CISA, dem NCSC und internationalen Cyber-Agenturen angelehnt. Sie priorisieren:

  • Übernahme der Verantwortung für Sicherheitsergebnisse für Kunden
  • Radikale Transparenz und Verantwortlichkeit
  • Aufbau einer Organisationsstruktur und Führung, damit „Secure by Design“ eine oberste Geschäftspriorität ist.

Weitere Information zum Ansatz zu „Secure by Design“ findet ihr euch hier.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert