Reti sicure e Dispositivi sicuri ai tempi dell’Intelligenza Artificiale: evolve la strategia.
C'è questa idea che una rete sicura di dispositivi non sia abbastanza buona... che ciò di cui hai bisogno è una rete di dispositivi sicuri. Tuttavia, in Zebra, si crede che l'unica cosa accettabile al giorno d'oggi sia una rete sicura di dispositivi sicuri. Ecco perché si sta lavorando con Google Cloud e Qualcomm Technologies, Inc. per analizzare a fondo le architetture on-prem e cloud per implementare le migliori funzionalità di sicurezza in ogni potenziale punto di accesso. Controllare e aggiornare le impostazioni a livello di rete e dispositivo edge non è più sufficiente. L'unico modo per proteggere la tua proprietà intellettuale (IP) e la tua reputazione è identificare potenziali vulnerabilità e proteggere l'accesso ai livelli di rete, dispositivo, silicio, software e architettura.
Se sembra esagerato, lo è. Perché deve esserlo.
Le tendenze geopolitiche continueranno ad accelerare l'importanza di livelli di sicurezza sempre più elevati. Lo abbiamo detto molte volte: qualsiasi dispositivo connesso a una rete è un potenziale punto di vulnerabilità se non adeguatamente protetto. Qualsiasi componente software... qualsiasi parte della supply chain del software. E ci sono più persone che mai che prendono di mira la tua organizzazione, che tu te ne renda conto o meno.
Quando si inizia a introdurre modelli di intelligenza artificiale nel proprio ambiente, anche se si tratta di un singolo modello di intelligenza artificiale in esecuzione ai margini, è necessario riconoscere le potenziali vulnerabilità che introducono nella propria organizzazione e valutarne, monitorarne e gestirne attentamente la provenienza e il comportamento.
Non aspettare che venga emanata una norma o che si verifichi un incidente di sicurezza per adottare questa pratica. Non farlo solo per il gusto di praticare un'IA responsabile . Fallo perché ci sono rischi che devi mitigare in modo da non gravare la tua organizzazione di responsabilità o mettere potenzialmente in pericolo i tuoi dipendenti, clienti o elettori. Non sono solo le aziende tecnologiche a doversi preoccupare di queste cose. È chiunque integri l'IA in flussi di lavoro on-prem, basati su cloud o su dispositivo.
Fortunatamente, ci sono sviluppatori, ingegneri, architetti di soluzioni e dirigenti aziendali presso aziende tecnologiche che stanno pensando al modo migliore per supportarti dal punto di vista della sicurezza dell'intelligenza artificiale.
Ci vuole un villaggio e diligenza per proteggere i modelli di intelligenza artificiale
Il 18 luglio, all'Aspen Security Forum, un gruppo di aziende tecnologiche leader tra cui Google, Amazon, Intel, IBM, Microsoft e NVIDIA ha lanciato la Coalition for Secure AI (CoSAI). Questo è solo un altro segnale che la sicurezza dell'IA è più importante che mai, soprattutto dato l'aumento degli hacker che utilizzano l'IA per rendere più sofisticati i loro messaggi di posta elettronica di phishing, messaggi di testo, video deep fake e attacchi audio.
E’ stato chiesto a Srikrishna (Sri) Shankavaram, Principal Cybersecurity Architect del team AI & Advanced Development in Zebra, cosa pensasse di questa coalizione. Ha detto:
"Il lancio di CoSAI è importante e tempestivo. Uno dei principali flussi di lavoro su cui si concentrerà è la sicurezza della supply chain del software per i sistemi di intelligenza artificiale, che abbraccia l'intero ciclo di vita dei sistemi di intelligenza artificiale, dalla raccolta dati e dalla formazione del modello all'implementazione e alla manutenzione. A causa della complessità e dell'interconnessione di questo ecosistema, le vulnerabilità in qualsiasi fase possono influenzare l'intero sistema".
I sistemi di intelligenza artificiale dipendono spesso da librerie, framework e componenti di terze parti, che possono introdurre potenziali vulnerabilità mentre lavorano per accelerare lo sviluppo. È fondamentale utilizzare strumenti automatizzati per controllare e risolvere regolarmente i problemi di sicurezza correlati a queste dipendenze.
La diffusa disponibilità di modelli di linguaggio di grandi dimensioni (LLM) open source richiede un solido monitoraggio della provenienza per verificare l'origine e l'integrità di modelli e set di dati. Dovrebbero essere utilizzati anche strumenti di sicurezza automatizzati per analizzare questi modelli e set di dati alla ricerca di vulnerabilità e malware, contribuendo a garantire la conformità con la Top 10 OWASP per modelli di linguaggio di grandi dimensioni (LLM) per affrontare problemi di sicurezza specifici associati ai LLM. Questi standard comprendono una gamma completa di best practice, tra cui, ma non solo, convalida dei dati, formazione sicura del modello, robustezza avversaria e protezione della privacy. Naturalmente, se esegui gli LLM sul dispositivo anziché nel cloud, godrai di una protezione della sicurezza dei dati migliorata. Questo è un punto di accesso in meno di cui preoccuparti per la protezione.
Quando si esaminano modelli di sorgenti AI chiuse, la natura proprietaria del modello può fornire sicurezza attraverso l'oscurità, rendendo difficile per gli attori malintenzionati sfruttare le vulnerabilità. Tuttavia, ciò implica anche che identificare e affrontare i problemi di sicurezza potrebbe essere un processo lungo. Tuttavia, con l'open source, si ottengono guadagni in termini di sicurezza dagli sforzi collaborativi della comunità. L'esame di molti occhi sul codice facilita la rapida individuazione e risoluzione delle vulnerabilità di sicurezza. Tuttavia, l'esposizione pubblica del codice può rivelare potenziali debolezze. Quindi, tienilo a mente quando esamini i modelli AI. Fai la tua due diligence. Conosci la fonte e chiunque altro abbia contribuito alla sua formazione o supervisione. Assicurati di poterti fidare di queste persone.
L'intelligenza artificiale sui dispositivi (o l'intelligenza artificiale edge) richiede un approccio alla sicurezza diverso?
Edge AI è spesso pubblicizzata come un approccio più sicuro rispetto ai modelli AI basati su cloud, perché devi solo preoccuparti di proteggere il dispositivo che esegue LLM. Ci sono pochissimi dati, se non nessuno, che scorrono tra quel dispositivo e il cloud per eseguire l'applicazione. Questo è uno dei motivi per cui stiamo vedendo l'edge AI suscitare così tanto interesse da parte di rivenditori, produttori, operatori sanitari, leader governativi e altri che vogliono usare l'AI generativa (GenAI) per supportare i lavoratori in prima linea.
Tuttavia, è fondamentale capire cosa sarà necessario per garantire la sicurezza e la privacy dei dati quando si utilizza l'intelligenza artificiale sui dispositivi, perché richiede comunque un impegno notevole.
In una recente conversazione con Art Miller, vicepresidente dello sviluppo aziendale presso Qualcomm Technologies, Inc., e Rouzbeh Aminpour, responsabile globale delle soluzioni tecniche e dell'ingegneria di Google Cloud, sono stati sollevati alcuni punti chiave a riguardo :
_L'intelligenza artificiale sul dispositivo è estremamente preziosa in termini di sicurezza e privacy. L'elaborazione dei dati sul dispositivo stesso, anziché trasmetterli al cloud, può migliorare la sicurezza e la privacy riducendo al minimo il rischio di violazioni dei dati. Poiché l'intelligenza artificiale sul dispositivo elabora i dati localmente, si riduce la necessità di trasmissione e archiviazione dei dati nel cloud. Ciò riduce al minimo l'esposizione a potenziali minacce alla sicurezza. Inoltre, mantenendo i dati sensibili sul dispositivo, le organizzazioni possono controllare meglio l'accesso e ridurre il rischio di accesso non autorizzato o perdita di dati.
_Quando si utilizza l'intelligenza artificiale sul dispositivo (o qualsiasi intelligenza artificiale), garantire la sicurezza dei dati a ogni livello, dal dispositivo al cloud, è fondamentale. È necessario implementare una crittografia superiore, utilizzare controlli di accesso ad alta sicurezza ed eseguire audit di sicurezza regolari. Crittografare i dati sia in transito che a riposo per proteggerli da accessi non autorizzati. Utilizzare standard di crittografia avanzati (AES) e protocolli Secure Sockets Layer (SSL) per rafforzare la sicurezza dei dati. Implementare rigidi controlli di accesso in modo che solo il personale autorizzato possa accedere ai dati sensibili. Utilizzare l'autenticazione a più fattori (MFA) e il controllo di accesso basato sui ruoli (RBAC) per migliorare la sicurezza. Eseguire regolarmente test di vulnerabilità, revisioni del codice e controlli di conformità per identificare e risolvere le vulnerabilità. Rimani vigile.
_Definire chiaramente le policy di proprietà dei dati all'interno della tua organizzazione è essenziale, ma avere una policy da sola non impedirà che i dati vengano condivisi senza autorizzazione. Stabilisci un framework di governance dei dati che delinei le policy e le procedure per la gestione dei dati, tra cui classificazione dei dati, proprietà e diritti di accesso. Definisci policy di conservazione dei dati per determinare per quanto tempo i dati devono essere conservati e quando devono essere eliminati in modo sicuro. Implementa protocolli per garantire che la condivisione dei dati sia autorizzata e monitorata. Ciò include la gestione dei registri di accesso ai dati e delle attività di condivisione. Ancora più importante, assicurati che i dipendenti siano a conoscenza delle policy sui dati e comprendano i loro ruoli e responsabilità nel mantenimento della sicurezza dei dati.
_È fondamentale rimanere aggiornati sui requisiti normativi relativi alla privacy e alla sicurezza dei dati. Se operi nell'Unione Europea (UE), sai che la conformità al Regolamento generale sulla protezione dei dati (GDPR) è obbligatoria e che tali considerazioni dovranno estendersi all'uso dell'IA sui dispositivi. Negli Stati Uniti, il California Consumer Privacy Act (CCPA) richiede alle aziende di fornire ai consumatori trasparenza e controllo sui propri dati personali. Ciò include il diritto di accesso, eliminazione e rinuncia alla raccolta e alla vendita dei dati. Quindi, se queste o altre normative sulla privacy e sulla sicurezza dei dati si applicano a te, sviluppa e implementa framework per aiutare a gestire la conformità a tutte le normative sulla protezione dei dati pertinenti che si estendono ai modelli di IA. Forma regolarmente i dipendenti sui requisiti di conformità e aggiorna le policy man mano che le normative si evolvono. Ricorda inoltre che altre normative, come l'EU AI Act, hanno elementi di sicurezza e privacy . Se non sei sicuro di cosa significhi per te, consulta il tuo team legale.
In tal senso, è importante implementare framework di governance delle best practice che aiutino a gestire la conformità alle normative sulla privacy dei dati e a mantenere la sicurezza dei sistemi AI edge. Sviluppare framework di governance che delineino le policy, le procedure e le responsabilità per la gestione e la sicurezza dei dati. Identificare e gestire i rischi associati all'elaborazione dei dati e all'implementazione dell'AI. Ciò include condurre valutazioni dei rischi e implementare strategie di mitigazione. Monitorare costantemente le attività di elaborazione dei dati per supportare la conformità alle normative e aiutare a identificare potenziali minacce alla sicurezza.
Fortunatamente, la governance della sicurezza dell'IA sarà un'area di interesse fondamentale per CoSAI, poiché la governance della sicurezza dell'IA necessita di risorse specializzate per affrontare le sfide e i rischi unici associati all'IA. Sviluppare una libreria standard per la mappatura dei rischi e dei controlli aiuta a ottenere pratiche di sicurezza dell'IA coerenti in tutto il settore. Quindi, Sri mi ha detto che ritiene che le linee guida CoSAI potrebbero fungere da buon modello per te.
Ritiene inoltre che la creazione di una checklist di valutazione della maturità della sicurezza dell'IA e di un meccanismo di punteggio standardizzato consentirebbe a organizzazioni come la vostra di condurre autovalutazioni delle misure di sicurezza dell'IA. Potrebbe fornire a voi e ai vostri clienti una garanzia sulla sicurezza dei prodotti di IA. Questo approccio è inoltre parallelo alle pratiche del ciclo di vita dello sviluppo software sicuro (SDLC) già impiegate da organizzazioni come Zebra attraverso le valutazioni del modello di maturità della garanzia del software (SAMM). Pertanto, potrebbe aiutarvi a estendere le nostre pratiche standard nel vostro ambiente se state utilizzando gli strumenti di IA Zebra sui dispositivi. Quindi, tenete d'occhio il lavoro che CoSAI sta svolgendo in merito alla governance.
Login
Per poter acquistare i prodotti su multimac.it è necessario accedere con la propria email e password.
Recupera password dimenticata
Non possiedi i dati di accesso? Registrati
Login
Per poter acquistare i prodotti su multimac.it è necessario accedere con la propria email e password.
Recupera password dimenticata
Non possiedi i dati di accesso? Registrati