As agências de segurança cibernética dos EUA e do Reino Unido, CISA e NCSC, publicaram orientações focadas na segurança para os desenvolvedores de sistemas que utilizam IA.

O documento, intitulado Diretrizes para o desenvolvimento seguro de sistemas de IA (PDF), promove a implementação de princípios de segurança desde a conceção, bem como a transparência e a responsabilização, e dá prioridade à propriedade dos resultados de segurança para os clientes.

As diretrizes, observam as duas agências, aplicam-se a todos os tipos de sistemas de IA/ML, independentemente de serem construídos do zero ou com base em recursos de terceiros, para abordar questões relacionadas à IA, segurança cibernética e infraestrutura crítica.

Desenvolvido em colaboração com mais de 20 organizações nacionais e internacionais de segurança cibernética, o documento foi dividido em quatro secções, abrangendo diferentes fases do ciclo de vida de desenvolvimento do sistema de IA, nomeadamente concepção, desenvolvimento, implantação, operação e manutenção.

Destinadas a serem aplicadas em conjunto com as melhores práticas de segurança cibernética, resposta a incidentes e gerenciamento de riscos, as recomendações exigem investimentos em recursos, mecanismos e ferramentas que protejam os dados do cliente em todas as camadas, durante todo o ciclo de vida do sistema, afirmam a CISA e a NCSC.

“Os provedores devem implementar controles e mitigações de segurança sempre que possível dentro de seus modelos, pipelines e/ou sistemas e, onde as configurações forem usadas, implementar a opção mais segura como padrão”, observam as duas agências.

A CISA e o NCSC também afirmam que os fornecedores são responsáveis ​​por informar os utilizadores sobre os riscos que não podem ser mitigados e por aconselhá-los sobre como utilizar os sistemas de forma segura, e que devem tratar todos os riscos de segurança cibernética como críticos.

Os fornecedores são aconselhados a avaliar as ameaças aos seus sistemas, concentrar-se na segurança, funcionalidade e desempenho durante a fase de design, para proteger a sua cadeia de abastecimento, proteger os seus activos, proteger a sua infra-estrutura e proteger o seu modelo continuamente, implementar resposta a incidentes, monitorizar o sistema comportamento e entradas, e implementar uma abordagem segura para atualizações.

As diretrizes, dizem as duas agências, destinam-se principalmente a fornecedores de sistemas de IA, hospedados por uma organização ou acessados ​​por meio de APIs externas. No entanto, todas as partes interessadas, “incluindo cientistas de dados, desenvolvedores, gestores, tomadores de decisão e proprietários de risco”, são encorajadas a ler o documento “para tomar decisões informadas sobre a concepção, desenvolvimento, implementação e operação dos seus sistemas de IA”, o observam duas agências.

Com informações de Cibersegurança Notícias e Ciberseg.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.