As agências de segurança cibernética dos EUA e do Reino Unido, CISA e NCSC, publicaram orientações focadas na segurança para os desenvolvedores de sistemas que utilizam IA.
O documento, intitulado Diretrizes para o desenvolvimento seguro de sistemas de IA (PDF), promove a implementação de princípios de segurança desde a conceção, bem como a transparência e a responsabilização, e dá prioridade à propriedade dos resultados de segurança para os clientes.
As diretrizes, observam as duas agências, aplicam-se a todos os tipos de sistemas de IA/ML, independentemente de serem construídos do zero ou com base em recursos de terceiros, para abordar questões relacionadas à IA, segurança cibernética e infraestrutura crítica.
Desenvolvido em colaboração com mais de 20 organizações nacionais e internacionais de segurança cibernética, o documento foi dividido em quatro secções, abrangendo diferentes fases do ciclo de vida de desenvolvimento do sistema de IA, nomeadamente concepção, desenvolvimento, implantação, operação e manutenção.
Destinadas a serem aplicadas em conjunto com as melhores práticas de segurança cibernética, resposta a incidentes e gerenciamento de riscos, as recomendações exigem investimentos em recursos, mecanismos e ferramentas que protejam os dados do cliente em todas as camadas, durante todo o ciclo de vida do sistema, afirmam a CISA e a NCSC.
“Os provedores devem implementar controles e mitigações de segurança sempre que possível dentro de seus modelos, pipelines e/ou sistemas e, onde as configurações forem usadas, implementar a opção mais segura como padrão”, observam as duas agências.
A CISA e o NCSC também afirmam que os fornecedores são responsáveis por informar os utilizadores sobre os riscos que não podem ser mitigados e por aconselhá-los sobre como utilizar os sistemas de forma segura, e que devem tratar todos os riscos de segurança cibernética como críticos.
Os fornecedores são aconselhados a avaliar as ameaças aos seus sistemas, concentrar-se na segurança, funcionalidade e desempenho durante a fase de design, para proteger a sua cadeia de abastecimento, proteger os seus activos, proteger a sua infra-estrutura e proteger o seu modelo continuamente, implementar resposta a incidentes, monitorizar o sistema comportamento e entradas, e implementar uma abordagem segura para atualizações.
As diretrizes, dizem as duas agências, destinam-se principalmente a fornecedores de sistemas de IA, hospedados por uma organização ou acessados por meio de APIs externas. No entanto, todas as partes interessadas, “incluindo cientistas de dados, desenvolvedores, gestores, tomadores de decisão e proprietários de risco”, são encorajadas a ler o documento “para tomar decisões informadas sobre a concepção, desenvolvimento, implementação e operação dos seus sistemas de IA”, o observam duas agências.
Com informações de Cibersegurança Notícias e Ciberseg.