Пять ключевых проблем безопасности искусственного интеллекта

Согласно последним оценкам, к 2024 году объем мирового рынка искусственного интеллекта превысит 184 миллиарда долларов при совокупном годовом темпе роста 35%. По всем признакам, темпы и масштабы инноваций в области ИИ продолжают расти. Однако новые данные показывают, что эволюция ИИ создает серьезные проблемы для безопасности облачных сервисов. Невероятные темпы инноваций в области ИИ в сочетании с относительной новизной технологии и чрезмерным вниманием к скорости развертывания создают сложные проблемы, которые организации должны понимать и решать. В этой статье мы рассмотрим пять основных проблем безопасности ИИ для облачных сервисов, их важность и способы их решения.

1. Скорость инноваций

Первой проблемой является темп развития. ИИ продолжают ускоряться и инновации в области ИИ приводят к появлению функций, которые способствуют повышению удобства использования в ущерб вопросам безопасности. Контролировать эти изменения сложно и требует постоянных исследований, разработки и внедрения передовых протоколов безопасности. Услуги ИИ от облачных провайдеров продолжают расширяться и развиваться, постоянно появляются новые модели, комплексы и ресурсы ИИ. Например, только в этом году облачные провайдеры представили ряд сторонних моделей ИИ: Google Vertex добавила Llama 3, Anthropic и Mistal, Azure OpenAI объявила о добавлении Whisper, GPT-4o и GPT-4o mini-, а Amazon Bedrock представила Cohere, Mistral AI, Stability AI и другие новые модели Command R. Такие быстрые и непрерывные изменения создают проблемы для команд безопасности. Например, необходимо правильно настроить параметры безопасности для новых сервисов ИИ, а также поддерживать видимость активов и рисков ИИ.

2. Тень ИИ

Следующая проблема обнаруживается когда дело доходит до видимости, командам безопасности часто не хватает ее, особенно когда речь идет о деятельности ИИ. Теневой ИИ, то есть неизвестные и не одобренные технологии ИИ, используемые в организации, часто приводит к тому, что команды безопасности не могут полностью понять риски ИИ в облаке. Теневой ИИ может препятствовать внедрению передовых методов и политик безопасности, что приводит к увеличению поверхности атаки и повышению уровня риска для организации. Разделение команд безопасности и разработки — один из ключевых факторов теневого ИИ. К другим проблемам относится отсутствие решений для обеспечения безопасности ИИ, которые предоставляют командам безопасности полную видимость всех моделей ИИ, наборов и других ресурсов, развернутых в среде, включая теневой ИИ.

3. Технологии на ранней стадии

Третьей проблемой является безопасность ИИ, которая все еще находится на ранней стадии, поэтому не хватает обширных ресурсов и опытных экспертов. Для защиты сервисов ИИ организациям часто приходится разрабатывать собственные решения без внешних рекомендаций и парадигм. Хотя поставщики услуг предлагают лучшие практики и ограничительные конфигурации для сервисов ИИ, у команд безопасности может не хватать времени, возможностей или осведомленности для их эффективного применения.

4. Не соблюдение нормативных требований

Четвертая проблема заключается в выполнение новых нормативных требований. Которые требуют тонкого баланса между стимулированием инноваций, обеспечением безопасности и соблюдением новых правовых норм. Компании и политика должны быть гибкими и чутко реагировать на новые положения, касающиеся технологий ИИ. Многое в этой политике еще только формируется, но уже есть признаки принятия регламента ЕС по ИИ.

Меняющийся нормативный ландшафт представляет собой серьезную проблему для организаций, которые уже пытаются обеспечить соответствие требованиям мультиоблачных технологий, поэтому важно обеспечить полную прозрачность моделей, ресурсов и использования ИИ, чего трудно добиться при использовании теневого ИИ. Ресурсы ИИ, как и облачные активы, запускаются и завершаются в определенном масштабе и с определенной частотой, поэтому их необходимо автоматизировать на протяжении всего жизненного цикла обеспечения соответствия нормативным требованиям, которые включают в себя следующие пункты:

• Инвентаризация активов, рисков и деятельности ИИ;
• Сопоставление активов и рисков с рамками и средствами контроля соответствия;
• Постоянный мониторинг и обновление статуса средств контроля соответствия;
• Решение проблем, связанных с несоблюдением требований;
• Регулярное информирование заинтересованных сторон о достигнутом прогрессе.

5. Управление ресурсами

Пятая проблема вызвана тем что при внедрении новых сервисов часто происходит неправильная организация ресурсов. Пользователи часто не обращают внимания на правильную настройку параметров, связанных с ролями, отделами, пользователями и другими активами, что может представлять значительный риск для среды. Как уже упоминалось выше, многие организации не могут правильно настроить параметры безопасности для служб ИИ в различных доменах. Это ставит под угрозу безопасность опубликованных моделей ИИ, ключей доступа, ресурсов с суперпользовательскими правами и опубликованных активов.

Решение проблемы безопасности ИИ

К счастью, организации могут защитить инновации ИИ в масштабе с помощью нового решения под названием AI Security Practice Management (AI-SPM). Это облачное решение для обеспечения безопасности, которое предоставляет ряд функций безопасности, таких как теневой ИИ, расширенное обнаружение рисков и приоритизация развертываний, а также автоматизированные функции соответствия, которые дают командам безопасности полную видимость состояния развертываний ИИ. Эти функции основаны на встроенной интеграции с платформой защиты облачных приложений (CNAPP) и способности CNAPP обеспечивать комплексное покрытие и выявление рисков во всем облаке.