תקציר מנהלים
מסמך זה ממליץ על הנחיות לספקים של כל מערכות המשתמשות בבינה מלאכותית (AI),
אם מערכות אלו נוצרו מאפס או נבנו על גבי כלים ושירותים שסופקו על ידי
אחרים. יישום הנחיות אלה יסייע לספקים לבנות מערכות בינה מלאכותית שמתפקדות כמתוכנן
זמין בעת הצורך, ועבוד מבלי לחשוף נתונים רגישים לגורמים לא מורשים.
מסמך זה מיועד בעיקר לספקי מערכות בינה מלאכותית המשתמשים במודלים המתארחים על ידי א
ארגון, או משתמשים בממשקי תכנות יישומים חיצוניים (API). אנו קוראים לכל בעלי העניין
(כולל מדעני נתונים, מפתחים, מנהלים, מקבלי החלטות ובעלי סיכונים) כדי לקרוא את ההנחיות הללו
לעזור להם לקבל החלטות מושכלות לגבי התכנון, הפיתוח, הפריסה והתפעול שלהם
מערכות AI.
לגבי ההנחיות
למערכות AI יש פוטנציאל להביא יתרונות רבים לחברה. עם זאת, כדי שההזדמנויות של AI יהיו
למימוש מלא, יש לפתח, לפרוס ולהפעיל אותו בצורה מאובטחת ואחראית.
מערכות בינה מלאכותית כפופות לפרצות אבטחה חדשות שצריכות להילקח בחשבון לצד סטנדרטיות
איומי אבטחת סייבר. כאשר קצב הפיתוח גבוה - כמו במקרה של AI - אבטחה יכולה לעתים קרובות
להיות שיקול משני. אבטחה חייבת להיות דרישת ליבה, לא רק בשלב הפיתוח, אלא
לאורך כל מחזור החיים של המערכת.
מסיבה זו, ההנחיות מחולקות לארבעה תחומים מרכזיים בחיי פיתוח מערכת AI
מחזור: תכנון מאובטח, פיתוח מאובטח, פריסה מאובטחת ותפעול ותחזוקה מאובטחים.
עבור כל סעיף אנו מציעים שיקולים והפחתות שיסייעו להפחית את הסיכון הכולל ל-
תהליך פיתוח מערכות AI ארגוני.
1. עיצוב מאובטח
סעיף זה מכיל הנחיות החלות על שלב התכנון של מחזור החיים של פיתוח מערכת AI. זה
מכסה הבנת סיכונים ומודלים של איומים, כמו גם נושאים ספציפיים ופשרות שיש לקחת בחשבון
עיצוב מערכת ודגם.
2. פיתוח מאובטח
סעיף זה מכיל הנחיות החלות על שלב הפיתוח של חיי הפיתוח של מערכת AI
מחזור, כולל אבטחת שרשרת האספקה, תיעוד וניהול נכסים וחובות טכניים.
3. פריסה מאובטחת
סעיף זה מכיל הנחיות החלות על שלב הפריסה של פיתוח מערכת AI
מחזור החיים, לרבות הגנה על תשתיות ומודלים מפני פשרה, איום או אובדן
תהליכי ניהול אירועים ושחרור אחראי.
4. תפעול ותחזוקה מאובטחים
סעיף זה מכיל הנחיות החלות על שלב התפעול והתחזוקה המאובטח של ה-AI
מחזור החיים של פיתוח מערכת. הוא מספק הנחיות לגבי פעולות רלוונטיות במיוחד ברגע שיש למערכת
נפרסו, כולל רישום וניטור, ניהול עדכונים ושיתוף מידע.
ההנחיות עוקבות אחר גישת 'ברירת מחדל מאובטחת', ומתואמות באופן הדוק לפרקטיקות המוגדרות ב-
הנחיית פיתוח ופריסה מאובטחת של NCSC, מסגרת פיתוח תוכנה מאובטחת של NIST,
ו'עקרונות מאובטח לפי עיצוב' שפורסמו על ידי CISA, NCSC וסוכנויות סייבר בינלאומיות. הֵם
תעדוף:
> לקיחת בעלות על תוצאות אבטחה עבור לקוחות
> אימוץ שקיפות רדיקלית ואחריות
> בניית מבנה ארגוני ומנהיגות כה מאובטחת על ידי עיצוב היא בראש סדר העדיפויות העסקיות
תגובות