Theo NCSC, tài liệu hướng dẫn bảo mật AI dài 20 trang được biên soạn với sự hợp tác của các chuyên gia đến từ Google, Amazon, OpenAI, Microsoft cũng như các tổ chức công nghệ lớn trên thế giới. Đây là thỏa thuận chi tiết đầu tiên về cách thức đảm bảo công nghệ AI được sử dụng an toàn, nhằm mục đích thiết lập một hệ thống thống nhất, hiểu biết chung về các rủi ro liên quan đến AI cùng với chiến lược giảm thiểu hiệu quả.
Tài liệu này đề xuất các hướng dẫn dành cho các nhà cung cấp bất kỳ hệ thống nào sử dụng AI, cho dù các hệ thống đó được tạo từ đầu hay được xây dựng dựa trên các công cụ và dịch vụ do người khác cung cấp. Việc thực hiện các nguyên tắc này sẽ giúp nhà cung cấp xây dựng các hệ thống AI hoạt động như dự định, sẵn sàng khi cần và hoạt động mà không tiết lộ dữ liệu nhạy cảm cho các bên trái phép.
Ngoài Anh và Mỹ, các nước ủng hộ bản hướng dẫn này bao gồm: Úc, Canada, Chile, Cộng hòa Séc, Estonia, Pháp, Đức, Israel, Ý, Nhật Bản, New Zealand, Nigeria, Na Uy, Ba Lan, Singapore, Hàn Quốc.
Thỏa thuận này không mang tính ràng buộc và chủ yếu đưa ra các khuyến nghị chung như giám sát hành vi lạm dụng của hệ thống AI, bảo vệ dữ liệu khỏi các nhà cung cấp phần mềm giả mạo và kiểm tra. Tuy nhiên, theo Giám đốc CISA, bà Jen Easterly cho biết, điều quan trọng là rất nhiều quốc gia đều khẳng định rằng hệ thống AI cần đặt sự an toàn lên hàng đầu, đảm bảo an ninh ngay từ giai đoạn thiết kế công nghệ.
Giám đốc điều hành NCSC, bà Lindy Cameron chia sẻ: “AI đang trong quá trình phát triển với tốc độ chóng mặt và cần có hành động phối hợp quốc tế, giữa các chính phủ và ngành công nghiệp để theo kịp sự phát triển của công nghệ. Những hướng dẫn này đánh dấu một bước quan trọng trong việc hình thành sự hiểu biết chung, mang tính toàn cầu về các chiến lược giảm thiểu và rủi ro mạng xung quanh AI để đảm bảo rằng bảo mật là yêu cầu cốt lõi xuyên suốt trong quá trình phát triển. Đây là nỗ lực quan trọng nhằm nâng cao tiêu chuẩn an ninh mạng AI: một không gian mạng toàn cầu an toàn hơn sẽ giúp tất cả chúng ta nhận ra những cơ hội tuyệt vời của công nghệ này một cách an toàn và tự tin”.
Được nhấn mạnh xuyên suốt tài liệu là các nguyên tắc “An toàn ngay từ thiết kế” và “An toàn theo mặc định”. Đây là các phương pháp tiếp cận chủ động để bảo vệ các sản phẩm AI trước các mối đe dọa xâm nhập và tấn công mạng.
Tài liệu quy định người dùng (bao gồm người dùng cuối hay nhà cung cấp kết hợp thành phần AI bên ngoài) thường không có đủ khả năng hiển thị hoặc chuyên môn để hiểu rõ đầy đủ, đánh giá hoặc giải quyết các rủi ro liên quan đến hệ thống mà họ đang sử dụng. Do đó, theo nguyên tắc “An toàn ngay từ thiết kế”, các nhà cung cấp thành phần AI phải chịu trách nhiệm về kết quả bảo mật của người dùng trong chuỗi cung ứng. Nguyên tắc này có nghĩa là các nhà sản xuất sẽ cố gắng làm cho phần mềm trở nên an toàn trước khi nó được công bố, cần đảm bảo tính an toàn liên tục và tích hợp trong toàn bộ vòng đời của phần mềm.
Đối với các nhà phát triển AI, những cân nhắc cụ thể được nhắc đến trong tài liệu bao gồm ưu tiên an toàn khi chọn kiến trúc mô hình hoặc tập dữ liệu huấn luyện. Đồng thời cũng khuyến nghị các sản phẩm nên đặt các tùy chọn an toàn nhất được đặt theo mặc định. Cuối cùng, các nguyên tắc khuyến khích các nhà phát triển nhận trách nhiệm về tình trạng bảo mật, thay vì chuyển trách nhiệm cho khách hàng và người tiêu dùng.
Các nguyên tắc trong tài liệu khuyến nghị các nhà phát triển nên xem xét các thành phần mã nguồn được lấy từ đâu và áp dụng các biện pháp an ninh tương ứng. Ngày nay, các nhà phát triển công cụ AI thường dựa vào các thành phần của bên thứ ba như mô hình cơ sở, bộ dữ liệu đào tạo và API khi thiết kế sản phẩm của riêng họ. Mạng lưới nhà cung cấp rộng khắp tạo ra bề mặt tấn công lớn hơn, khi một “điểm yếu” có thể tác động tiêu cực đến tính bảo mật của sản phẩm.
Bản hướng dẫn AI khuyến nghị các nhà phát triển nên đánh giá những rủi ro này khi quyết định nên mua các thành phần từ bên thứ ba hay tự sản xuất chúng. Hướng dẫn nêu rõ, khi làm việc với bên thứ ba, các nhà phát triển nên xem xét và giám sát tình hình bảo mật của nhà cung cấp, yêu cầu nhà cung cấp phải tuân thủ các tiêu chuẩn bảo mật giống như tổ chức của mình và thực hiện quét và cách ly mã của bên thứ ba.
Các mối đe dọa đối với AI như tấn công tiêm nhiễm và tấn công đầu độc dữ liệu yêu cầu cần phải có những cân nhắc về bảo mật riêng, một số trong đó được CISA và NCSC nhấn mạnh trong hướng dẫn của họ. Một thành phần của phương pháp tiếp cận “An toàn ngay từ thiết kế” bao gồm việc tích hợp các giải pháp bảo mật xung quanh đầu ra của mô hình để ngăn chặn rò rỉ dữ liệu nhạy cảm và hạn chế hành động của các thành phần AI được sử dụng cho các tác vụ như chỉnh sửa tệp. Các nhà phát triển nên đưa vào các kịch bản mối đe dọa dành riêng cho AI vào thử nghiệm và giám sát thông tin đầu vào của người dùng để phát hiện các nỗ lực khai thác hệ thống.
Trong tài liệu hướng dẫn có đề cập đến thuật ngữ “học máy đối nghịch” (AML), được sử dụng để mô tả việc khai thác các lỗ hổng cơ bản trong các thành phần học máy, bao gồm phần cứng, phần mềm, workflow và chuỗi cung ứng. AML cho phép kẻ tấn công gây ra các hành vi ngoài ý muốn trong hệ thống ML, có thể bao gồm: Ảnh hưởng đến hiệu suất phân loại của mô hình; Cho phép người dùng thực hiện các hành động trái phép; Trích xuất thông tin mô hình nhạy cảm.
Tài liệu hướng dẫn phác thảo các phương pháp thực hành tốt nhất trong suốt các giai đoạn của vòng đời của sản phẩm, bao gồm: thiết kế; phát triển; triển khai; vận hành và bảo trì. Giai đoạn thứ tư nêu bật tầm quan trọng của việc giám sát liên tục các hệ thống AI đã triển khai để phát hiện những thay đổi trong hành vi của mô hình và thông tin đầu vào đáng ngờ của người dùng.
Nguyên tắc “An toàn ngay từ thiết kế” vẫn là một thành phần quan trọng của mọi bản cập nhật phần mềm được thực hiện và các nguyên tắc khuyến nghị cập nhật tự động theo mặc định. Cuối cùng, CISA và NCSC yêu cầu các nhà phát triển tận dụng phản hồi và chia sẻ thông tin với cộng đồng AI lớn hơn để liên tục cải thiện hệ thống của họ. Tài liệu có quy định rằng, khi cần thiết, người dùng có thể báo cáo các vấn đề đến cộng đồng AI, chẳng hạn như thông tin phản hồi về việc tiết lộ lỗ hổng bảo mật, thực hiện hành động để giảm thiểu và khắc phục vấn đề một cách nhanh chóng và phù hợp.
Nguyệt Thu
(Tổng hợp)
15:00 | 20/11/2023
14:00 | 23/11/2023
15:00 | 06/10/2023
12:00 | 12/04/2024
Theo một nghiên cứu của công ty công nghệ Veritas (Mỹ) công bố, cứ 11 giây trôi qua thế giới lại ghi nhận một vụ tấn công mạng nhằm vào các tổ chức, doanh nghiệp lớn, đặc biệt là lĩnh vực tài chính.
09:00 | 06/03/2024
Hội thảo Quốc gia lần thứ XXVII "Một số vấn đề chọn lọc về Công nghệ thông tin và Truyền thông" – VNICT 2024 do Viện Công nghệ thông tin - Viện Hàn lâm Khoa học và Công nghệ Việt Nam và Trường Đại học Nha Trang đồng tổ chức tại Nha Trang - Khánh Hòa vào các ngày 11-12/10/2024. Hội thảo có sự tham gia phối hợp của Câu lạc bộ các Khoa-Trường-Viện CNTT-TT Việt Nam (FISU) và Tạp chí An toàn thông tin.
14:00 | 22/02/2024
Ngày 15/02/2024, Chính phủ Mỹ cho biết đã phá vỡ và vô hiệu hóa một mạng lưới botnet bao gồm hàng trăm bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) tại quốc gia này, đang được các tin tặc APT28 sử dụng trong các chiến dịch phân phối phần mềm độc hại và hoạt động gián điệp mạng.
09:00 | 09/01/2024
Ngày 6/1, các đội sinh viên thuộc Học viện Kỹ thuật mật mã đã xuất sắc giành cả ba giải Nhất, Nhì, Ba tại cuộc thi “CSTV - Capture the flag 2023”. Cuộc thi do Làng Công nghệ An toàn an ninh thông tin tổ chức dành cho sinh viên các trường đại học trên toàn quốc.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
