Kaspersky, IGF 2024'te güvenli yapay zeka geliştirme rehberini tanıttı
2024 yılı İnternet Yönetişim Forumu (IGF) kapsamında, 15-19 Aralık tarihleri arasında Suudi Arabistan'ın Riyad şehrinde gerçekleştirilen etkinlikte Kaspersky, yapay zeka (AI) sistemlerinin güvenli bir şekilde geliştirilmesi ve uygulanmasına yönelik rehberini sundu. Bu belge, yapay zeka teknolojilerinin benimsenmesiyle ortaya çıkabilecek risklerden kaçınmak için organizasyonlara yardımcı olmayı ve bu sistemlerin uygulanması sırasında göz önünde bulundurulması gereken siber güvenlik gerekliliklerini sağlamayı amaçlıyor. Rehber, yapay zekanın dünya genelinde endüstrilere entegre olmasıyla birlikte güçlü güvenlik çerçevelerine duyulan acil ihtiyaca dikkat çekiyor
“Yapay Zeka Sistemlerinin Güvenli Geliştirilmesi ve Uygulanması Rehberi”, 18 Aralık’ta “Yapay Zekada Siber Güvenlik: İnovasyon ve Risklerin Dengelenmesi (“Cybersecurity in AI: Balancing Innovation and Risks)” başlıklı IGF atölye çalışmasında sunuldu. Rus siber güvenlik firmasının temsilcileri, yapay zekadaki inovasyonun etkili risk ve siber güvenlik yönetimiyle nasıl uyumlu hale getirilebileceğini tartışmak üzere bir uzman paneli düzenledi. Bu belge, yapay zeka destekli sistemlerle ilgili giderek karmaşıklaşan siber güvenlik sorunlarını ele almak amacıyla, önde gelen akademik uzmanlarla iş birliği içinde hazırlandı.
GÜVENLİK ODAKLI TASARIM İLKELERİ
Bu belge, geliştiriciler, yöneticiler ve Yapay Zeka DevOps ekipleri için kritik bir kaynak olup, teknik açıkları ve operasyonel riskleri ele almak üzere detaylı ve pratik öneriler sunuyor. Rehber, özellikle üçüncü taraf yapay zeka modellerine ve bulut tabanlı sistemlere güvenen kuruluşlar için büyük önem taşıyor. Bu tür sistemlerdeki güvenlik açıkları, ciddi veri ihlalleri ve itibar kaybına yol açabiliyor.
Güvenlik-odaklı tasarım (security-by-design) ilkelerini temel alan rehber, kuruluşların yapay zeka uygulamalarını ESG gibi standartlar ve uluslararası uyumluluk gereklilikleriyle uyumlu hale getirmelerine yardımcı oluyor. Belge, temel model geliştirmeye odaklanmaksızın, yapay zeka sistemlerinin tasarımı, güvenlik en iyi uygulamaları ve entegrasyonu dahil olmak üzere geliştirme, uygulama ve işletim süreçlerindeki kritik unsurları ele alıyor.
Rehber, yapay zeka sistemlerinin güvenliğini artırmak için aşağıdaki ilkelere vurgu yapıyor:
Kaspersky, liderlik desteğinin ve özel çalışan eğitiminin önemini vurguluyor. Çalışanların, kötü niyetli aktörlerin yapay zeka hizmetlerinden yararlanmak için kullandıkları yöntemlerin farkında olması büyük önem taşıyor. Eğitim programlarının düzenli olarak güncellenmesi, gelişen tehditlerle uyumluluğu sağlıyor.
Kılavuzlar, yapay zeka geliştirmenin erken aşamalarında güvenlik açıklarını tespit etmeye yardımcı olan tehdit modellemesi yoluyla riskleri proaktif olarak belirleme ve azaltma ihtiyacını vurguluyor. Kaspersky, modelin kötüye kullanımı, veri zehirlenmesi ve sistem zayıflıkları gibi YZ'ye özgü tehditleri değerlendirmek için yerleşik risk değerlendirme metodolojilerinin (ör. STRIDE, OWASP) kullanılmasını öneriyor.
Yapay zeka sistemleri genellikle bulut ortamlarında kullanıldığından, şifreleme, ağ segmentasyonu ve iki faktörlü kimlik doğrulama gibi sıkı koruma önlemleri gerekiyor. Kaspersky, ihlallere karşı korunmak için sıfır güven (zero-trust) ilkelerini, güvenli iletişim kanallarını ve altyapının düzenli olarak yamalanmasını vurguluyor.
Kaspersky, veri sızıntıları ve elde edilen bilgilerin yeniden satış için kötüye kullanılması dahil olmak üzere üçüncü taraf yapay zeka bileşenleri ve modellerinin oluşturduğu risklerin altını çiziyor. Bu bağlamda, güvenlik sensörlerinin kullanımı ve güvenlik denetimleri gibi üçüncü taraf hizmetlere yönelik gizlilik politikaları ve güvenlik uygulamaları sıkı bir şekilde uygulanması gerekiyor.
Yapay zeka modellerinin sürekli doğrulaması, güvenilirliği sağlamak için kritik öneme sahip. Kaspersky, giriş verilerindeki sapmalar veya adversarial saldırılardan kaynaklanan sorunları tespit etmek için performans izleme ve zafiyet raporlama süreçlerini teşvik ediyor. Veri kümelerinin uygun şekilde bölümlendirilmesi ve modelin karar verme mantığının değerlendirilmesi, riskleri azaltmak için hayati önlemler arasında yer alıyor.
Rehber, yapay zeka bileşenlerini adversarial girişler, veri zehirlenmesi ve prompt enjeksiyon saldırıları gibi makine öğrenimine özgü saldırılara karşı korumanın önemini vurguluyor. Eğitim veri setine adversarial örneklerin dahil edilmesi, anomali tespit sistemlerinin kullanılması ve distilasyon tekniklerinin uygulanması gibi önlemler, modellerin manipülasyona karşı dayanıklılığını artırıyor.
Kaspersky, ortaya çıkan güvenlik açıklarını gidermek için YZ kütüphanelerinin ve çerçevelerinin sık sık yamalanması gerektiğini vurguluyor. Bulut tabanlı yapay zeka modelleri için hata ödül programlarına ve yaşam döngüsü yönetimine katılım, sistem dayanıklılığını da artırabilir.
Küresel düzenlemelere (ör. GDPR, AB YZ Yasası) ve en iyi uygulamalara bağlılığın yanı sıra YZ sistemlerinin yasal uyumluluk açısından denetlenmesi, kuruluşların etik ve veri gizliliği gerekliliklerine uyum sağlamasına yardımcı olarak güven ve şeffaflığı teşvik ediyor.
Kılavuz ilkeler, önemli siber güvenlik risklerinden kaçınmak için yapay zeka sistemlerinin sorumlu bir şekilde uygulanmasının öneminin altını çiziyor ve bu sistemleri hem işletmeler hem de hükümetler için kritik bir kaynak haline getiriyor.
