Ketika artikel terbaru dari Undang -Undang Intelijen Buatan (AI) Uni Eropa (UE) mulai berlaku pada 2 Agustus, lebih banyak pengawasan dalam langkah -langkah keamanan di sekitar kasus penggunaan AI, terutama yang ditetapkan sebagai “risiko risiko tinggi”, sedang dirangsang.
Salah satu peraturan paling canggih yang ada di sekitar AI, Undang -Undang ini menetapkan standar untuk wilayah Eropa dalam penggunaan AI yang aman dan etis, tetapi organisasi akan membutuhkan peta jalan yang jelas untuk memastikan bahwa mereka terpenuhi. Artikel ini membahas masalah utama dalam hukum.
Penduduk Ciso EMEA dan Wakil Presiden Penelitian Keamanan di Netwrix.
Saat ACT menulis ulang aturan cybersecurity
UU AI UE memperkuat cyber -hesilience dengan mewajibkan perlindungan teknis AI spesifik. Yang pertama dari cara seperti ini, undang -undang menuntut perlindungan terhadap keracunan data, model keracunan, contoh permusuhan, serangan kerahasiaan dan cacat model.
Meskipun ini baik dalam dirinya sendiri, tindakan yang didelegasikanlah yang akan menentukan ketahanan apa yang akan dalam praktik. Akibatnya, beban kepatuhan aktual akan ditentukan oleh spesifikasi teknis yang belum ada. Spesifikasi ini akan menentukan, misalnya, makna praktis dari “tingkat keamanan siber yang tepat”.
Apa yang kita ketahui dengan pasti adalah bahwa hukum menegakkan persyaratan keamanan siklus hidup dengan kewajiban terus menerus dari sistem risiko tinggi. Ini berarti bahwa organisasi dengan solusi AI yang ditetapkan sebagai “risiko tinggi” harus mencapai dan mendukung tingkat ketepatan, ketahanan dan keamanan siber yang tepat melalui semua tahap siklus hidup produk.
Jaminan berkelanjutan ini, tidak seperti audit dan pemeriksaan kepatuhan tepat waktu, menyerukan pembuatan praktik devsecop yang sedang berlangsung sebagai lawan dari sertifikasi tunggal. Organisasi perlu membuat pipa yang secara otomatis mengontrol, mendaftar, memperbarui, dan melaporkan postur keselamatan waktu nyata.
Persyaratan kontrol berkelanjutan merupakan perubahan mendasar dari model kepatuhan tradisional, dan hambatan implementasi terbesar adalah intensitas sumber daya yang diperlukan.
Organisasi akan membutuhkan IA AIA yang dikendalikan secara otomatis dan infrastruktur kontrol otomatis, menciptakan biaya operasi besar yang akan membuka berbagai layanan baru yang menawarkan penyedia layanan keamanan (MSSP) yang dikelola untuk membantu bisnis kecil dan menengah (UKM).
Kewajiban ini berada di atas peraturan lain, seperti NIS2, Undang -Undang Ketahanan Cyber, GDPR dan aturan sektoral lainnya. Karena undang-undang AI menambahkan lapisan tambahan ke lingkungan multi-regulasi, kebutuhan akan pendekatan holistik tumbuh, terutama jika Anda melihat kompleksitas lintas batas.
Kepatuhan
Organisasi membutuhkan pendekatan terstruktur untuk memastikan bahwa mereka mematuhi undang -undang AI UE, berdasarkan klasifikasi awal risiko dan analisis kesenjangan yang komprehensif untuk mengaitkan semua sistem AI terhadap Lampiran III hukum. Setelah kasus penggunaan risiko tinggi telah diidentifikasi, audit dapat dimulai dengan verifikasi kontrol keamanan yang ada terhadap ART. 10-19 persyaratan.
Langkah selanjutnya adalah pembangunan struktur tata kelola AI yang kuat. Untuk mencapainya, organisasi akan ingin berinvestasi dalam tim ahli interdisipliner ahli hukum, keamanan, ilmu data, dan etika.
Kekuatan kerja ahli ini akan lebih siap untuk merancang prosedur yang jelas untuk pengelolaan modifikasi. Bukan hanya masalah menambahkan peran kepatuhan: ini membutuhkan perubahan mendasar pada siklus pengembangan produk, dengan pertimbangan keamanan dan pemenuhan desain awal melalui operasi yang sedang berlangsung.
Area yang sangat sulit akan mengelola kolaborasi pihak ketiga dan ketekunan rantai pasokan. Kerangka kepatuhan yang ada seperti NIS2 dan DORA mengharuskan organisasi lebih berat dalam aspek manajemen risiko umum ini.
Jika Anda menambah gambar, tekanan akan lebih meningkat untuk menetapkan jaminan keselamatan kontrak untuk semua komponen dan layanan pihak ketiga. Kita dapat mengharapkan penampilan penyedia yang berspesialisasi dalam layanan kepatuhan AI dalam menanggapi kebutuhan ini.
Namun, organisasi harus memperhatikan pencucian kepatuhan, di mana vendor mengklaim persiapan tanpa kapasitas teknis yang mendalam.
Melihat ke Masa Depan
Salah satu hit yang direncanakan paling signifikan adalah standardisasi keselamatan AI di seluruh wilayah, menciptakan jalur pengaman yang harmonis di seluruh UE. Pendekatan mendasar ini secara langsung membahas perlindungan spesifik AI, dengan pendekatan yang jelas untuk mengurangi serangan permusuhan, keracunan dan ketidakpatuhan dengan kerahasiaan.
Kekuatan utama dari peraturan yang diusulkan adalah penekanan pada etos keamanan oleh desain yang mengintegrasikan pertimbangan keamanan dari awal dan sepanjang umur operasional sistem AI. Ini dilengkapi dengan peningkatan persyaratan akuntabilitas dan transparansi melalui catatan yang ketat, pemantauan penuh dari pasca-pasar dan laporan insiden wajib.
Karena AI memainkan peran kunci dalam banyak aspek kehidupan, termasuk keamanan siber, terutama dengan munculnya agen AI, memastikan bahwa itu aman dan suara itu akan mempersiapkan kita untuk masa ketahanan adaptif, perpaduan ketahanan dunia maya, kepercayaan nol dan penjelasan risiko berbasis AI.
Hambatan untuk diatasi
Terlepas dari semua aspek yang menjanjikan, berbagai keterbatasan dan peringatan dapat menyulitkan peraturan keselamatan AI secara efektif. Perhatian utama adalah evolusi cepat dari ancaman yang melekat dalam panorama AI. Vektor serangan baru mungkin muncul lebih cepat dari aturan statis, membutuhkan ulasan rutin melalui tindakan yang didelegasikan.
Bendungan sumber daya dan ahli yang penting juga bisa menjadi tantangan, karena otoritas nasional dan badan -badan yang diberitahukan akan membutuhkan pendanaan yang tepat dan staf yang berkualifikasi tinggi untuk menerapkan dan menegakkan peraturan ini secara efektif.
Hanya waktu yang akan mengatakan seberapa efektif langkah -langkah baru ini, tetapi satu hal yang benar: undang -undang inovatif ini akan menandai zaman baru AI dan keamanan siber.
Di luar perbatasan UE, efek “Brussels” kemungkinan akan menciptakan efek bergelombang global, menginspirasi peningkatan keamanan yang sama dengan sistem AI yang digunakan di seluruh dunia dan dengan demikian memperluas manfaat dari peraturan ini jauh di luar negara -negara Uni Eropa.
Organisasi yang berupaya memanfaatkan solusi AI harus memprioritaskan keselamatan holistik dan ketahanan dunia maya dalam praktik mereka dan melihat kepatuhan sebagai bukan latihan di kotak poppy, tetapi perubahan mendasar dalam cara sistem dan produk dibangun.
Kami telah menyajikan perangkat lunak enkripsi terbaik.
Artikel ini terjadi sebagai bagian dari saluran informasi ahli TechRadarPro, di mana kami memiliki pikiran terbaik dan paling cerdas dalam industri teknologi saat ini. Pendapat yang diungkapkan di sini adalah pendapat penulis dan tidak harus dari TechRadarPro atau Future Plc. Jika Anda tertarik untuk berkontribusi pada informasi lebih lanjut di sini:
