هوش مصنوعی یا AI چیست؟ بررسی چالش‌های امنیت سایبری و تاثیر AI در تغییرات امنیت سایبری – قسمت دوم (پایانی)

در قسمت اول مقاله در مورد تاثیر هوش مصنوعی صحبت کردیم در این امنیت هوش مصنوعی طبق Data Protection Prism و ادامه مقاله خواهیم پرداخت. General Data Protection Regulation یا GDPR هنگام پردازش داده‌های شخصی امنیت را به عنوان یک اصل برقرار می‌سازد. این یک نقش پیشرفته برای امنیت و یک جهش مفهومی از زمانی است که امنیت، صرفا یک فرآیند آماده‌سازی فنی- سازمانی در راس عملیات پردازش می باشد. طبق GDPR امنیت یک پیش‌نیاز است و عدم اجرای اقدامات امنیتی مناسب باعث بی‌ارزشی و غیرقانونی شدن پردازش می‌گردد. همانند سایر اصول حفاظت از داده‌های GDPR، امنیت اختیاری نبوده بلکه یک الزام است.

ماده 32 GDPR به اقدامات امنیتی که باید براساس ریسک بدین معنی هرچه ریسک بیشتر باشد، اقدامات شدیدتر می‌شوند. امنیت راهی برای تقویت حقوق و آزادی افراد به عنوان یک واحد کلی بوده و مرکزیت ماشین‌های vis-a-vis را ممکن می سازد. سیستم‌های هوش مصنوعی منطقی بوده و ممکن است به خودی خود کامل و مداوم نباشند. این بدان معناست که انسان‌ها در مرحله طراحی هرگز قادر نخواهند بود تا تمامی فاکتورهای محتوایی که عملکرد آنها را خراب می‌کند پیش‌بینی کنند. این قضیه افراد را در برابر ریسک‌های درونی احتمالات غیرمنتظره قرار می‌دهد یعنی جایی که خروجی یک سیستم هوش مصنوعی به درستی مهار نمی‌شود.

همانطور که در ماده 25 GDPR آمده است، امنیت با ابزار طراحی یک حفاظت داده‌ای است و با درنظرگیری تعدادی از فاکتورهای محتوایی کنترل‌کننده‌های داده‌ها باید اقدامات فنی و سازمانی مناسبی را انجام دهند. این اقدامات که شامل صحت داده‌ها تا یکپارچه‌سازی لایه‌های حفاظتی مناسب در پردازش می‌شود باید انجام شوند تا اصول حفاظت از داده‌ها بطور موثر صورت گیرد.  GDPR بطور ویژه Pseudonymisation را به عنوان یکی از این اقدامات معرفی می‌کند. در بحث هوش مصنوعی و برای حفاظت از داده‌ها، امنیت بسیار حائز اهمیت است تا بتوان حفاظت‌های فنی و سازمانی لازم را برای حفاظت از حقوق و آزادی افراد در همان مرحله طراحی برنامه‌های کاربردی جدید AI معرفی نمود.   

تاکنون امنیت توانسته انواع جدید عملیات پردازش که مربوط به فناوری‌های نوظهور مانند هوش مصنوعی هستند را ممکن سازد. به عنوان مثال، اجرای برخی اقدامات امنیتی مانند Pseudonymisation یا رمزگذاری می‌توانند داده‌ها را در فرمت جدیدی بیاورند که بدون استفاده از اطلاعاتی مضاعف قابل تشخیص نباشند. این قابلیت‌ها می‌توانند در بحث هوش مصنوعی بکار روند تا شکل جدیدی از روابط میان انسان‌ها و ماشین‌ها را خلق نمایند بطوری که افراد بصورت پیش‌فرض توسط ماشین‌ها شناسایی نشوند مگر اینکه خودشان بخواهند، به عنوان مثال تاثیر رمزگذاری یا Pseudonymisation انجام‌شده را معکوس کنند.

بیشتر بخوانید: رفع کمبودهای مهارتی در امنیت سایبری با استفاده از هوش مصنوعی

همانطور که گفته شد، قراردادن امنیت درکنار اصول حفاظت از داده‌ها به معنای پیش‌شرطی برای پردازش است. با این حال، یک رویکرد حاصل از برداشت اشتباه که صرفا براساس ارزیابی ریسک‌های اقتصادی است ممکن است سد راهی برای انجام اقدامات امنیتی و اجرای موثر اصول امنیتی باشد. این پدیده بطور وسیعی شناخته شده و ممکن است باعث شود فعالان اقتصادی با سرمایه‌گذاری‌های خود ریسک کنند و با فرض اینکه رویدادهای امنیتی احتمال کمی دارند ریسک‌های امنیت اطلاعات را بپذیرند، گاهی این ریسک‌ها بسیار خطرناک‌اند و در نتیجه هرگونه سرمایه‌گذاری که کاهش ضرر اقتصادی مورد انتظار را نشان دهد را به تعویق بیاندازند. GDPR راه فراری از این بن‌بست ارائه می‌دهد که امنیت را تا استانداردهای اصول حفاظت از داده‌ها ارتقاع داده و امنیت را در بزرگ‌ترین مقیاس ممکن که شامل ده‌ها هزار عضو فعال در زنجیره ارزش پیچیده هوش مصنوعی می‌شود به عنوان بخشی از مسئولیت ترویج می‌دهد. اینکه دیگر امنیت به عنوان حفاظت درنظر گرفته نشود و آن را عنصر کاربردی اکوسیستم دیجیتال بدانیم. تنها درصورتی که تهدیدات امنیتی رخ ندهند، اکوسیستم هوش مصنوعی می‌تواند اعتماد ایجاد نماید، سرمایه‌گذاران را جذب کند، کاربران را حفظ نموده و باعث بازخورد مثبت برای توسعه برنامه‌های کاربردی سودمند شود.

بیشتر بخوانید: محافظت آسان در برابر تهدیدات با هوش مصنوعی پیشرفته در تحلیل‌گر امنیت مجازی FortiAI

در مفهوم ENISA AI Threat Landscape یا AI TL، تمرکز اصلی کار بر بروی امنیت سایبری و هوش مصنوعی خواهد بود زیرا هوش مصنوعی ایمن زیربنای کارهای دیگر است. تنها زمانی که خود هوش مصنوعی ایمن باشد می‌توان آن را در قالبی مطمئن استفاده نمود و از آن در دیگر عملیات امنیت سایبری بهره برد. ضوابط مربوط به هوش مصنوعی خارج از حوزه این کار خواهند بود زیرا این امر یکی از عرصه‌های مورد بحث EC High-Level Expert Group درباره هوش مصنوعی است.

براساس AI HLEG، بطور علمی هوش مصنوعی شامل چندین تکنیک و رویکرد است از جمله یادگیری ماشین که یادگیری عمیق و یادگیری تقویتی از مثال‌های آن هستند، که شامل برنامه‌ریزی، زمان‌بندی، نمایش و استدلال دانش، جستجو و بهینه‌سازی می‌گردد و علوم دستگاه‌های خودکار که شامل کنترل، ادراک، سنسورها و محرک‌ها و یکپارچگی سایر تکنیک‌ها به سیستم‌های امنیت سایبری می‌گردد). بنابراین مشخص است که عرصه هوش مصنوعی بسیار گسترده بوده و این دلیلی است برای الزام بررسی کار در ساختار چشم‌اندار تهدیدات می باشد.

با وجود اینکه امروزه یادگیری ماشینی از لحاظ فناوری‌ به عنوان یک نیروی محرکه حساب می‌شود، تمرکز اصلی ENISA AI TL بر روی این تکنولوژی‌هاست اما با این اوصاف، آنچه که ارائه شده قصد لحاظ‌کردن ابعاد گسترده‌تری از هوش مصنوعی مانند داده‌ها، زیرساخت، الگوریتم‌ها، پلتفرم‌ها و غیره را دارد.

علاوه بر آن، بکارگیری بخش‌های خاص ویژه دامین برای هوش مصنوعی به خودی خود در AI TL مورد نظر قرار نمی‌گیرد. رویکردهای مربوط به بخش‌های خاص AI TL نیارمند توسعه هستند تا تاثیر و احتمال تهدیدات را برای برخی برنامه‌های کاربردی بسنجند و ریسک‌ها را شناسایی نمایند.

در بحث ENISA AI Threat Landscape، تمرکز کار بر روی امنیت سایبری AI20 خواهد بود. بطور دقیق‌تر، اهداف این کار شامل موارد زیر است:

• شناسایی، تحلیل و همبستگی یک لیست/طبقه‌بندی از منابع، که شامل وابستگی‌های متقابل میان منابع و مالکان آنها می‌شود. شناسایی از طریق موارد کاربرد انتخابی که قابلیت‌ها و عملکردهای کلیدی هوش مصنوعی را برجسته می‌کنند صورت می‌گیرد.
• شناسایی و همبستگی لیست تهدیدات و آسیب‌پذیری‌ها جهت Mapشدن آنها درمقابل لیست منابعی که در بالا به آنها اشاره شد.
• توضیح مجموعه سناریو‌های حمله  و نفوذ به مراحل Lifecycle خوش مصنوعی هسته‌ای.

سازمان های مختلفی که نگران تهدیدات سایبری به سیستم‌های هوش مصنوعی هستند مخاطب اصلی این گزارش‌اند. این سازمان ها به دسته‌های مختلفی به شرح زیر طبقه‌بندی شده‌اند:

• بخش عمومی/دولتی، اعضای نظارتی، مقامات نظارتی عرصه حفاظت از داده‌ها، آژانس‌های اطلاعاتی و نظامی، انجمن نیروی انتظامی، سازمان‌های بین‌المللی و مقامات ملی امنیت سایبری.
• صنعت شامل شرکت‌های بزرگ و کوچک می‌شود که از راهکارهای هوش مصنوعی استفاده کرده و یا در امنیت سایبری فعالیت می‌کنند از جمله اپراتورها و سرویس‌های اصلی.
• انجمن فنی هوش مصنوعی، متخصصان هوش مصنوعی و امنیت سایبری آن طراحان، توسعه‌دهندگان، متخصصان یادگیری ماشین، محققان داده‌ها و غیره که در توسعه راهکارهای ایمن و یکپارچه‌سازی امنیت و حریم خصوصی با طراحی در سایر راهکارها علاقه‌مند هستند.
• انجمن امنیت سایبری
• انجمن علمی و تحقیقاتی
• اعضای استانداردسازی
• جامعه مدنی و عامه مردم

مقاله های مرتبط: