Vybudování zabezpečeného základu nulové důvěry (Zero Trust) pro AI

AI mění způsob, jakým firmy fungují a inovují v éře hybridní práce a práce na dálku. Přináší také nové výzvy a rizika, zejména pokud jde o zabezpečení dat a ochranu soukromí. Vzhledem k tomu, že se firmy snaží inovovat a podporovat své zaměstnance odkudkoli, musí být také schopny chránit své cenné informace. Nulová důvěra (Zero Trust) je architektura zabezpečení, která se přizpůsobuje modernímu pracovišti, aby lépe chránila zaměstnance a jejich zařízení. Poskytuje také ochranu pro technologie AI, které je možné implementovat za účelem posílení zabezpečení.

Spravovaná data jsou základem modelů AI, které se při učení, analýze a generování poznatků spoléhají na velké množství informací. Tato potřeba zabezpečených dat z nich dělá zranitelný prostředek, který musí být chráněn před neoprávněným přístupem, zneužitím a krádeží. Jakékoli porušení zabezpečení – koncového bodu, identity, aplikace, infrastruktury nebo sítě – může mít pro firmy závažné důsledky, jako je poškození pověsti, právní odpovědnost a ztráta důvěry.

Přijetím architektury zabezpečení s principy nulové důvěry (Zero Trust) můžou firmy chránit svůj přístup a zároveň svým zaměstnancům poskytovat to, co potřebují k práci. Nulová důvěra (Zero Trust) se řídí třemi základními principy:

1.      Explicitní ověřování. Nulová důvěra (Zero Trust) vyžaduje nepřetržité ověřování identity a oprávnění před udělením přístupu k datům a prostředkům.
2.      Přístup s nejnižší možnou úrovní oprávnění. Přístup uživatelů omezujte na přístup „jen podle potřeby“ a „jen s nezbytnými oprávněními“ (JIT/JEA) s využitím adaptivních zásad.
3.      Předpokládání porušení zabezpečení. Pokud se vám zdá, že se děje něco nezvyklého, okamžitě minimalizujte potenciální hrozbu segmentací přístupu a pak použijte analytické nástroje k identifikaci problému a posílení obrany.

Zabezpečení typu nulová důvěra (Zero Trust) zajišťuje, že citlivé informace jsou vždy chráněny bez ohledu na to, kde jsou uloženy, zpracovávány nebo kde k nim je přistupováno – proto je pro zavedení AI zásadní. S tím, jak si organizace osvojují AI, umožní jim zavedení modelu zabezpečení, který bude nepřetržitě chránit jejich nejcennější prostředky, rozvíjet inovace a být produktivnější.

Spolu se silnějšími opatřeními v oblasti zabezpečení je možné pro implementaci AI používat principy nulové důvěry (Zero Trust):

Přesné, úplné a konzistentní informace jsou zásadní, protože určují kvalitu výstupu AI. Pokud někdo manipuluje s oprávněními aplikací nebo spravovanými daty nebo s nimi manipuluje, dojde k jejich poškození, což způsobí, že daný AI nástroj bude poskytovat nepřesné, nespolehlivé nebo zkreslené výsledky. Zero Trust chrání integritu dat tím, že blokuje neoprávněný přístup v průběhu celého životního cyklu identity.

Řízení přístupu je zásadní pro zabránění neoprávněnému a nevhodnému používání AI a dat, která AI využívá. Strategie nulové důvěry (Zero Trust) posiluje tyto kontrolní mechanismy tím, že vynucuje princip nejnižších možných oprávnění, který zaměstnancům brání v přístupu k citlivým datům, aplikacím, koncovým bodům nebo identitám tak, aby potenciálně používali AI pro škodlivé účely.

Stejně jako každá moderní technologie je i technologie AI náchylná k porušením zabezpečení a kybernetickým útokům – zejména v případě vzdálených zařízení. Bezpečnostní hrozby můžou ohrozit důvěrnost a dostupnost spravovaných dat, koncových bodů a sítě – což může mít zásadní dopad na soukromí a bezpečnost zaměstnanců a zákazníků. Nulová důvěra (Zero Trust) zvyšuje zabezpečení prostřednictvím vícefaktorového ověřování a synchronizace identifikace na všech zařízeních, která zaměstnanci používají.

Zabezpečení typu nulová důvěra není specifický produkt ani řešení. Jedná se o sadu principů, postupů a technologií, které spolupracují na dosažení vysoké úrovně zabezpečení, aby ochránily každou aplikaci, zdroj dat, koncový bod, infrastrukturu a jakýkoli typ prostředí, ať už vaše organizace využívá cloudové, místní nebo hybridní prostředky.

Pro vybudování a udržení pevné základny architektury nulové důvěry (Zero Trust) by firmy měly zahrnout tyto důležité bezpečnostní prvky a funkce:

První princip zabezpečení typu nulová důvěra (Zero Trust) vyžaduje explicitní ověřování všech identit a zařízení před udělením přístupu. Vztah důvěryhodnosti se nikdy nepředpokládá ani neuděluje trvale, a proto je důvěra dynamická a kontextová, což znamená, že se může měnit v závislosti na situaci, místě, čase nebo zařízení.

Při přístupu s nejnižšími možnými oprávněními se uděluje pouze minimální úroveň přístupu nezbytná pro konkrétní úkol nebo roli. Tento princip pomáhá omezit potenciální oblast útoku a případné škody způsobené porušením zabezpečení, a to tím, že omezuje vystavení dat, infrastruktury, síťových prostředků, aplikací nebo koncových bodů pouze na uživatele, kteří tyto prostředky potřebují. Vynucuje také oddělení povinností a informací v rozsahu nezbytně nutném, což některým zaměstnancům brání v přístupu k vysoce citlivým informacím.

Zabezpečení typu nulová důvěra (Zero Trust) rozděluje sítě a infrastrukturu do menších zón neboli segmentů na základě citlivosti dat, aplikací, rolí a obchodních funkcí. Toto opatření vše izoluje a chrání před neoprávněným nebo škodlivým přístupem a umožňuje zastavit nebo omezit šíření porušení zabezpečení tím, že omezuje přesuny a komunikaci mezi segmenty. Mikrosegmentace také pomáhá zlepšit výkon a viditelnost sítě, protože snižuje zahlcení a umožňuje širší monitorování a kontrolu.

Tato funkce umožňuje týmům zabezpečení monitorovat v síti a infrastruktuře případné anomálie nebo podezřelé chování a okamžitě podniknout kroky k izolaci nebo zmírnění daného rizika. Detekce hrozeb a reakce na hrozby v reálném čase snižuje dopad porušení zabezpečení a zároveň identifikuje a řeší původní příčinu. Pomáhá také zlepšovat stav zabezpečení organizace prostřednictvím prakticky využitelné zpětné vazby, která podporuje neustálé přizpůsobování a odolnost.

Vytvoření zabezpečené základny díky nulové důvěře (Zero Trust) není jednorázový projekt, ale kontinuální cesta, která vyžaduje strategickou vizi, holistický přístup a posun kultury.

Tyto kroky poskytují organizacím širokou cestu k posouzení toho, kde se v současné době nacházejí, kde chtějí být a jak můžou dosáhnout svých cílů v oblasti zabezpečení:

Prvním krokem je vyhodnocení stávajících bezpečnostních opatření, identifikace silných a slabých stránek a určení případných nedostatků a potenciálních rizik. Audit vám pomůže porozumět aktuálnímu stavu zabezpečení a stanovit priority, abyste mohli odpovídajícím způsobem přidělit zdroje.

Identifikujte všechny koncové body, aplikace, infrastrukturu, sítě, data a prostředky pro vaše podnikové operace, které by v případě ztráty nebo napadení mohly způsobit značné škody. Klasifikujte každý prostředek na základě hodnoty, citlivosti a dopadu. Identifikace důležitých prostředků vám umožní zaměřit své úsilí na ochranu toho nejdůležitějšího.

Vytvořte a zdokumentujte konkrétní pravidla a zásady pro řízení vašich oblastí obrany. Tyto zásady by měly vycházet ze tří klíčových principů nulové důvěry (Zero Trust): explicitní ověřování, nejnižší možná oprávnění a předpokládání porušení zabezpečení. Tato pravidla nebudou neměnná, ale vytvoří základ pro budoucnost.

Nasazujte technologie, které využívají a podporují zásady nulové důvěry (Zero Trust), jako je správa identit a přístupu, šifrování a hashování dat, segmentace a izolace sítě, detekce hrozeb a reakce na ně a analýzy a inteligentní funkce zabezpečení. Tato řešení by měla být integrovaná a v souladu s vašimi obchodními procesy, systémy, operacemi a cíli.

Po zavedení technologií seznamte zaměstnance s významem a výhodami zabezpečení typu nulová důvěra (Zero Trust) a s jejich rolemi a povinnostmi při jeho zavádění a udržování. Školení a informovanost zaměstnanců můžou pomoct podpořit kulturu lepšího zabezpečení a důvěry a můžou zvýšit jejich zapojení a dodržování předpisů. Školení může také pomoct zabránit lidským chybám, které jsou častou příčinou porušení zabezpečení – nebo tyto chyby omezit.

Když budete mít vše zprovozněno, naplánujte si čas na vyhodnocení výkonu zabezpečení, identifikujte případné problémy a najděte příležitosti ke zlepšení. Průběžné monitorování vám pomůže udržovat a vylepšovat stav zabezpečení a zvyšovat odolnost s tím, jak se v průběhu času vyvíjí prostředí hrozeb.

Zavedení principů nulové důvěry (Zero Trust) může také poskytovat klíčové výhody pro AI a pro vaši firmu:

Zabezpečení typu nulová důvěra (Zero Trust) zajišťuje, že vše – síť, identity, koncové body, aplikace, data a AI nástroje – je neustále chráněno, ověřováno a monitorováno. Zabezpečená AI dává signál důvěry a důvěryhodnosti směrem k vašim zákazníkům a partnerům, protože používáte tuto technologii zodpovědně.

Architektura nulové důvěry (Zero Trust) vám pomůže splnit a překonat regulační požadavky a standardy pro zabezpečení dat a ochranu soukromí, jako je Obecné nařízení o ochraně osobních údajů (GDPR), Kalifornský zákon na ochranu osobních údajů spotřebitelů (CCPA) nebo Zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA). Pomůže vám také připravit se na nové a vyvíjející se předpisy pro etiku a zásady správného řízení AI, jako je Akt o umělé inteligenci (AI Act) od Evropské komise nebo Principy AI (AI Principles) od OECD.

Aplikováním principu „nikdy nedůvěřovat, vždy ověřovat“ na vaše data můžete zvýšit ochranu soukromí dat pro využití umělou inteligencí tím, že je zpřístupníte pouze autorizovaným zaměstnancům pro legitimní účely. Tento princip vám pomůže také respektovat a chránit práva a preference vašich subjektů údajů, jako jsou zákazníci, zaměstnanci nebo partneři, protože umožňuje transparentnost, kontrolu a souhlas v souvislosti s jejich údaji.

Tato funkce umožňuje týmům zabezpečení monitorovat v síti a infrastruktuře případné anomálie nebo podezřelé chování a okamžitě podniknout kroky k izolaci nebo zmírnění daného rizika. Detekce hrozeb a reakce na hrozby v reálném čase snižuje dopad porušení zabezpečení a zároveň identifikuje a řeší původní příčinu. Pomáhá také zlepšovat stav zabezpečení organizace prostřednictvím prakticky využitelné zpětné vazby, která podporuje neustálé přizpůsobování a odolnost.

Prozkoumejte praktické příklady použití a jak silná základna nulové důvěry (Zero Trust) pomáhá při integraci a zabezpečení AI

Nulová důvěra (Zero Trust) může pomáhat chránit vlastní algoritmy AI, natrénované modely AI a duševní vlastnictví AI. Může také zabránit neoprávněnému nebo škodlivému přístupu, modifikaci nebo krádeži, čímž se zachová integrita a autenticita. 

• Scénář: Zabezpečte své algoritmy AI při výzkumu a vývoji pomocí hashování kódu AI, izolujte jedinečná prostředí AI a zajistěte, aby k nim měli vývojáři AI pouze přiměřený přístup.

Datové kanály AI zahrnují procesy a systémy, které umožňují tok dat ze shromažďování do analýzy. Nulová důvěra (Zero Trust) tato data chrání, ověřuje a monitoruje v průběhu jejich životního cyklu a zajišťuje, aby byla zachována jejich kvalita a přesnost. 

• Scénář: Zabezpečte tok dat ze zařízení IoT do cloudové platformy sledováním a ověřováním každého zařízení IoT, šifrováním přenášených a neaktivních uložených dat a segmentací síťových zón, abyste omezili obousměrnou komunikaci.

Zásady správného řízení AI vytváří rámec a proces, který zajistí, že používání AI bude etické, odpovědné a bude s sebou nést zodpovědnost. Zabezpečení typu nulová důvěra (Zero Trust) vám může pomoct monitorovat a auditovat přístup a aktivitu AI, abyste zachovali soulad s firemními zásadami a předpisy.

• Scénář: Monitorujte výkon a chování AI tím, že budete průběžně ověřovat všechny uživatele, kteří používají AI, a jejich zařízení, šifrovat a hashovat výstupy a protokoly AI a implementovat detekci hrozeb a reakce na hrozby v reálném čase.

Vytvoření základu nulové důvěry (Zero Trust) s ohledem na AI vytváří model, který se účinně přizpůsobuje složitosti moderního prostředí, zahrnuje hybridní práci a práci na dálku a lépe chrání zaměstnance, jejich zařízení, aplikace a data bez ohledu na to, kde se nacházejí. Umožňuje firmám bez obav využívat technologie AI, vytvářet nové hodnoty a dává jim možnost inovovat a zajistit si budoucnost.

Nulová důvěra (Zero Trust) a AI se vzájemně doplňují. Vzhledem k tomu, že organizace nadále zavádějí a využívají AI, potřebují principy nulové důvěry (Zero Trust), aby své investice zabezpečily a ochránily. Podobně s tím, jak se jejich stav zabezpečení stává složitějším a dynamičtějším, implementace AI pro automatizaci určitých funkcí sníží zatížení IT týmů, aby se mohly soustředit na důležitější úkoly.

Vytvoření zabezpečeného základu nulové důvěry (Zero Trust) pro AI je zásadní pro efektivní a zabezpečené prostředí AI. Pomáhá firmám chránit jejich sítě, koncové body, aplikace, identity, data a infrastruktury, zvyšovat výkonnost AI a zmírňovat rizika AI. Nulová důvěra (Zero Trust) také pomáhá firmám budovat důvěru v jejich systémy AI, zlepšovat jejich soulad s předpisy a zvyšovat ochranu soukromí dat.

Navštivte Microsoft Zero Trust Guidance Center a dozvíte se více o tom, jak vytvořit bezpečný základ nulové důvěry (Zero Trust) pro AI.