Utvikle et sikkert grunnlag for nulltillit for KI

KI forvandler måten virksomheten opererer og innoverer på i en æra av hybrid og ekstern jobbing. Det bringer også med seg nye utfordringer og risikoer, spesielt når det gjelder datasikkerhet og personvern. Når virksomheter ønsker å  innovere og støtte de ansatte uansett hvor de befinner seg, må de også være i stand til å beskytte verdifulle opplysninger. Nulltillit er et sikkerhetsrammeverk som tilpasser seg moderne arbeidsplasser for å beskytte de ansatte og enhetene deres på en bedre måte. Det gir også beskyttelse for KI-teknologier, som kan implementeres for å styrke sikkerheten.

Administrerte data driver KI-modeller, som trenger store mengder informasjon for å lære, analysere og generere innsikt. Dette behovet for sikre data gjør det til en sårbar ressurs som må beskyttes mot uautorisert tilgang, misbruk og tyveri. Alle brudd – endepunkt, identitet, app, infrastruktur, nettverk – kan ha alvorlige konsekvenser for virksomheter, som for eksempel tap av omdømme, juridiske konsekvenser og tap av tillit.

Ved å ta i bruk et sikkerhetsrammeverk basert på nulltillit kan virksomheter sikre tilgangen sin, samtidig som de ansatte får det de trenger for å gjøre jobben sin. Nulltillit følger tre grunnleggende prinsipper:

1.      Eksplisitt bekreftelse. Nulltillit krever kontinuerlig identitets- og tilgangsbekreftelse før det gis tilgang til data og ressurser.
2.      Bruk minst priviligert tilgang. Begrens brukertilgangen med adaptive og risikobaserte Just-in-time og Just-Enough-Access (JIT/JEA)-policyer.
3.      Anta brudd. Hvis noe ser feil ut må en potensiell trussel umiddelbart minimeres ved å segmentere tilgangen, og deretter brukes analyse for å identifisere problemet og styrke forsvaret.

Nulltillitssikkerhet sikrer at sensitive opplysninger alltid beskyttes, uavhengig av hvor de er lagret, behandlet eller brukt – og derfor er det kritisk for å ta i bruk KI. Når virksomheter tar i bruk KI kan en sikkerhetsmodell som kontinuerlig beskytter de mest verdifulle ressursene gjør det mulig å drive innovasjon og være mer produktiv.

I tillegg til kraftigere sikkerhetstiltak kan nulltillitsprinsippene brukes i implementeringen av KI:

Nøyaktig, fullstendig og konsistent informasjon er avgjørende, fordi det styrer kvaliteten på resultatene fra KI. Hvis noen manipulerer eller endrer apptillatelser eller administrerte data blir de korrupte, som vil gjøre at KI-verktøyet produserer unøyaktige, upålitelige eller partiske resultater. Nulltillit beskytter dataintegriteten ved å blokkere uautorisert tilgang gjennom hele identitetslivssyklusen.

Tilgangskontroller er avgjørende for å forhindre uautorisert og upassende bruk av KI og dataene den bruker. En nulltillitsstrategi styrker disse kontrollene ved å håndheve prinsippet om minst tilgang, som forhindrer ansatte fra å få tilgang til sensitive data, apper, endepunkter eller identiteter for å kunne bruke KI til ondsinnede formål.

Som med alle moderne teknologier er KI sårbart for brudd og cyberangrep – spesielt med eksterne enheter. Sikkerhetstrusler kan kompromittere konfidensialitet og tilgjengelighet for administrerte data, endepunkt og nettverket – som kan ha store konsekvenser for ansatte og kunders personvern og sikkerhet. Nulltillit øker sikkerheten gjennom flerfaktorautentisering og synkronisert identifikasjon på tvers av alle enheter de ansatte bruker.

Nulltillitssikkerhet er ikke et bestemt produkt eller løsning. Det er et sett med prinsipper, fremgangsmåter og teknologier som jobber sammen for å oppnå et høyt sikkerhetsnivå og beskytte alle apper, datakilder, endepunkter, infrastruktur og alle typer miljøer, uavhengig av om organisasjonen er skybasert, lokal eller hybrid.

For å utvikle og opprettholde et godt grunnlag på nulltillit bør virksomheter inkludere disse viktige sikkerhetsfunksjonene og -tiltakene:

Det første prinsippet bak nulltillitssikkerhet krever eksplisitt bekreftelse av alle identiteter og enheter før tilgang gis. Tillit antas eller gis aldri permanent, noe som gjør det dynamisk og kontekstavhengig, og betyr at det kan endre seg basert på situasjon, plassering, tid eller enhet.

Minst tilgang gir bare det minste nødvendige tilgangsnivået for en bestemt oppgave eller rolle. Dette prinsippet bidrar til å redusere angrepsoverflaten og potensielle skader fra et brudd ved å begrense eksponeringen av data, infrastruktur, nettverksressurser, apper eller endepunkter til kun de som har behov for dem. Det håndhever også skillet mellom plikter og informasjon på et need-to-know-basis, som forhindrer bestemte ansatte fra å få tilgang til svært sensitive opplysninger.

Nulltillitssikkerhet skiller nettverk og infrastruktur i mindre soner eller segmenter basert på sensitiviteten til data, apper, roller og forretningsfunksjoner. Dette tiltaket isolerer og beskytter alt fra uautorisert eller ondsinnet tilgang, og vil stenge ned og begrense spredningen fra et brudd ved å forhindre bevegelser og kommunikasjon mellom segmenter. Mikrosegmentering bidrar også til å forbedre nettverksytelsen og -synligheten, fordi det reduserer flaskehalser og gir mulighet for bredere overvåking og kontroll.

Denne funksjonen lar sikkerhetsteamene overvåke nettverket og infrastrukturen for avvik eller mistenkelig adferd, og ta umiddelbare grep for å isolere eller utbedre risiko. Trusseloppdagelse og -svar i sanntid reduserer konsekvensene av et brudd, samtidig som rotårsaken identifiseres og adresseres. Det bidrar også til å forbedre organisasjonens sikkerhetsstatus gjennom praktiske tilbakemeldinger som oppfordrer til kontinuerlig innføring og motstandsdyktighet.

Det er ikke et éngangsprosjekt å utvikle et sikkert grunnlag på nulltillit, men en kontinuerlig reise som krever en strategisk visjon, en holistisk tilnærming og et kulturelt skifte.

Disse trinnene gir organisasjoner mange muligheter til å vurdere hvor de befinner seg, hvor de ønsker å være, og hvordan de kan oppnå sine sikkerhetsmål:

Det første trinnet er å evaluere eksisterende sikkerhetsmål, identifisere styrker og svakheter og finne eventuelle hull og potensielle risikoer. En revisjon vil bidra til at du forstår den nåværende sikkerhetsstatusen, og kan prioritere handlinger for å allokere ressurser i henhold til dette.

Identifiser endepunkter, apper, infrastruktur, nettverk, data og ressurser for forretningsdriften som kan forårsake betydelig skade hvis det går tapt eller kompromitteres. Klassifiser hver enkelt ressurs basert på verdi, følsomhet og påvirkning. Ved å identifisere kritiske ressurser kan du fokusere innsatsen på å beskytte det som er viktigst.

Opprett og dokumenter bestemte regler og policyer for å håndheve forsvarsområdene. Disse policyene bør være basert på de tre nøkkelprinsippene bak nulltillit: eksplisitt bekreftelse, minst tilgang og anta brudd. Disse reglene er ikke hugget i stein, men legger grunnlaget for fremtiden.

Distribuer teknologier som utfører og støtter policyene for nulltillit, som for eksempel identitets- og tilgangsstyring, datakryptering og -hashing, nettverkssegmentering og -isolasjon, trusseloppdagelse og -svar samt sikkerhetsanalyse og -innsikt. Disse løsningene må være integrerte og i henhold til forretningsprosesser, systemer, drift og mål.

Når teknologien er på plass må du lære opp de ansatte i viktigheten av og fordelene ved nulltillitssikkerhet, i tillegg til deres roller og ansvarsområder i å implementere og vedlikeholde det. Opplæring og bevissthet hos de ansatte kan bidra til å skape en kultur rundt økt sikkerhet og tillit, og kan øke både engasjement og overholdelse. Denne opplæringen kan også bidra til å forhindre eller redusere menneskelige feil, som er en vanlig årsak til sikkerhetsbrudd.

Nå som alt er oppe og står bør du sette av tid til å evaluere sikkerhetsresultater, identifisere eventuelle problemer og finne forbedringsområder. Kontinuerlig overvåking gjør det enklere å vedlikeholde og forbedre sikkerhetsstatusen, og bli mer motstandsdyktig når trussellandskapet utvikler seg over tid.

Et grunnlag basert på nulltillit har viktige fordeler for KI og for virksomheten:

Nulltillitssikkerhet sikrer at alt – nettverk, identiteter, endepunkter, apper, data, KI-verktøy – er beskyttet, bekreftet og overvåket til enhver tid. Ved å ha sikker KI kommuniserer du tillit og kredibilitet til kunder og partnere ved å bruke teknologien på en ansvarlig måte.

Et nulltillitsrammeverk gjør det enklere å oppfylle og overstige regulatoriske krav og standarder til datasikkerhet og personvern, som for eksempel personvernforordningen (GDPR), California Consumer Privacy Act (CCPA) eller Health Insurance Portability and Accountability Act (HIPAA). Det gjør det også enklere å forberede seg, og svare, på nye og kommende reguleringer rundt KI-etikk og -styring, som for eksempel AI Act fra Europakommisjonen, eller AI-prinsippene fra OECD.

Ved å ta i bruk prinsippet bak "aldri stol på, alltid bekreft" for data kan du øke datapersonvernet for bruk av KI ved å gjøre dem tilgjengelige kun for autoriserte ansatte og for legitime formål. Det gjør det også enklere å respektere og beskytte rettigheter og ønsker for datasubjekter, som kunder, ansatte eller partnere, da det gir innsyn, kontroll og samtykke over deres data.

Denne funksjonen lar sikkerhetsteamene overvåke nettverket og infrastrukturen for avvik eller mistenkelig adferd, og ta umiddelbare grep for å isolere eller utbedre risiko. Trusseloppdagelse og -svar i sanntid reduserer konsekvensene av et brudd, samtidig som rotårsaken identifiseres og adresseres. Det bidrar også til å forbedre organisasjonens sikkerhetsstatus gjennom praktiske tilbakemeldinger som oppfordrer til kontinuerlig innføring og motstandsdyktighet.

Utforsk praktiske brukstilfeller for hvordan et sterkt grunnlag basert på nulltillit bidrar til KI-integrering og sikkerhet

Nulltillit kan bidra til å beskytte proprietære KI-algoritmer, opplærte KI-modeller og immaterielle rettigheter knyttet til KI. Det kan også forhindre uautorisert eller ondsinnet tilgang, endring eller tyveri, som sørger for at integriteten og autentisiteten holdes intakt. 

• Scenarie: Sikre KI-algoritmene dine under forskning og utvikling ved å hashe KI-koden, isolere unike KI-miljøer og sikre at KI-utviklerne kun har tilstrekkelig tilgang.

KI-datasamlebånd inkluderer prosesser og systemer som tillater flyt av data fra innhenting til analyse. Nulltillit sørger for at dataene er beskyttet, bekreftet og overvåket gjennom hele livssyklusen, og sikrer at kvaliteten og nøyaktigheten opprettholdes. 

• Scenarie: Sikre dataflyten fra IoT-enheter til skyplattformen ved å spore og bekrefte hver enkelt IoT-enhet, kryptere data under overføring og lagring, og segmentere nettverkssoner for å begrense toveiskommunikasjon.

KI-styring legger grunnlaget og prosessen for å sikre at bruken av KI er etisk og ansvarlig. Nulltillitssikkerhet kan gjøre det enklere å overvåke og revidere KI-tilgang og -aktivitet for å bevare samsvar med selskapets policyer og retningslinjer.

• Scenarie: Overvåk KI-ytelsene og -adferden ved å kontinuerlig bekrefte alle som bruker KI og enhetene sine, kryptere og hashe KI-resultater og logger, og implementere trusseloppdagelse og -svar i sanntid.

Ved å utvikle et grunnlag for nulltillit i KI skaper man en modell som effektivt tilpasser seg kompleksitetene ved et moderne miljø, støtter hybrid og eksternt arbeid og beskytter de ansatte, enhetene deres, apper og data på en bedre måte – uansett hvor de befinner seg. Det lar virksomheter unytte KI-teknologier på en trygg måte, skape ny verdi og styrker dem til å innovere og sikre fremtiden.

Nulltillit og KI utfyller hverandre. Ettersom virksomheter fortsetter å tilpasse seg og omfavne KI trenger de nulltillitsprinsippene for å sikre og beskytte investeringene sine. På samme måte, når sikkerhetsstatusen blir mer kompleks og dynamisk, vil implementering av KI for å automatisere enkelte funksjoner redusere belastningen på IT-teamene, slik at de kan fokusere på viktigere oppgaver.

Det er helt avgjørende å utivkle et sikkert nulltillitsgrunnlag for KI for å sikre en effektiv og sikker KI-opplevelse. Det bidrar til at virksomheter kan beskytte nettverk, endepunkter, apper, identiteter, data og infrastrukturer, forbedre KI-resultatene og forhindre risikoer knyttet til KI. Nulltillit bidrar også til at virksomheter kan bygge tillit til KI-systemene sine, sørger for enklere overholdelse av regler og standarder og forbedrer personvern knyttet til data.

Besøk Microsofts veiledningssenter for nulltillit for å finne ut mer om hvordan du utvikler et sikkert grunnlag for nulltillit for KI.