Ustvarjanje varnega temelja za UI z ničelnim zaupanjem

Umetna inteligenca spreminja način poslovanja in uvajanja inovacij v podjetjih v dobi hibridnega dela ter dela na daljavo. Prinaša tudi nove izzive in tveganja, zlasti na področju varnosti podatkov in zasebnosti. Podjetja si prizadevajo uvesti inovacije in zagotoviti podporo svojim zaposlenim od koder koli, zato morajo biti sposobna zaščititi svoje dragocene podatke. Ničelno zaupanje je varnostno ogrodje, ki se prilagaja sodobnim delovnim okoljem, za boljšo zaščito zaposlenih in njihovih naprav. Zagotavlja tudi zaščito za tehnologije UI, ki jih je mogoče uporabiti za krepitev varnosti.

Upravljani podatki omogočajo delovanje modelov UI, ki pri učenju, analizi in ustvarjanju vpogledov uporabljajo velike količine informacij. Zaradi potrebe po zaščitenih podatkih so ti ranljivo sredstvo, ki ga je treba zaščititi pred nepooblaščenim dostopom, zlorabo in krajo. Vsaka kršitev – končna točka, identiteta, aplikacija, infrastruktura in omrežje – ima lahko resne posledice za podjetja, kot so škoda ugledu, pravna odgovornost in izguba zaupanja.

Podjetja lahko z uvedbo varnostnega ogrodja ničelnega zaupanja zaščitijo svoj dostop, hkrati pa zaposlenim zagotovijo vse, kar potrebujejo za opravljanje dela. Ničelno zaupanje upošteva tri osnovna načela:

1.      Izrecno preverjanje. Ničelno zaupanje zahteva stalno preverjanje identitete in dovoljenj pred odobritvijo dostopa do podatkov ter virov.
2.      Uporaba dostopa z najmanj pravicami. Omejite dostop uporabnikov s prilagodljivimi pravilniki dostopa ravno ob pravem času in ravno pravem dostopu (JIT/JEA), ki temeljijo na tveganjih.
3.      Predvidevanje kršitev. Če se vam zdi, da nekaj ni v redu, takoj zmanjšajte morebitno grožnjo s segmentiranjem dostopa, nato pa z analitiko ugotovite težavo in okrepite obrambo.

Varnost ničelnega zaupanja zagotavlja, da so občutljivi podatki vedno zaščiteni, ne glede na to, kje so shranjeni, obdelani ali je izveden dostop do njih, zato je ključnega pomena za uvedbo umetne inteligence. Organizacije uvajajo umetno inteligenco, zato jim bo varnostni model za stalno zaščito njihovih najdragocenejših sredstev omogočil spodbujanje inovacij in večjo storilnost.

Načela ničelnega zaupanja se lahko poleg strožjih varnostnih ukrepov uporabljajo tudi pri izvajanju umetne inteligence:

Natančne, popolne in dosledne informacije so bistvenega pomena, saj določajo kakovost rezultatov umetne inteligence. Če kdo spremeni dovoljenja aplikacije ali upravljane podatke ali nedovoljeno poseže vanje, se ti poškodujejo, zato orodje umetne inteligence ustvari netočne, nezanesljive ali pristranske rezultate. Ničelno zaupanje varuje celovitost podatkov z blokiranjem nepooblaščenega dostopa v celotnem življenjskem ciklu identitete.

Ukrepi za nadzor dostopa je ključnega pomena za preprečevanje nepooblaščene in neustrezne uporabe umetne inteligence ter podatkov, ki jo podpirajo. Strategija ničelnega zaupanja krepi te ukrepe za nadzor z uveljavljanjem načela najmanj pravic, ki zaposlenim preprečuje dostop do vseh občutljivih podatkov, aplikacij, končnih točk ali identitet pred morebitno uporabo umetne inteligence v zlonamerne namene.

UI je kot vsaka sodobna tehnologija ranljiva za kršitve in kibernetske napade, zlasti v oddaljenih napravah. Varnostne grožnje lahko ogrozijo zaupnost in razpoložljivost upravljanih podatkov, končnih točk in omrežja, kar lahko močno vpliva na zasebnost in varnost zaposlenih ter strank. Ničelno zaupanje izboljšuje varnost z večkratnim preverjanjem pristnosti in sinhronizacijo v vseh napravah, ki jih uporabljajo zaposleni.

Varnost Ničelnega zaupanja ni določen izdelek ali rešitev. Gre za nabor načel, praks in tehnologij, ki skupaj zagotavljajo visoko raven varnosti za zaščito vsake aplikacije, vira podatkov, končne točke, infrastrukture in katere koli vrste okolja, ne glede na to, ali je vaša organizacija v oblaku, na mestu uporabe ali hibridna.

Če želijo podjetja ustvariti in ohraniti močan temelj za ničelno zaupanje, morajo vključiti te pomembne varnostne funkcije in zmogljivosti:

Prvo načelo varnosti ničelnega zaupanja zahteva izrecno preverjanje vseh identitet in naprav pred odobritvijo dostopa. Zaupanje ni nikoli trajno sprejeto ali zagotovljeno, zato je dinamično in preverjeno v kontekstu, kar pomeni, da se lahko spreminja glede na situacijo, lokacijo, čas ali napravo.

Najmanj pravic zagotavlja samo najnižjo raven dostopa, ki je potrebna za določeno opravilo ali vlogo. To načelo zmanjšuje tarčo napada in morebitno škodo zaradi kršitve, saj omejuje izpostavljenost podatkov, infrastrukture, omrežnih virov, aplikacij ali končnih točk samo na tiste, ki jih potrebujejo. Uveljavlja tudi ločevanje dolžnosti in informacij kot potreb po seznanitvi, kar nekaterim zaposlenim preprečuje dostop do zelo občutljivih informacij.

Varnost ničelnega zaupanja razdeli omrežja in infrastrukturo na manjša območja ali segmente glede na občutljivost podatkov, aplikacij, vlog in poslovnih funkcij. Ta ukrep izolira in zaščiti vsa sredstva pred nepooblaščenim ali zlonamernim dostopom ter z omejevanjem premikanja in komunikacije med segmenti zadrži in omeji širjenje kršitve. Mikrosegmentacija izboljšuje tudi učinkovitost delovanja in vidljivost omrežja, saj zmanjšuje preobremenjenost ter omogoča širše spremljanje in nadzor.

Ta zmogljivost omogoča varnostnim ekipam, da spremljajo, ali so v omrežju in infrastrukturi morebitne anomalije ali sumljivo vedenje, ter sprejmejo takojšnje ukrepe za izolacijo ali zmanjšanje tveganja. Sprotno zaznavanje groženj in odzivanje nanje zmanjšujeta vpliv kršitve, hkrati pa ugotavljata in odpravljata temeljni vzrok. Izboljšujeta tudi stanje varnosti organizacije z uporabnimi povratnimi informacijami, ki spodbujajo nenehno prilagajanje in odpornost.

Gradnja varnih temeljev na področju ničelnega zaupanja ni enkraten projekt, ampak neprekinjeno potovanje, ki zahteva strateško vizijo, celosten pristop in kulturni premik.

Ti koraki zagotavljajo široko pot, po kateri lahko organizacije ocenijo, kje trenutno so, kje želijo biti in kako lahko dosežejo svoje varnostne cilje:

Najprej je treba oceniti obstoječe varnostne ukrepe, opredeliti prednosti in pomanjkljivosti ter ugotoviti morebitne vrzeli in potencialna tveganja. Z izvedbo revizije boste lažje razumeli trenutno stanje varnosti in določili prednostne naloge ter ustrezno dodelili sredstva.

Opredelite vse končne točke, aplikacije, infrastrukturo, omrežja, podatke in vire za svoje poslovne dejavnosti, ki bi lahko ob izgubi ali ogrožanju povzročili veliko škodo. Vsako sredstvo razvrstite glede na vrednost, občutljivost in vpliv. Z opredelitvijo ključnih sredstev boste lahko svoja prizadevanja usmerili v zaščito najpomembnejših sredstev.

Ustvarite in dokumentirajte posebna pravila in pravilnike, ki urejajo vaša obrambna področja. Ti pravilniki morajo temeljiti na treh ključnih načelih ničelnega zaupanja: izrecno preverjanje, najmanj pravic in predpostavka kršitve. Ta pravila ne bodo dokončna, vendar pa postavljajo temelje za prihodnost.

Uvedite tehnologije, ki uvajajo in podpirajo pravilnike ničelnega zaupanja, kot so upravljanje identitet in dostopa, šifriranje in zgoščevanje podatkov, segmentacija in izolacija omrežja, zaznavanje groženj in odzivanje nanje ter analitika varnosti in obveščanje. Te rešitve morajo biti integrirane in usklajene z vašimi poslovnimi procesi, sistemi, dejavnostmi ter cilji.

Ko so tehnologije vzpostavljene, poučite zaposlene o pomenu in prednostih varnosti ničelnega zaupanja ter o njihovih vlogah in odgovornostih pri njenem izvajanju in vzdrževanju. Z usposabljanjem in ozaveščanjem zaposlenih lahko pripomorete k oblikovanju kulture večje varnosti in zaupanja ter povečate njihovo sodelovanje in ravnanje skladno s predpisi. S tem usposabljanjem lahko preprečite ali zmanjšate število človeških napak, ki so pogost vzrok za kršitve varnosti.

Ko je vse vzpostavljeno in deluje, načrtujte čas za oceno učinkovitosti varnosti, prepoznavanje morebitnih težav in iskanje priložnosti za izboljšave. S stalnim spremljanjem boste lahko vzdrževali in izboljševali svoje stanje varnosti ter postali bolj odporni, ko se bo okolje groženj sčasoma razvilo.

Z uvedbo temelja ničelnega zaupanja lahko poskrbite tudi za ključne prednosti za UI in svoje podjetje:

Varnost ničelnega zaupanja zagotavlja, da je vse – omrežje, identitete, končne točke, aplikacije, podatki in orodja UI – ves čas zaščiteno, preverjeno in nadzorovano. Z varno umetno inteligenco svojim strankam in partnerjem sporočate zaupanje in verodostojnost, saj tehnologijo uporabljate odgovorno.

Z ogrodjem ničelnega zaupanja lahko lažje izpolnite in presežete regulativne zahteve ter standarde za varnost in zasebnost podatkov, kot so Splošna uredba o varstvu podatkov (GDPR), Kalifornijski zakon o zasebnosti potrošnikov (CCPA) ali zakon HIPAA (Health Insurance Portability and Accountability Act). Omogoča vam tudi, da se pripravite in odzovete na nove ter razvijajoče se predpise o etiki in upravljanju umetne inteligence, kot so zakon o UI Evropske komisije ali načela UI organizacije OECD.

Z uporabo načela "nikoli ne zaupaj, vedno preveri", za svoje podatke lahko povečate zasebnost podatkov za uporabo UI tako, da so dostopni samo pooblaščenim zaposlenim za zakonite namene. Pomaga vam tudi pri spoštovanju in zaščiti pravic ter želja posameznikov, na katere se nanašajo osebni podatki, kot so stranke, zaposleni ali partnerji, saj zagotavlja preglednost, nadzor in soglasje glede njihovih podatkov.

Ta zmogljivost omogoča varnostnim ekipam, da spremljajo, ali so v omrežju in infrastrukturi morebitne anomalije ali sumljivo vedenje, ter sprejmejo takojšnje ukrepe za izolacijo ali zmanjšanje tveganja. Sprotno zaznavanje groženj in odzivanje nanje zmanjšujeta vpliv kršitve, hkrati pa ugotavljata in odpravljata temeljni vzrok. Izboljšujeta tudi stanje varnosti organizacije z uporabnimi povratnimi informacijami, ki spodbujajo nenehno prilagajanje in odpornost.

Raziščite praktične primere uporabe, kako močan temelj ničelnega zaupanja omogoča lažjo integracijo in večjo varnost UI

Ničelno zaupanje lahko zaščiti lastniške algoritme UI, usposobljene modele UI in intelektualno lastnino UI. Poleg tega lahko prepreči nepooblaščen ali zlonameren dostop, spreminjanje ali krajo, kar ohranja njihovo celovitost in pristnost nedotaknjeno. 

• Primer: Zaščitite svoje algoritme UI pri raziskavah in razvoju tako, da razpršite kodo UI, izolirate edinstvena okolja UI in poskrbite, da imajo razvijalci UI samo ustrezno dovoljenje za dostop.

Podatkovni cevovodi UI vključujejo procese in sisteme, ki omogočajo pretok podatkov od zbiranja do analize. Ničelno zaupanje te podatke varuje, preverja in spremlja v njihovem celotnem življenjskem ciklu ter skrbi za ohranjanje njihove kakovosti in točnosti. 

• Primer: Zaščitite pretok podatkov od naprav IoT do platforme v oblaku s sledenjem in preverjanjem vsake naprave IoT, šifriranjem aktivnih in neaktivnih podatkov ter segmentiranjem omrežnih območij, da omejite dvosmerno komunikacijo.

Upravljanje UI vzpostavi ogrodje in postopek, ki zagotavlja, da je uporaba umetne inteligence etična in odgovorna. Z varnostjo ničelnega zaupanja lahko spremljate in nadzorujete dostop ter dejavnosti umetne inteligence, da ohranite skladnost s pravilniki in predpisi podjetja.

• Primer: Spremljajte učinkovitost delovanja in vedenje umetne inteligence s stalnim preverjanjem oseb, ki uporabljajo umetno inteligenco, in njihovih naprav, šifriranjem in razprševanjem rezultatov in dnevnikov umetne inteligence ter izvajanjem sprotnega zaznavanja groženj in odzivanja nanje.

Če ustvarite temelj ničelnega zaupanja z upoštevanjem umetne inteligence, ustvarite model, ki se učinkovito prilagaja zapletenosti sodobnega okolja, vključuje hibridno delo in delo na daljavo ter bolje ščiti zaposlene, njihove naprave, aplikacije in podatke ne glede na to, kje so. Podjetjem omogoča, da samozavestno uporabljajo tehnologije umetne inteligence, ustvarjajo novo vrednost ter si zagotovijo inovacije in prihodnost.

Ničelno zaupanje in UI se medsebojno dopolnjujeta. Organizacije še naprej uvajajo in sprejemajo umetno inteligenco, zato potrebujejo načela ničelnega zaupanja, da zaščitijo sebe in svoje naložbe. Z uvedbo umetne inteligence za avtomatizacijo nekaterih funkcij bo njihovo stanje varnosti postalo bolj zapleteno in dinamično, vendar se bo hkrati zmanjšala obremenitev ekip IT, ki se bodo lahko osredotočile na pomembnejše naloge.

Za učinkovito in varno izkušnjo z umetno inteligenco je ključnega pomena vzpostavitev varnega temelja za ničelno zaupanje. Podjetjem omogoča, da lažje zaščitijo svoja omrežja, končne točke, aplikacije, identitete, podatke in infrastrukturo, izboljšajo učinkovitost umetne inteligence in zmanjšajo tveganja umetne inteligence. Ničelno zaupanje omogoča podjetjem tudi lažjo vzpostavitev zaupanja v njihove sisteme umetne inteligence, izboljšanje skladnosti s predpisi in krepitev zasebnosti podatkov.

Obiščite središče s smernicami za Microsoftovo ničelno zaupanje, kjer najdete več informacij o ustvarjanju varnega temelja ničelnega zaupanja za UI.