Af Eskil Sørensen, 30/04/24
CISA, det amerikanske cybersikkerhedsagentur, har udrullet en række retningslinjer, der har til formål at styrke sikkerheden i kritisk infrastruktur mod AI-relaterede trusler.
CISAs retningslinjer tager udgangspunkt i tre trusselstyper inden for AI: Brugen af AI i angreb på infrastruktur, målrettede angreb på AI-systemer selv og fejl inden for AI-design og -implementering, der kan bringe infrastrukturdrift i fare.
CISA-retningslinjerne centrerer sig om at virksomheder skal have robust organisationskultur omkring risikostyringen ift. AI. Organisationskulturen skal understrege vigtigheden af sikkerhed, fremme transpararens og understøtte strukturer, der prioriterer sikkerhed som et forretningsparamenter.
Retningslinjerne opfordrer også til, at organisationer har fokus på kortlægning af brugen af AI, så risikohåndteringen kan skræddersys i den kontekst og risici kan minimeres.
CISA ønsker også implementering af systemer, der kan vurdere, analysere og løbende overvåge AI-risici og deres påvirkninger – bl.a. ved brug af målemetoder, der kan gentages mhp. måling af udviklingen over tid. Endelig opfordres ledelsen til at handle ”beslutsomt” på identificerede AI-risici og sikre, at kontroller til risikostyring vedligeholdes, så fordelene ved brug af AI-systemer optimeres, samtidig med at negative konsekvenser minimeres.
Det fremgår af publikationen ”MITIGATING ARTIFICIAL INTELLIGENCE (AI) RISK: Safety and Security Guidelines for Critical Infrastructure Owners and Operators”, at retningslinjerne gælder alle kritiske infrastruktursektorer. Da AI-risici er meget kontekstuelle bør ejere og operatører af kritisk infrastruktur overveje, hvordan retningslinjer kan anvendes inden for deres specifikke forhold. Som det er med alt andet sikkerhedsarbejde, har man lyst til at tilføje.
Selv om AI er nyt og i manges øjne repræsenterer en revolution ift. en lang række effektiviseringsforhold, så ændrer det ikke på den grundlæggende sikkerhedsforståelse: Trusler og beskyttelse skal sættes i relation til den enkelte organisations vilkår og forretning. Heller ikke AI er et mirakelmiddel for højere sikkerhed.