CISA запускает оповещения Secure by Design

Агентство по безопасности инфраструктуры кибербезопасности обещает пойти «влево от бума» и следить за практикой разработки программного обеспечения для искусственного интеллекта в новой серии предупреждений, которая предлагает уроки для изучения, требует от индустрии программного обеспечения «радикальной прозрачности» и предлагает конкретные действия для них. брать. Цель состоит в том, чтобы подтолкнуть отрасль к оценке жизненного цикла разработки программного обеспечения с точки зрения результатов в области безопасности клиентов.

Новая информационная кампания CISA также последовала за выпуском добровольных глобальных рекомендаций по разработке безопасных систем искусственного интеллекта.

ПОЧЕМУ ЭТО ВАЖНО

Первое предупреждение Secure by Design, выпущенное CISA 29 ноября, указывает на уязвимости интерфейса веб-управления. Он просит производителей программного обеспечения опубликовать дорожную карту безопасности, чтобы защитить своих клиентов от вредоносной киберактивности.

«Производители программного обеспечения должны принять принципы, изложенные в Изменение баланса рисков кибербезопасности“, – сообщили в агентстве.

Такая дорожная карта «демонстрирует, что они не просто внедряют тактические меры контроля, но и переосмысливают свою роль в обеспечении безопасности клиентов».

Объявление ряд на Блог CISAЭрик Гольдштейн, исполнительный помощник директора по кибербезопасности, и Боб Лорд, старший технический советник, пролили свет на то, почему агентство делает это.

«Выявляя общие закономерности в проектировании и настройке программного обеспечения, которые часто приводят к компрометации организаций клиентов, мы надеемся привлечь внимание к областям, требующим срочного внимания», — написали они.

Короче говоря, CISA заявила, что хочет подтолкнуть отрасль к оценке жизненного цикла разработки программного обеспечения на предмет того, как он соотносится с «результатами безопасности клиентов».

Для отрасли здравоохранения последствия уязвимостей стороннего программного обеспечения имеют катастрофические последствия для отдельных систем здравоохранения, а также для отрасли здравоохранения в целом. Половина атак программ-вымогателей в 2016–2021 годах нарушили работу системы здравоохранения.по словам одного ДЖАМА изучать

Лидеры кибербезопасности уже давно обращают внимание на бдительность в области кибергигиены, и построение культуры, ориентированной на безопасность в организациях здравоохранения – стратегия, которая защищает пользователей программного обеспечения во время развертывания продуктов и за его пределами.

Но когда дело доходит до искусственного интеллекта, CISA и ее партнерские агентства, как внутри страны, так и за рубежом, хотят работать дальше.

«Нам необходимо выявить повторяющиеся классы дефектов, которые производители программного обеспечения должны устранить, выполнив анализ первопричин, а затем внеся системные изменения для устранения этих классов уязвимостей», — пишут Гольдштейн и Лорд.

Глобальные агентства по кибербезопасности обращаются к разработчикам любых систем, использующих ИИ, для принятия обоснованных решений в области кибербезопасности на каждом этапе процесса разработки. Они разработали новые руководящие принципы под руководством CISA и Министерства внутренней безопасности совместно с Национальным центром кибербезопасности Соединенного Королевства.

«Мы находимся на переломном этапе в развитии искусственного интеллекта, который вполне может стать наиболее значимой технологией нашего времени. Кибербезопасность является ключом к созданию систем искусственного интеллекта, которые будут безопасными, надежными и заслуживающими доверия», — сказал министр внутренней безопасности Алехандро Н. Майоркас в заявлении о «Руководстве по разработке безопасных систем искусственного интеллекта», опубликованном на прошлой неделе.

«Благодаря интеграции принципов «безопасности при проектировании» эти рекомендации представляют собой историческое соглашение, в которое разработчики должны инвестировать, защищая клиентов на каждом этапе проектирования и разработки системы».

«Выпуск «Руководства по безопасной разработке систем искусственного интеллекта» знаменует собой ключевую веху в нашем коллективном обязательстве — правительств всего мира — обеспечить разработку и внедрение возможностей искусственного интеллекта, которые безопасны по своей конструкции», — добавила директор CISA Джен Истерли. «Поскольку страны и организации осознают преобразующую силу искусственного интеллекта, это международное сотрудничество, возглавляемое CISA и NCSC, подчеркивает глобальную приверженность обеспечению прозрачности, подотчетности и безопасной практики».

В руководящих принципах жизненный цикл разработки системы искусственного интеллекта разбит на четыре части: безопасное проектирование, безопасная разработка, безопасное развертывание и безопасная эксплуатация и обслуживание.

«Мы знаем, что искусственный интеллект развивается феноменальными темпами, и чтобы не отставать, необходимы согласованные международные действия правительств и промышленности», — сказала Линди Кэмерон, генеральный директор NCSC.

«Эти рекомендации знаменуют собой значительный шаг в формировании действительно глобального, общего понимания киберрисков и стратегий их смягчения, связанных с ИИ, чтобы гарантировать, что безопасность является не постскриптумом к развитию, а основным требованием во всем».

БОЛЬШОЙ ТРЕНД

В мае «Большая семерка», Канада, Франция, Германия, Италия, Япония, Великобритания и США призвали принять международные технические стандарты для ИИ и согласовали Кодекс поведения AI для компаний в октябре.

В том же месяце президент США Джо Байден также опубликовал указ который поручил DHS способствовать принятию стандартов безопасности ИИ во всем мире и призвал службы здравоохранения и социальных служб США разработать программу безопасности ИИ.

На прошлой неделе CISA также опубликовало свой Дорожная карта искусственного интеллектакоторый соответствует национальной стратегии Байдена по продвижению полезного использования ИИ для повышения возможностей кибербезопасности, обеспечения кибербезопасности систем ИИ и защиты от злонамеренного использования ИИ для угрозы критической инфраструктуре, включая здравоохранение.

ПОД ЗАПИСЬ

«Нам необходимо выявить причины, по которым клиенты регулярно упускают возможности развертывания программных продуктов с правильными настройками, чтобы снизить вероятность компрометации», — написали Гольдштейн и Лорд в блоге CISA. «Подобные повторяющиеся шаблоны должны привести к улучшениям продукта, которые сделают безопасные настройки стандартными, а не к более строгим рекомендациям для клиентов в «руководствах по усилению защиты».

Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.