Sommario
L’intelligenza artificiale (IA) è al centro dell’attenzione per le sue potenzialità nel risolvere problemi di grande portata come il cambiamento climatico, ma anche per i rischi che può comportare per la civiltà umana. In questo contesto, i CISO (Chief Information Security Officer) hanno un bisogno urgente di orientamento pratico su come stabilire pratiche di sicurezza dell’IA per difendere le loro organizzazioni.
I rischi dell’IA: una questione di attualità
Il 30 maggio 2023, il Center for AI Safety ha pubblicato una lettera aperta firmata da oltre 350 scienziati e leader aziendali, mettendo in guardia sui potenziali pericoli estremi posti dall’IA. Tuttavia, temere il peggio ipotetico potrebbe distogliere l’attenzione dai rischi dell’IA che già affrontiamo oggi, come il pregiudizio interno e la creazione di fatti inventati. Un esempio recente è un memoriale legale generato da un avvocato tramite IA, che conteneva casi completamente inventati.
Politiche di sicurezza dell’IA: una necessità per le organizzazioni
Gli esperti di sicurezza IT aziendale hanno imparato a proprie spese che la proibizione dell’uso di determinati software e dispositivi di solito si ritorce contro e può addirittura aumentare il rischio per l’impresa. Di fronte a questo, i CISO devono fornire alle persone l’accesso agli strumenti di IA supportati da politiche sensate su come utilizzarli. Tuttavia, non esistono ancora approcci standard per la sicurezza dell’IA.
Quattro considerazioni chiave sulla politica di sicurezza dell’IA
Data la natura dei rischi delineati, proteggere la privacy e l’integrità dei dati aziendali sono obiettivi ovvi per la sicurezza dell’IA. Pertanto, ogni politica aziendale dovrebbe, almeno:
- Proibire la condivisione di informazioni sensibili o private con piattaforme AI pubbliche o soluzioni di terze parti al di fuori del controllo dell’impresa.
- Non “incrociare i flussi”. Mantenere regole chiare di separazione per diversi tipi di dati, in modo che le informazioni personali identificabili e qualsiasi cosa soggetta a protezione legale o normativa non sia mai combinata con dati che possono essere condivisi con il pubblico.
- Validare o verificare qualsiasi informazione generata da una piattaforma AI per confermare che sia vera e accurata.
- Adottare — e adattare — un atteggiamento di zero trust. Il concetto di zerotrust. Il concetto di zero trust implica l’adozione di una mentalità che non presume la sicurezza di nessun sistema o individuo, richiedendo invece un costante controllo e verifica di ogni attività e accesso. In che modo si può implementare efficacemente un approccio di zero trust in un’organizzazione e quali sono i vantaggi e le sfide associate a tale strategia?
Scegliere gli strumenti giusti
Le politiche di sicurezza dell’IA possono essere supportate e applicate con la tecnologia. Nuovi strumenti di IA stanno venendo sviluppati per aiutare a individuare truffe e schemi generati da IA, testi plagiati e altri abusi. Questi saranno eventualmente impiegati per monitorare l’attività di rete, agendo quasi come radar o telecamere per semafori rossi per individuare l’attività malintenzionata dell’IA.
Conoscere i propri limiti
Oltre a definire politiche aziendali intelligenti per la sicurezza dell’IA e a sfruttare appieno gli strumenti attuali e innovativi man mano che emergono, le organizzazioni dovrebbero specificare il grado di rischio che sono disposte a tollerare per sfruttare le capacità dell’IA. La storia dell’IA è appena iniziata e nessuno ha una presa sicura su ciò che il futuro riserva. Ciò che è chiaro è che l’IA è qui per restare e, nonostante i suoi rischi, ha molto da offrire se la costruiamo e la usiamo saggiamente.