एआई गवर्नेंस और साइबर सुरक्षा में सामंजस्य

हाल ही में, सैम ऑल्टमैन वैश्विक एआई विकास पर नियामक पकड़ बनाने के प्रयास में (शायद) दुनिया का दौरा कर रहे हैं। इसमें कोई आश्चर्य नहीं कि OpenAI को ओपन-सोर्स्ड AI बिल्कुल भी पसंद नहीं है। फिर भी, यह पोस्ट एआई विकास के बारे में नहीं है, बल्कि इसकी सुरक्षा और मानकीकरण चुनौतियों के बारे में है। आम तौर पर, एक उन्नत साइबर खतरे का माहौल, साथ ही रक्षकों की साइबर स्थिति जागरूकता और प्रतिक्रिया क्षमताएं (अब से 'सुरक्षा स्वचालन' क्षमताओं के रूप में संदर्भित) दोनों ही स्वचालन और एआई सिस्टम द्वारा अत्यधिक संचालित होते हैं। एक विचार प्राप्त करने के लिए, आज अपने जीमेल की जांच करने और उत्तर देने जैसा सरल कार्य करें, और एआई और स्वचालन की परतों की गणना करें जो उस सरल गतिविधि को सुरक्षित और व्यवस्थित कर सकती हैं।

इस प्रकार, ध्यान देने योग्य आकार और जटिलता वाले सभी संगठनों को अपनी साइबर सुरक्षा नीतियों को प्रभावित करने के लिए सुरक्षा स्वचालन प्रणालियों पर निर्भर रहना पड़ता है। जिस बात को अक्सर नजरअंदाज कर दिया जाता है वह यह है कि कुछ साइबर सुरक्षा " मेटापोलिज़ " भी मौजूद हैं जो इन सुरक्षा स्वचालन प्रणालियों के कार्यान्वयन को सक्षम बनाती हैं। इनमें स्वचालित खतरा डेटा विनिमय तंत्र, अंतर्निहित एट्रिब्यूशन कन्वेंशन और ज्ञान उत्पादन/प्रबंधन प्रणालियाँ शामिल हो सकती हैं। ये सभी विपणक और वकीलों द्वारा अक्सर "सक्रिय रक्षा" या "सक्रिय साइबर सुरक्षा" के रूप में संदर्भित पहचान और प्रतिक्रिया की स्थिति को सक्षम करते हैं। हालाँकि, यदि आप कोई राष्ट्रीय साइबर सुरक्षा नीति चुनते हैं, तो आपको इन मेटापोलिज़ पर कुछ भी खोजने में कठिनाई होगी - क्योंकि वे अक्सर अंतर्निहित होते हैं, बड़े पैमाने पर प्रभाव और नकल (यानी नेटवर्क प्रभाव) द्वारा राष्ट्रीय कार्यान्वयन में लाए जाते हैं और इतना नहीं औपचारिक या रणनीतिक विचार-विमर्श।

ये सुरक्षा स्वचालन मेटापोलिज़ एआई शासन और सुरक्षा के लिए महत्वपूर्ण हैं क्योंकि अंत में, ये सभी एआई सिस्टम, चाहे पूरी तरह से डिजिटल हों या साइबर-भौतिक, व्यापक साइबर सुरक्षा और रणनीतिक मैट्रिक्स के भीतर मौजूद हैं। हमें यह पूछने की ज़रूरत है कि क्या प्रचलित स्वचालन मेटापॉलिसी को फिर से लगाना एआई के भविष्य के लिए अच्छा होगा या नहीं।

पथ निर्भरता से बचना

स्वचालित सूचना प्रणालियों में पथ निर्भरता की प्रवृत्ति को देखते हुए, अब तक जो ठीक काम कर रहा है वह बुद्धिमान/कनेक्टेड वाहन पारिस्थितिकी तंत्र जैसे सुरक्षा स्वचालन के नए और सहायक क्षेत्रों में और अधिक मजबूत हो रहा है। इसके अलावा, सॉफ्टवेयर-ऑन-व्हील्स की सुरक्षा में विकास को पूरी तरह से डिजिटलीकृत टैंकों से लेकर विभिन्न प्रकार के जटिल ऑटोमोटिव सिस्टमों में आसानी से शामिल किया जा रहा है, जो चालक दल के आकार में कमी और स्वचालित बेड़े सुरक्षा प्रबंधन के मानकों के लिए बढ़ी हुई घातकता का वादा करते हैं और ड्रोन परिवहन प्रणाली। नतीजतन, वाहन एसओसी (सुरक्षा संचालन केंद्र) में वृद्धि हुई है जो साइबर सुरक्षा एसओसी की तर्ज पर काम करते हैं और सुरक्षा स्वचालन और सूचना वितरण के समान कार्यान्वयन को उधार लेते हुए समान डेटा विनिमय तंत्र का उपयोग करते हैं। यह बिल्कुल ठीक होगा यदि मौजूदा साधन उभरते खतरे के माहौल में आँख मूँद कर फिर से फिट होने के लिए पर्याप्त हों। लेकिन वे इससे कोसों दूर हैं.

उदाहरण के लिए, अधिकांश साइबर सुरक्षा खतरा डेटा एक्सचेंज ट्रैफिक लाइट प्रोटोकॉल (टीएलपी) का उपयोग करते हैं, हालांकि टीएलपी स्वयं केवल जानकारी का एक वर्गीकरण है - इसका निष्पादन, और इच्छित वितरण को प्रतिबंधित करने के लिए किसी भी एन्क्रिप्शन व्यवस्था को सुरक्षा स्वचालन के डिजाइनरों पर छोड़ दिया जाता है। सिस्टम. इस प्रकार पूर्ण या आंशिक रूप से स्वचालित प्रणालियों के साथ डेटा साझा करने पर न केवल अधिक सूक्ष्म और समृद्ध नियंत्रण की आवश्यकता है, बल्कि इसके अनुपालन को सुनिश्चित करने की भी आवश्यकता है। टीएलपी जैसी अधिकांश ख़तरनाक संचार नीतियां कुख्यात तेलिन मैनुअल के समान हैं, इस तरह से ये लगभग विचारों की अभिव्यक्ति हैं जिन्हें साइबर सुरक्षा विक्रेता लागू करने पर विचार कर सकते हैं, या नहीं भी कर सकते हैं। यह तब और अधिक समस्याग्रस्त हो जाता है जब खतरे के डेटा मानकों से स्वचालित पहचान और प्रतिक्रिया को कवर करने की उम्मीद की जाती है (जैसा कि ऑटोमोटिव और औद्योगिक स्वचालन के मामले में है) - और किसी भी अनुपालन आवश्यकताओं की कमी के लिए एक उपयुक्त डेटा सुरक्षा और विनिमय नीति को एकीकृत किया जा सकता है या नहीं भी किया जा सकता है। इसलिए।

असंगत मेटापोलिज़ियों का एक और उदाहरण, कई अन्य में से, भाषा निर्माण प्रणालियों और संवादात्मक एआई एजेंटों के हालिया उदय में पाया जा सकता है। बात यह है कि सभी संवादी एजेंट चैटजीपीटी-एस्क बड़े तंत्रिका नेटवर्क नहीं हैं। इनमें से अधिकांश दशकों से नियम-आधारित, कार्य-विशिष्ट भाषा निर्माण कार्यक्रमों के रूप में तैनात हैं। ऐसे कार्यक्रमों के बीच संवाद मॉडलिंग और संदर्भ के ग्राफ-आधारित प्रतिनिधित्व द्वारा एक "सामान्य संचालन चित्र" रखना (जैसा कि कई डोमेन/थिएटर में काम करने वाले संगठन को आवश्यकता हो सकती है) दुनिया के सामने एक सतत चुनौती थी कि "आपको केवल ध्यान देने की आवश्यकता है"। तो अब मूल रूप से हमारे पास मानव-मशीन इंटरफ़ेस में विरासत आईटी बुनियादी ढांचे और एक मल्टी-मोडल एआई स्वचालन प्रतिमान है जो इसे चुनौती देता है। "डिजिटल परिवर्तन" से गुजर रहे संगठनों को न केवल विरासत में मिले तकनीकी ऋणों से बचना होगा, बल्कि एआई-केंद्रित डिलीवरी मॉडल को कुशलतापूर्वक संचालित करने के लिए संसाधनों और संगठनात्मक आवश्यकताओं पर भी विचार करना होगा। जाहिर है, कुछ संगठन (सरकारों सहित) तुरंत पूर्ण परिवर्तन नहीं चाहेंगे। उभरती और पुरानी स्वचालित प्रणालियों के बीच मानकीकृत डेटा और संदर्भ विनिमय की कमी के कारण, कई उपयोगकर्ता उस प्रतिमान के साथ जारी रहने की संभावना रखते हैं जिससे वे सबसे अधिक परिचित हैं, न कि वह जो सबसे क्रांतिकारी है।

वास्तव में आज साइबर सुरक्षा का अधिकांश हिस्सा इन समय पर डेटा एक्सचेंजों और स्वचालित ऑर्केस्ट्रेशन पर निर्भर करता है, और इस प्रकार ये अंतर्निहित सूचना मानक आधुनिक (उत्तर-औद्योगिक) समाजों और साइबर-भौतिक प्रणालियों के शासन के लिए बिल्कुल महत्वपूर्ण हो जाते हैं। फिर भी, हाइपर-कनेक्टेड और अंतरराष्ट्रीय खतरे वाले माहौल में एआई सुरक्षा को नियंत्रित करने के लिए आवश्यक ज्ञान उत्पादन रूपक नीतियों को तैयार करने या उनमें सामंजस्य स्थापित करने के बजाय - हम अस्तित्वगत मुक्ति और अंतहीन अलौकिक घाटियों के विनाशकारी जाल में फंसते दिख रहे हैं। जैसा कि कहा गया है, सुरक्षा डेटा उत्पादन में अनुपालन की कमी और अराजक मानक विकास परिदृश्य का एक प्राथमिक कारण प्राथमिक प्रशासन एजेंट की कमी है।

(साइबर) सुरक्षा सूचना का शासन

वर्तमान स्वचालन-केंद्रित साइबर खतरा सूचना-साझाकरण मानक आम तौर पर एक बहुहितधारक शासन मॉडल का पालन करते हैं। इसका मतलब है कि ये मूल रूप से नीचे से ऊपर जीवन-चक्र दृष्टिकोण का पालन करते हैं, यानी एक साइबर सुरक्षा सूचना मानक विकसित किया जाता है और फिर आईटीयू और आईएसओ के साथ क्रॉस-मानकीकरण के लिए इसे "ऊपर की ओर" धकेला जाता है। तकनीकी मानकों की यह ऊर्ध्वगामी गतिशीलता आसान नहीं है। स्ट्रक्चर्ड थ्रेट इंफॉर्मेशन एक्सप्रेशन (STIX), जो शायद अब मशीन-पठनीय साइबर थ्रेट इंटेलिजेंस (CTI) प्रसारित करने के लिए वास्तविक उद्योग मानक है, अभी भी ITU से अनुमोदन की प्रतीक्षा कर रहा है। ऐसा नहीं है कि इसकी वास्तव में आवश्यकता है, क्योंकि जिस तरह से प्रौद्योगिकी में वैश्विक शासन की संरचना की गई है, उसका नेतृत्व उद्योग द्वारा किया जाता है, न कि राष्ट्रों द्वारा। जी7 इसे औपचारिक रूप देने की हद तक चला गया है, और कुछ सदस्य किसी भी अलग मानदंड के लिए किसी भी राजनयिक प्रयास को भी रोक रहे हैं ।

यह उन राष्ट्र-राज्यों के लिए अच्छा काम करता है जिनके पास सार्वजनिक-निजी प्रौद्योगिकी भागीदारी के भीतर अपेक्षित संरचनात्मक और उत्पादक क्षमताएं हैं। परिणामस्वरूप, साइबर प्रौद्योगिकी मानकों का वैश्विक प्रशासन वैश्विक व्यवस्था का प्रतिबिंब बन जाता है। साइबर खतरे वाले अभिनेताओं का नाम बताए बिना, यह अभी भी स्वभाव से अपेक्षाकृत उद्देश्यपूर्ण रहा है। लेकिन आक्रामक साइबर संचालन और राष्ट्रीय साइबर सुरक्षा नीतियों में ऑनलाइन दुष्प्रचार के एकीकरण के साथ यह अब सच नहीं है - न केवल पारंपरिक सूचना मानक अर्थ संबंधी संघर्षों में चल सकते हैं, सूचना पर्यावरण पर नए मूल्य-संचालित मानक भी सामने आ रहे हैं। चूंकि स्वचालन-संचालित सामाजिक/राजनीतिक खतरे संकेतकों का उत्पादन और साझाकरण राजनीतिक प्राथमिकताओं को आकार दे सकता है और उन्हें प्रभावित कर सकता है, जैसे-जैसे एआई उत्पन्न जानकारी और सामाजिक बॉटनेट के खतरे बढ़ते हैं, साइबर सुरक्षा खतरे की जानकारी के मानक भी पर्याप्त उद्देश्य से अधिक व्यक्तिपरक की ओर खिसक जाते हैं। आसन। और राज्य इस वर्तमान प्रणाली को पुन: कॉन्फ़िगर करने के लिए बहुत कम कर सकते हैं क्योंकि साइबर सुरक्षा मानकों की राजनीति उनके बाजार के नेतृत्व वाले बहुहितधारक विकास के साथ गहराई से जुड़ी हुई है।

साइबर ख़तरे का आरोप एक अच्छा मामला है। MITER एक DARPA ठेकेदार के रूप में शुरू हुआ, और आज कंप्यूटर नेटवर्क खतरों और कमजोरियों के लिए एक उद्योग व्यापी वास्तविक ज्ञान आधार के रूप में कार्य करता है। MITER ATT&CK में सूचीबद्ध एडवांस्ड पर्सिस्टेंट थ्रेट समूहों में से, लगभग 1/3 साइबर खतरे चीनी हैं, अन्य 1/3 रूस/कोरिया/मध्य-पूर्व/भारत/दक्षिण-अमेरिका आदि से आते हैं, और शेष 1/3 ( जिसमें सबसे परिष्कृत टीटीपी, शून्य-दिवसीय शोषण का सबसे बड़ा हिस्सा और भू-राजनीतिक रूप से संरेखित लक्ष्य शामिल हैं) जिम्मेदार नहीं हैं। हम यहां अटकलें नहीं लगाएंगे, लेकिन अज्ञात खतरे के समूह के बारे में एक अपमानजनक तर्क पाठकों को वैश्विक सीटीआई उत्पादन की प्राथमिकताओं और राजनीति के बारे में कुछ विचार दे सकता है।

जीवन का एक तथ्य यह है कि साइबरस्पेस में सत्ता चाहने वाले राज्य भूमिका निभाते रहे हैं

एक ही समय में शासन करने वाले अभिनेता और परिष्कृत अपराधी, इसलिए इस बाजार के नेतृत्व वाले बहुहितधारकवाद ने उनके परिचालन तर्क के लिए अच्छा काम किया है - अंतरसंचालनीयता की वैश्विक राजनीति की घोषणा की है। लेकिन यह साइबर खतरे के ज्ञान के उत्पादन और सुरक्षा स्वचालन के लिए बुरा है, जो कभी-कभी इंटरनेट पर काफी पक्षपाती और राजनीति से प्रेरित हो सकता है। समाज इस रास्ते पर इतने लंबे समय से चल रहा है कि तेजी से स्वायत्त प्रणालियों से घिरी दुनिया में जाने पर इसे एक समस्या के रूप में सोचा भी नहीं है।

आगे का रास्ता

सामाजिक एआई जोखिम बड़े होने के साथ, आज एक रक्षात्मक साइबर सुरक्षा स्वचालन स्थिति को लागू करने का इरादा रखने वाले राज्यों को साइबर सुरक्षा खतरे की जानकारी, कई सीटीआई विक्रेताओं और मेटापोलिज़ के साथ-साथ उद्योग और अंतरराष्ट्रीय दबाव में उच्च सिग्नल-टू-शोर अनुपात को नेविगेट करना पड़ सकता है। "एआई नैतिकता" और "साइबर मानदंडों" के बारे में संगठन (हम यहां "किसकी नैतिकता?" की चर्चा में शामिल नहीं होंगे)। जैसा कि हमने देखा, यह अराजकता बॉटम-अप दृष्टिकोण के डिज़ाइन का परिणाम है। हालाँकि, ऊपर से नीचे के दृष्टिकोण में नीचे से ऊपर के दृष्टिकोण के लचीलेपन और चपलता की कमी हो सकती है। इस कारण से, सर्वोत्तम बहुहितधारकवाद को सर्वोत्तम बहुपक्षवाद के साथ एकीकृत करना आवश्यक है।

इसका मतलब बहुपक्षीय दृष्टि और ढांचे के तहत सूचना मानकों की वर्तमान निचली-ऊपर व्यवस्था को तर्कसंगत बनाना होगा। हालाँकि हम डेटा उत्पादन के पक्षपातपूर्ण खतरों से बचना चाहते हैं, हम उद्योग विशेषज्ञता के असमान पूल का भी उपयोग करना चाहते हैं जिसके लिए समन्वय, समाधान और संचालन की आवश्यकता होती है। जबकि संयुक्त राष्ट्र के कुछ अंग, जैसे आईटीयू और यूएनडीआईआर, वैश्विक साइबर सुरक्षा मेटापोलिज़ में एक महत्वपूर्ण भूमिका निभाते हैं - उनके पास इंटरनेट पर दुर्भावनापूर्ण सामाजिक एआई को नियंत्रित करने या खतरे को साझा करने पर किसी भी मेटापोलिसी नियंत्रण को लागू करने के लिए आवश्यक टॉप-डाउन नियामक प्रभाव नहीं है। वितरित स्वायत्त मंच। इसलिए, बहुपक्षवाद के साथ बहुहितधारकवाद का यह एकीकरण यूएनएससी, या किसी अन्य समकक्ष अंतरराष्ट्रीय सुरक्षा संगठन से ही शुरू होने की जरूरत है।

ऐसा नहीं है कि यह अप्रत्याशित था. जब 1998 में सूचना प्रौद्योगिकी, विशेष रूप से इंटरनेट का आकलन करते हुए पहला संयुक्त राष्ट्र प्रस्ताव बनाया गया था, तो कुछ देशों ने स्पष्ट रूप से बताया था कि ये प्रौद्योगिकियां अंतरराष्ट्रीय सुरक्षा और स्थिरता के लिए प्रतिकूल होंगी, जो अंतरराष्ट्रीय सुरक्षा के उच्चतम स्तर पर आवश्यक सुधारों की ओर इशारा करती हैं। दरअसल, एक संस्था के रूप में यूएनएससी डिजिटल प्रौद्योगिकियों और इंटरनेट के बाद की सुरक्षा वास्तविकता के साथ अच्छी तरह से विकसित नहीं हुआ है। राज्य-संबद्ध एपीटी संचालन का अप्रतिबंधित प्रसार राज्य की अस्थिर गतिविधियों को विनियमित करने में इसकी विफलता का एक उदाहरण है। इसके अलावा, जबकि परिषद अभी भी रणनीतिक सुरक्षा के 1945 के दृष्टिकोण में फंसी हुई है, रणनीतिक रूप से तैनात आक्रामक साइबर और एआई क्षमताओं के प्रकाश में "राज्य हिंसा" के विचार को स्थानांतरित करने के लिए पर्याप्त कारण और सबूत हैं।

हालांकि वैश्विक व्यवस्था और इसकी जड़ें जमा चुकी नौकरशाही के लचीलेपन पर काबू पाना आसान नहीं है, लेकिन अगर इसके चार्टर और संरचना में सुधार किया जाए, तो परिषद (या इसका प्रतिस्थापन) एक मूल्यवान संस्था के रूप में काम कर सकती है, जो एक की कमी से उभरने वाले शून्य को भर सकती है। साइबरस्पेस में सुरक्षा स्वचालन और एआई अनुप्रयोगों को चलाने वाले सुरक्षा और शासन मानकों का मार्गदर्शन करने में प्राथमिक एजेंट।

यह प्रक्रिया है

इस बिंदु पर, यह आवश्यक है कि हम कुछ गलतफहमियों को दूर करें। ऐसा लगता है कि नियामकों के पास "एआई उत्पादों" को नियंत्रित करने के बारे में कुछ विचार हैं, कम से कम ईयू का एआई अधिनियम भी यही सुझाव देता है । यहां हमें "एआई" या "स्वायत्त व्यवहार" क्या है, इस पर विचार करने के लिए कुछ क्षण मौन रहना चाहिए - और यह जल्द ही हममें से अधिकांश को समझ में आ जाएगा कि उत्पादों को प्रमाणित करने के वर्तमान तरीके अंतर्निहित अनुकूली प्रणालियों को संबोधित करने के लिए पर्याप्त नहीं हो सकते हैं। वास्तविक दुनिया के साथ निरंतर सीखना और डेटा का आदान-प्रदान करना। हम जो कहना चाह रहे हैं वह यह है कि नियामकों को एआई को विनियमित करने के लिए उत्पाद-केंद्रित बनाम प्रक्रिया-केंद्रित दृष्टिकोण के पेशेवरों और विपक्षों पर गंभीरता से विचार करने की आवश्यकता है।

एआई, अंततः, एक परिणाम है। यह अंतर्निहित प्रक्रियाएं और नीतियां हैं, डेटा इंजीनियरिंग प्रथाओं और मॉडल आर्किटेक्चर से लेकर मशीन-टू-मशीन सूचना आदान-प्रदान और अनुकूलन तंत्र तक, जहां शासन और मानकों पर ध्यान केंद्रित करने की आवश्यकता है, न कि परिणाम पर। इसके अलावा, जैसे-जैसे सॉफ़्टवेयर ऑब्जेक्ट-ओरिएंटेड से एजेंट-ओरिएंटेड इंजीनियरिंग प्रतिमान में बदलता है, नियामकों को कोड के संदर्भ में नीति और कोड के संदर्भ में नीति के बारे में सोचना शुरू करना होगा - कुछ भी अन्यथा हमेशा इरादे और कार्यान्वयन के बीच एक बड़ा अंतर छोड़ देगा।

यदि आज के मल्टीस्टेकहोल्डर साइबर सिक्योरिटी गवर्नेंस की उपरोक्त अराजकता को देखा जाए, तो एआई सुरक्षा और गवर्नेंस के लिए हमें साक्ष्य-आधारित (डेटा पर विचार करें जिससे अंतिम सीटीआई हुई, और नए प्रकार के तकनीकी साक्ष्य के साथ जुड़ना) खतरा डेटा ऑर्केस्ट्रेशन, रनटाइम सत्यापन की आवश्यकता है साइबर रक्षा और सुरक्षा प्रणालियों में एआई-संचालित स्वचालन, साइबर खतरे की सूचना प्रशासन के लिए स्पष्ट गैर-पक्षपातपूर्ण चैनल और मानक और उस पर एक बहुपक्षीय सहमति। अकेले अंतिम एआई उत्पाद पर ध्यान केंद्रित करने से बहुत कुछ अनदेखा और संभावित रूप से पक्षपातपूर्ण हो सकता है - जैसा कि हम दुनिया भर में सुरक्षा स्वचालन प्रणालियों को संचालित करने वाली सूचना मेटापॉलिसी के पारिस्थितिकी तंत्र से देखते हैं - इसलिए हमें उन अंतर्निहित प्रक्रियाओं और नीतियों को बेहतर ढंग से नियंत्रित करने पर ध्यान केंद्रित करने की आवश्यकता है जो इन प्रणालियों को संचालित करती हैं, न कि उन प्रक्रियाओं और नीतियों के परिणाम।