Yapay Zeka Yönetişimi ile Siber Güvenliği Uzlaştırma

Son zamanlarda Sam Altman , küresel yapay zeka gelişmelerini (belki de) düzenleyici açıdan ele geçirmek amacıyla dünyayı dolaşıyor. OpenAI'nin açık kaynaklı yapay zekayı hiç sevmemesine şaşmamak gerek. Bununla birlikte, bu yazı yapay zeka gelişimiyle ilgili değil, güvenlik ve standardizasyon zorluklarıyla ilgili. Genel olarak gelişmiş bir siber tehdit ortamının yanı sıra savunucuların siber durum farkındalığı ve müdahale yetenekleri (bundan böyle birlikte 'güvenlik otomasyonu' yetenekleri olarak anılacaktır) büyük oranda otomasyon ve yapay zeka sistemleri tarafından yönlendirilmektedir. Bir fikir edinmek için, Gmail'inizi bugün kontrol edip yanıtlamak kadar basit bir şeyi ele alın ve bu basit etkinliğin güvenliğini sağlayıp yönetebilecek yapay zeka ve otomasyon katmanlarını sıralayın.

Bu nedenle, gözle görülür boyut ve karmaşıklığa sahip tüm kuruluşlar, siber güvenlik politikalarını etkilemek için güvenlik otomasyon sistemlerine güvenmek zorundadır. Çoğu zaman gözden kaçırılan şey, bu güvenlik otomasyon sistemlerinin uygulanmasını sağlayan bazı siber güvenlik “ meta politikalarının ” da mevcut olduğudur. Bunlar, otomatikleştirilmiş tehdit veri alışverişi mekanizmalarını, temel atıf kurallarını ve bilgi üretimi/yönetim sistemlerini içerebilir. Tüm bunlar, pazarlamacılar ve avukatlar tarafından sıklıkla "aktif savunma" veya "proaktif siber güvenlik" olarak adlandırılan bir tespit ve müdahale duruşunu mümkün kılar. Bununla birlikte, herhangi bir ulusal siber güvenlik politikasını seçerseniz, bu metapolitikalar hakkında herhangi bir şey bulmakta zorlanacaksınız; çünkü bunlar genellikle üstü kapalıdır ve ulusal uygulamalara büyük ölçüde etki ve taklit (yani ağ etkileri) yoluyla getirilir ve çok fazla etki yoluyla gerçekleştirilmez. resmi veya stratejik müzakereler.

Bu güvenlik otomasyonu meta politikaları yapay zeka yönetişimi ve güvenliği açısından önemlidir çünkü sonuçta ister tamamen dijital ister siber-fiziksel olsun tüm bu yapay zeka sistemleri daha geniş bir siber güvenlik ve stratejik matris içinde yer alır. Yaygın otomasyon metapolitikalarını iyileştirmenin yapay zekanın geleceğine iyi hizmet edip etmeyeceğini sormamız gerekiyor.

Yol Bağımlılığından Kaçınmak

Otomatik bilgi sistemlerinde yol bağımlılığına yönelik eğilim göz önüne alındığında, şu ana kadar iyi sonuç veren şey, akıllı/bağlantılı araç ekosistemi gibi güvenlik otomasyonunun daha yeni ve yardımcı alanlarına daha da yerleşmesi oldu. Dahası, tekerlekli yazılımların güvenliğindeki gelişmeler, mürettebat sayısının azaltılması ve ölümcüllüğün artması vaadini taşıyan tamamen dijitalleştirilmiş tanklardan , otomatik filo güvenlik yönetimi ve güvenlik standartlarına kadar çeşitli karmaşık otomotiv sistemlerinde kolaylıkla benimseniyor. drone ulaşım sistemleri. Sonuç olarak, siber güvenlik SOC'leri doğrultusunda çalışan ve benzer veri değişim mekanizmalarını kullanan, aynı güvenlik otomasyonu ve bilgi dağıtımı uygulamalarını ödünç alan araç SOC'lerinde (Güvenlik Operasyon Merkezleri) bir artış var. Mevcut araçlar, ortaya çıkan tehdit ortamına körü körüne uyum sağlamaya yetecek kadar iyi olsaydı, bu tamamen iyi olurdu. Ama onlar bundan çok uzaktalar.

Örneğin, çoğu siber güvenlik tehdidi veri alışverişi Trafik Işığı Protokolü'nü (TLP) kullanır, ancak TLP'nin kendisi yalnızca bir bilgi sınıflandırmasıdır; yürütülmesi ve dağıtımı amaçlandığı şekilde sınırlandıracak herhangi bir şifreleme rejimi, güvenlik otomasyonu tasarımcılarına bırakılmıştır. sistemler. Bu nedenle, tamamen veya kısmen otomatikleştirilmiş sistemlerle veri paylaşımı üzerinde yalnızca daha ayrıntılı ve daha zengin kontrollere değil, aynı zamanda buna uygunluğun sağlanmasına da ihtiyaç vardır. TLP gibi tehdit iletişimi politikalarının çoğu, kötü şöhretli Tallinn kılavuzuna benzer; bunlar neredeyse siber güvenlik tedarikçilerinin uygulamayı düşünebileceği veya uygulamayabileceği fikirlerin bir ifadesidir. Tehdit veri standartlarının otomatik tespit ve müdahaleyi kapsaması beklendiğinde (otomotiv ve endüstriyel otomasyonda olduğu gibi) ve herhangi bir uyumluluk gerekliliğinin bulunmaması nedeniyle uygun bir veri güvenliği ve değişim politikası entegre edilmiş veya edilmemiş olabilirse durum daha da sorunlu hale gelir. Bu yüzden.

Tutarsız metapolitikaların bir başka örneği, çok sayıdaki metapolitikanın arasında, son zamanlarda dil üretme sistemleri ve konuşmaya dayalı yapay zeka aracılarının yükselişinde bulunabilir. Sorun şu ki, tüm konuşma aracıları ChatGPT benzeri büyük sinir ağları değildir. Bunların çoğu onlarca yıldır kurallara dayalı, göreve özgü dil oluşturma programları olarak kullanılıyor. Bu tür programlar arasında diyalog modelleme ve bağlamın grafik tabanlı temsili yoluyla "ortak bir çalışma resmine" sahip olmak (birden fazla alanda/tiyatroda faaliyet gösteren bir kuruluşun gerektirebileceği gibi), dünya "ihtiyacınız olan tek şey dikkattir" fikriyle karşılaşmadan önce devam eden bir zorluktu. Yani artık temel olarak insan-makine arayüzünde çok sayıda eski BT altyapısına ve buna meydan okuyan çok modlu bir yapay zeka otomasyon paradigmasına sahibiz. "Dijital dönüşüm" geçiren kuruluşların yalnızca eski teknik borçları devralmaktan kaçınmaları değil, aynı zamanda yapay zeka merkezli bir dağıtım modelini verimli bir şekilde işletmek için kaynakları ve organizasyonel gereksinimleri de dikkate almaları gerekiyor. Anlaşılır bir şekilde, bazı kuruluşlar (hükümetler dahil) tam bir dönüşümü hemen istemeyebilir. Yeni ortaya çıkan ve eski otomatik sistemler arasında standartlaştırılmış veri ve içerik alışverişinin olmaması nedeniyle birçok kullanıcı, en devrimci olanı değil, en aşina oldukları paradigmayı kullanmaya devam edecek gibi görünüyor.

Aslında günümüzde siber güvenliğin büyük bir kısmı bu zamanında veri alışverişine ve otomatik düzenlemeye dayanmaktadır ve dolayısıyla bu temel bilgi standartları, modern (post-endüstriyel) toplumlar ve siber-fiziksel sistemlerin yönetimi için kesinlikle kritik hale gelmektedir. Ancak hiper bağlantılı ve ulusötesi bir tehdit ortamında yapay zeka güvenliğini yönetmek için gereken bilgi üretimi metapolitikalarını formüle etmek veya uyumlu hale getirmek yerine, varoluşsal kurtuluşun ve bitmeyen tekinsiz vadilerin felaket tuzaklarına düşüyor gibiyiz. Bununla birlikte, güvenlik verileri üretiminde uyumluluk eksikliğinin ve kaotik standart geliştirme senaryosunun temel nedenlerinden biri, birincil yönetişim aracısının eksikliğidir.

(Siber) Güvenlik Bilgilerinin Yönetişimi

Mevcut otomasyon merkezli siber tehdit bilgi paylaşımı standartları genellikle çok paydaşlı bir yönetişim modelini takip etmektedir. Bu, bunların temelde aşağıdan yukarıya bir yaşam döngüsü yaklaşımını takip ettiği anlamına gelir; yani bir siber güvenlik bilgi standardı geliştirilir ve daha sonra ITU ve ISO ile çapraz standardizasyon için "yukarı" itilir. Teknik standartların bu yukarıya doğru hareketi kolay değildir. Makine tarafından okunabilir Siber Tehdit İstihbaratının (CTI) iletilmesinde belki de artık fiili endüstri standardı olan Yapılandırılmış Tehdit Bilgi İfadesi (STIX), hala ITU'dan onay bekliyor. Buna gerçekten ihtiyaç duyulduğundan değil, çünkü teknolojideki küresel yönetişimin yapılanma şekli uluslar tarafından değil endüstri tarafından yönetiliyor. G7 bunu resmileştirme noktasına kadar gitti ve hatta bazı üyeler farklı normlara yönelik her türlü diplomatik çabayı bile engellediler .

Bu, kamu-özel teknoloji ortaklıklarında gerekli yapısal ve üretken kapasiteye sahip olan ulus devletler için işe yaramaktadır. Sonuç olarak siber teknoloji standartlarının küresel yönetişimi küresel düzenin bir yansıması haline geliyor. Siber tehdit aktörlerinin isimlendirilmesi dışında, bu durum şu ana kadar doğası gereği nispeten objektifti. Ancak çevrimiçi dezenformasyonun saldırgan siber operasyonlara ve ulusal siber güvenlik politikalarına entegrasyonu artık doğru değil; yalnızca geleneksel bilgi standartları anlamsal çatışmalarla karşılaşmıyor, aynı zamanda bilgi ortamı üzerinde daha yeni, değer odaklı standartlar da ortaya çıkıyor . Otomasyona dayalı sosyal/siyasi tehdit göstergelerinin üretimi ve paylaşımı siyasi tercihler tarafından şekillendirilebildiğinden ve etkileyebildiğinden, yapay zeka tarafından oluşturulan bilgi ve sosyal botnet tehditleri arttıkça, siber güvenlik tehdit bilgi standartları da yeterince nesnel bir yaklaşımdan daha öznel bir yaklaşıma doğru kayar. duruş. Devletlerin bu mevcut sistemi yeniden yapılandırmak için yapabileceği çok az şey var çünkü siber güvenlik standartlarının politikası, pazarın yönlendirdiği çok paydaşlı kalkınmayla derinden iç içe geçmiş durumda.

Siber tehdit atıfları buna iyi bir örnektir. MITRE, bir DARPA yüklenicisi olarak başladı ve bugün bilgisayar ağı tehditleri ve güvenlik açıkları için sektör çapında fiili bir bilgi tabanı olarak hizmet veriyor. MITRE ATT&CK'de listelenen Gelişmiş Kalıcı Tehdit gruplarından siber tehditlerin yaklaşık 1/3'ü Çin'den, diğer 1/3'ü Rusya/Kore/Orta Doğu/Hindistan/Güney Amerika vb.'den ve geri kalan 1/3'ü ( en gelişmiş TTP'leri, sıfır gün istismarlarından en büyük payı ve jeopolitik olarak uyumlu hedeflemeyi içerenler) atıf yapılmadan kalır. Burada spekülasyon yapmayacağız ancak atfedilmemiş tehdit kümesi hakkında kaçırıcı bir akıl yürütme, okuyuculara küresel CTI üretiminin tercihleri ve politikaları hakkında bazı fikirler bırakabilir.

Hayatın bir gerçeği, siberuzayda güç peşinde koşan devletlerin,

yönetişim aktörleri ve sofistike suçlular aynı anda, bu nedenle piyasanın yönlendirdiği bu çok paydaşlılık, küresel bir birlikte çalışabilirlik politikasının ilan edilmesiyle operasyonel mantık açısından iyi sonuç verdi. Ancak bu, bazen internet üzerinden oldukça önyargılı ve politik olarak motive olabilen siber tehdit bilgisi üretimi ve güvenlik otomasyonunun kendisi için kötüdür. Toplum, gittikçe otonomlaşan sistemlerle çevrelenen bir dünyaya girerken bunu bir sorun olarak düşünmeyecek kadar uzun süre bu yolda yürüdü.

İleri doğru bir yol

Sosyal yapay zeka riskleri daha da büyürken, bugün savunulabilir bir siber güvenlik otomasyon duruşu uygulamayı amaçlayan devletler, siber güvenlik tehdit bilgilerinde, birden fazla CTI sağlayıcısında ve metapolitikasında ve ayrıca endüstriden ve uluslararası düzeyden gelen sürekli baskılarda yüksek bir sinyal-gürültü oranıyla yüzleşmek zorunda kalabilir. "Yapay zeka etiği" ve "siber normlar" ile ilgili kuruluşlar (burada "kimin etiği?" tartışmasına girmeyeceğiz). Bu kaos, belirttiğimiz gibi, aşağıdan yukarıya yaklaşımların tasarımının bir sonucudur. Ancak yukarıdan aşağıya yaklaşımlar, aşağıdan yukarıya yaklaşımların esnekliğinden ve çevikliğinden yoksun olabilir. Bu nedenle çok paydaşlılığın en iyi yönlerini çok taraflılığın en iyi yönleriyle bütünleştirmek gerekiyor.

Bu, bilgi standartlarının mevcut aşağıdan yukarıya kurulumunun çok taraflı bir vizyon ve çerçeve altında rasyonelleştirilmesi anlamına gelecektir. Veri üretiminde partizan tehditlerden kaçınmak isterken aynı zamanda koordinasyon, çözüm ve yönlendirme gerektiren farklı sektör uzmanlığı havuzundan da yararlanmak istiyoruz. ITU ve UNDIR gibi bazı BM organları küresel siber güvenlik meta politikalarında önemli bir rol oynasa da, internet üzerinden kötü amaçlı sosyal yapay zekayı yönetmek veya tehdit paylaşımı üzerinde herhangi bir meta politika kontrolü uygulamak için gereken yukarıdan aşağıya düzenleyici etkiye sahip değiller. dağıtılmış otonom platformlar. Bu nedenle, çok paydaşlılığın çok taraflılıkla entegrasyonunun BMGK'nin kendisinde veya eşdeğer herhangi bir uluslararası güvenlik kuruluşunda başlaması gerekmektedir.

Bu öngörülemeyen bir durum değildi. 1998 yılında Bilgi Teknolojilerini, özellikle de interneti değerlendiren ilk BM kararı alındığında, bazı ülkeler bu teknolojilerin uluslararası güvenlik ve istikrarla çelişeceğini açıkça belirtmiş , uluslararası güvenliğin en üst düzeyde yapılması gereken reformların sinyalini vermişti. Gerçekten de, bir kurum olarak UNSC, dijital teknolojiler ve internet sonrası güvenlik gerçekliği ile birlikte iyi bir şekilde gelişmemiştir. Devlete bağlı APT operasyonlarının sınırsız yayılması, istikrarı bozan devlet faaliyetlerini düzenleme konusundaki başarısızlığının yalnızca bir örneğidir. Üstelik konsey hâlâ 1945'teki stratejik güvenlik vizyonuna takılıp kalmış gibi görünse de, stratejik olarak konuşlandırılmış saldırı siber ve yapay zeka yetenekleri ışığında "devlet şiddeti" fikrinin yerini değiştirmek için yeterli neden ve kanıt var.

Küresel düzenin ve onun yerleşik bürokrasilerinin dayanıklılığının üstesinden gelmek kolay olmayacak olsa da, tüzüğünde ve oluşumunda reform yapılırsa konsey (veya onun yerine geçecek kişi), bir yönetim eksikliğinden ortaya çıkan boşluğu dolduracak değerli bir kurum olarak hizmet edebilir. Siber uzayda güvenlik otomasyonunu ve yapay zeka uygulamalarını yönlendiren güvenlik ve yönetişim standartlarını yönlendirmede birincil aracı.

Bu Bir Süreçtir

Bu noktada bazı yanlış anlamaları dile getirmek gerekiyor. Düzenleyicilerin "Yapay Zeka Ürünleri"ni yönetme konusunda bazı fikirleri olduğu görülüyor, en azından AB'nin Yapay Zeka Yasası da aynısını öneriyor . Burada, "Yapay Zeka" veya "özerk davranış"ın ne olduğu üzerine düşünmek için bir dakika sessizliğe ve sessizliğe ihtiyacımız var ve kısa süre sonra çoğumuz, ürünleri sertifikalandırmaya yönelik mevcut yöntemlerin, köklü uyarlanabilir sistemleri ele almak için yeterli olmayabileceğini anlayacağız. sürekli öğrenme ve gerçek dünyayla veri alışverişi. Söylemeye çalıştığımız şey, düzenleyicilerin belki de yapay zekayı düzenlemede ürün merkezli ve süreç merkezli yaklaşımın artılarını ve eksilerini ciddi şekilde değerlendirmeleri gerektiğidir.

Yapay zeka sonuçta bir sonuçtur. Yönetişimin ve standartların odak noktasının sonucun kendisi değil, veri mühendisliği uygulamaları ve model mimarilerinden makineler arası bilgi alışverişi ve optimizasyon mekanizmalarına kadar temel süreçler ve politikalar olması gerekir. Dahası, yazılım nesne yönelimli bir mühendislik paradigmasından aracı odaklı bir mühendislik paradigmasına geçtikçe, düzenleyicilerin politikayı kod açısından, kodu da politika açısından düşünmeye başlaması gerekir; bunun dışındaki her şey her zaman amaç ve uygulama arasında büyük bir boşluk bırakacaktır.

Günümüzün çok paydaşlı siber güvenlik yönetişiminin yukarıda bahsedilen kaosu dikkate alınacak bir şeyse, yapay zeka güvenliği ve yönetişimi için kanıta dayalı (nihai CTI'ye yol açan verileri göz önünde bulundurun ve yeni teknik kanıt türleriyle etkileşime geçin) tehdit verileri orkestrasyonu, çalışma zamanı doğrulamasına ihtiyacımız var. Siber savunma ve güvenlik sistemlerinde yapay zeka odaklı otomasyon, siber tehdit bilgi yönetimi için partizan olmayan açık kanallar ve standartlar ve aynı konuda çok taraflı bir fikir birliği. Yalnızca nihai yapay zeka ürününe odaklanmak, dünya çapında güvenlik otomasyon sistemlerini yönlendiren bilgi meta politikaları ekosisteminden de gördüğümüz gibi, pek çok şeyi ele alınmamış ve potansiyel olarak taraflı bırakabilir; dolayısıyla, bu sistemleri yönlendiren temel süreçleri ve politikaları daha iyi yönetmeye odaklanmamız gerekir. bu süreçlerin ve politikaların sonuçları.