Світові агенції з кібербезпеки публікують принципи безпечної інтеграції AI для OT-систем

Агенції з кібербезпеки США та Австралії разом із міжнародними партнерами оприлюднили нові принципи безпечної інтеграції штучного інтелекту (AI) для операційних технологій (ОТ), спрямовані на допомогу операторам у безпечному впровадженні AI в середовищах критичної інфраструктури. Настанова зосереджується на збалансуванні інновацій та управління ризиками, оскільки технології AI все глибше проникають в ОТ-системи.

Зазначено, ці рекомендації є своєчасними, оскільки керування та моніторинг на основі AI швидко розширюються в мережах ОТ.

Агентство з кібербезпеки та безпеки інфраструктури США (CISA) та Австралійський центр кібербезпеки Директорату сигналів Австралії (ASD ACSC) опублікували «Принципи безпечної інтеграції штучного інтелекту в операційні технології», за підтримки органів кібербезпеки Європи, Північної Америки та Азійсько-тихоокеанського регіону. Документ пропонує чотири основні принципи, які допомагають власникам та операторам ОТ-систем зрозуміти ризики та впроваджувати AI контрольованим і стійким чином.

«AI має величезний потенціал для підвищення продуктивності та стійкості середовищ операційних технологій, але цей потенціал має супроводжуватися пильністю, — сказав виконуючий обов'язки директора CISA Мадху Готтумуккала (Madhu Gottumukkala). — ОТ-системи є основою критичної інфраструктури нашої країни, і інтеграція AI в ці середовища вимагає продуманого, ризикоорієнтованого підходу. Ця настанова надає організаціям практичні принципи, що гарантують: впровадження AI зміцнює, а не компрометує безпеку, захищеність і надійність основних послуг».

Настанова висвітлює використання систем машинного навчання та великих мовних моделей, включаючи AI-агентів, і зазначає, що її принципи також застосовуються до систем, які використовують традиційні статистичні моделі або автоматизацію на основі правил.

CISA та ASD ACSC наполегливо закликають організації почати з розуміння AI, навчання технічних команд та операторів щодо ризиків, впливу та практик безпечної розробки AI. Вони також закликають операторів оцінювати варіанти використання AI в середовищах ОТ, збалансовуючи технічну здійсненність із вимогами до безпеки даних та плануючи короткострокові та довгострокові інтеграційні виклики.

Розуміння та навчання: оцінка AI-ризиків, впливу, навчання команд.

Оцінка використання: збалансування технічної реалізованості з безпекою даних.

Посилення управління: вимагає безперервного тестування моделей та суворого моніторингу відповідності.

Безпека за замовчуванням: наголошує на вбудовуванні безпеки у кожен AI-проєкт, підтримці прозорості, нагляду операторів та тісному узгодженні з наявними планами реагування на інциденти.

Над створенням цієї настанови співпрацювали агенції з кібербезпеки Північної Америки, Європи та Азійсько-тихоокеанського регіону, включаючи Центр безпеки AI (NSA AI Security Center), ФБР, Кіберцентр Канади, BSI Німеччини, NCSC-NL Нідерландів, NCSC-NZ Нової Зеландії та NCSC Великої Британії. Це підкреслює глобальне прагнення зміцнити безпеку AI в системах критичної інфраструктури.