了解不斷變化的法規是應對人工智能風險的關鍵。這對網絡安全領導者意味著什么。

譯自How evolving AI regulations impact cybersecurity，作者 Ram Movva; Aviral Verma。

雖然他們的商業和技術同事忙于嘗試和開發新的應用程序，但網絡安全領導者正在尋找方法來預測和應對新的、由人工智能驅動的威脅。

人工智能對網絡安全的影響一直很明顯，但這是一個雙向的過程。人工智能越來越多地被用于預測和緩解攻擊，但這些應用程序本身也容易受到攻擊。每個人都興奮的自動化、規模和速度也同樣適用于網絡犯罪分子和威脅行為者。雖然距離主流應用還很遠，但人工智能的惡意使用一直在增長。從生成對抗網絡到大型僵尸網絡和自動化的 DDoS 攻擊，人工智能有可能產生一種新型的網絡攻擊，這種攻擊可以適應和學習以逃避檢測和緩解。

在這種環境下，我們如何防御人工智能系統免受攻擊？攻擊性人工智能將采取什么形式？威脅行為者的 AI 模型將是什么樣的？我們能對 AI 進行滲透測試嗎？我們應該何時開始以及為什么？隨著企業和政府擴展其 AI 管道，我們將如何保護他們依賴的大量數據？

正是這些問題促使美國政府和歐盟將網絡安全置于首位，因為它們都在努力制定指導方針、規則和法規來識別和緩解新的風險環境。這并非第一次出現明顯不同的方法，但這并不意味著沒有重疊。

讓我們簡要了解一下其中涉及的內容，然后再繼續考慮這對網絡安全領導者和 CISO 的意義。

美國人工智能監管方法概述

除了行政命令，美國對人工智能監管的分散式方法也體現在加州等州制定自己的法律指南。作為硅谷的所在地，加州的決定可能會極大地影響科技公司開發和實施人工智能的方式，一直到用于訓練應用程序的數據集。雖然這絕對會影響所有參與開發新技術和應用程序的人，但從純粹的 CISO 或網絡安全領導者的角度來看，重要的是要注意，雖然美國的環境強調創新和自我監管，但總體方法是基于風險的。美國的監管環境強調創新，同時解決與人工智能技術相關的潛在風險。法規側重于促進負責任的人工智能開發和部署，重點是行業自我監管和自愿合規。

對于 CISO 和其他網絡安全領導者來說，重要的是要注意，行政命令指示美國國家標準與技術研究院 (NIST)制定標準用于對 AI 系統進行紅隊測試。還呼吁“最強大的 AI 系統”必須進行滲透測試并將結果與政府共享。

歐盟人工智能法案概述

歐盟更加謹慎的方法從一開始就將網絡安全和數據隱私納入其中，并制定了強制性標準和執行機制。與其他歐盟法律一樣，人工智能法案是基于原則的：組織有責任通過支持其實踐的文檔來證明合規性。

對于 CISO 和其他網絡安全領導者來說，第 9.1 條引起了很多關注。它指出

高風險人工智能系統應按照以下原則設計和開發安全設計和默認安全。鑒于其預期用途，它們應達到適當的準確性、穩健性、安全性、網絡安全水平，并在其整個生命周期內始終如一地保持這些水平。遵守這些要求應包括根據特定市場細分或應用范圍實施最先進的措施。

從最根本的層面上講，第 9.1 條意味著關鍵基礎設施和其他高風險組織的網絡安全領導者將需要進行 AI 風險評估并遵守網絡安全標準。該法案第 15 條涵蓋了可以采取的網絡安全措施來保護、緩解和控制攻擊，包括試圖操縱訓練數據集（“數據中毒”）或模型的攻擊。對于 CISO、網絡安全領導者和 AI 開發人員來說，這意味著任何構建高風險系統的人都需要從一開始就考慮網絡安全的影響。

歐盟人工智能法案與美國人工智能監管方法的關鍵區別

人工智能法規對 CISO 和其他網絡安全領導者的意義

盡管方法不同，但歐盟和美國都主張采取基于風險的方法。而且，正如我們在 GDPR 中所見，隨著我們朝著全球標準的合作和共識邁進，存在著大量協調的空間。

從網絡安全領導者的角度來看，很明顯，人工智能法規和標準處于成熟度的早期階段，并且隨著我們對技術和應用的了解不斷加深，幾乎肯定會發生變化。正如美國和歐盟的監管方法所強調的那樣，網絡安全和治理法規要成熟得多，這至少是因為網絡安全社區已經投入了大量資源、專業知識和努力來提高意識和知識。

人工智能和網絡安全之間的重疊和相互依賴意味著網絡安全領導者更加敏銳地意識到新出現的后果。畢竟，許多人一直在使用人工智能和機器學習來進行惡意軟件檢測和緩解、惡意 IP 阻止和威脅分類。目前，CISO 將負責制定全面的 AI 戰略，以確保整個業務的隱私、安全和合規性，包括以下步驟：

• 確定 AI 帶來最大收益的用例。
• 確定成功實施 AI 所需的資源。
• 建立一個治理框架來管理和保護客戶/敏感數據，并確保遵守您組織開展業務的每個國家/地區的法規。
• 清晰地評估和評估 AI 實施對整個業務（包括客戶）的影響。

與人工智能威脅形勢保持同步

隨著人工智能法規不斷發展，目前唯一真正確定的是，美國和歐盟將在制定標準方面發揮關鍵作用。快速的變化意味著我們肯定會看到法規、原則和指南的變化。無論是自主武器還是自動駕駛汽車，網絡安全都將在解決這些挑戰的方式中發揮核心作用。

速度和復雜性都表明，我們很可能從特定國家/地區的規則演變為圍繞關鍵挑戰和威脅達成更廣泛的全球共識。從迄今為止的美國-歐盟合作來看，已經存在明確的共同基礎可以借鑒。GDPR（通用數據保護條例）表明，歐盟的方法最終對其他司法管轄區的法律產生了重大影響。某種程度的協調似乎不可避免，這至少是因為挑戰的嚴重性。

與 GDPR 一樣，這更多是一個時間和合作的問題。同樣，GDPR 提供了一個有用的案例歷史。在這種情況下，網絡安全從技術規定提升到了要求。安全將成為人工智能應用中不可或缺的要求。在開發人員或企業可能對其產品承擔責任的情況下，網絡安全領導者必須及時了解其組織中使用的架構和技術至關重要。

在接下來的幾個月里，我們將看到歐盟和美國法規如何影響正在構建人工智能應用程序和產品的組織，以及新興的人工智能威脅形勢如何演變。