CÁCH ĐỂ ĐẢM BẢO SỬ DỤNG AI AN TOÀN VÀ BẢO MẬT?
Sự thành công, tiến bộ và việc áp dụng nhanh chóng Trí tuệ nhân tạo (AI) đã thúc đẩy công nghệ phát triển hơn bao giờ hết. Những phát triển này mang lại những thay đổi sâu sắc trong cách các công ty vận hành và phát triển, mang đến nhiều cơ hội – cũng như một loạt rủi ro. Làm thế nào các tổ chức có thể thiết lập các cấu trúc có khả năng tích hợp một cách an toàn và bảo mật công cụ mới mạnh mẽ này? Bogdan Tobol, Giám đốc sản phẩm toàn cầu về an ninh mạng tại Bureau Veritas, khám phá chủ đề này.
Tổng khối lượng thị trường dự kiến sẽ đạt 738,80 tỷ $ vào năm 2030[1], tác động đến 40% lực lượng lao động trên toàn thế giới[2] đồng thời có khả năng tăng thêm 7% vào GDP toàn cầu trong khoảng thời gian 10 năm[3]: Trí tuệ nhân tạo (AI) đã chứng kiến sự gia tăng theo cấp số nhân trong vài năm qua và dự kiến sẽ có tác động sâu sắc và lâu dài đến nền kinh tế thế giới.
Khi các tổ chức ngày càng dựa vào các hệ thống được hỗ trợ bởi AI trong các hoạt động hàng ngày của họ, thì cần có khung pháp lý mạnh mẽ và các tiêu chuẩn quốc tế hiệu quả. Các quy định và chứng nhận này không chỉ đảm bảo triển khai hiệu quả các công nghệ AI mà còn giải quyết các mối lo ngại xung quanh quyền riêng tư, bảo vệ dữ liệu, các cân nhắc về đạo đức và an ninh mạng. Từ Quy định chung về bảo vệ dữ liệu (GDPR) ở Châu Âu[4] đến Khung quản lý rủi ro AI do Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) [5] ở Hoa Kỳ thiết lập, các chính phủ và cơ quan tiêu chuẩn hóa trên toàn thế giới đang tích cực định hình bối cảnh phát triển và ứng dụng AI.
Hệ thống quản lý trí tuệ nhân tạo, MỤC TIÊU VÀ CÁC MỐI ĐE DỌA LIÊN QUAN
Giải quyết vấn đề và lý luận, lập kế hoạch và ra quyết định, cũng như xử lý ngôn ngữ tự nhiên (NLP) và trí tuệ chung, cùng nhiều vấn đề khác, là một trong những mục tiêu của lĩnh vực nghiên cứu AI. Hệ thống quản lý trí tuệ nhân tạo (AIMS) là bộ khung giúp quản lý và tối ưu hóa việc triển khai, giám sát và hiệu suất của AI trong các tổ chức.
Do đó, AIMS đóng vai trò thiết yếu trong việc cho phép các tổ chức khai thác hiệu quả sức mạnh của AI, đảm bảo khả năng mở rộng, độ tin cậy và sử dụng có trách nhiệm các công nghệ AI. Cùng với các Hệ thống quản lý như ITSMS (Hệ thống quản lý dịch vụ công nghệ thông tin), ISMS (Bảo mật thông tin), SCMS (Chuỗi cung ứng) và PIMS (Thông tin cá nhân), AIMS góp phần nâng cao hiệu quả, cải thiện hiệu suất và tuân thủ trong hoạt động hàng ngày. Bogdan Tobol, Giám đốc Sản phẩm Toàn cầu về An ninh mạng tại Bureau Veritas cho biết: “Hầu hết các Hệ thống Quản lý này đều phải tuân theo các tiêu chuẩn nghiêm ngặt như ISO 20000-1, ISO 27001, v.v.”. “Các tổ chức và nhà lập pháp hiện cần đảm bảo AI phải tuân theo các yêu cầu tương tự, đảm bảo việc sử dụng công nghệ này một cách an toàn và có lợi.” Giám đốc Sản phẩm Toàn cầu rất muốn chỉ ra rằng, liên quan đến an toàn, ngành này không bắt đầu từ một bảng trắng: “Nghe có vẻ đáng ngạc nhiên, không có rủi ro cụ thể nào tồn tại đối với AI về mặt an ninh mạng - chúng là những mối đe dọa giống nhau ảnh hưởng đến bất kỳ hệ thống CNTT nào và chúng đã được xác định rõ ràng.” Chúng bao gồm từ những vấn đề chung, chẳng hạn như trách nhiệm pháp lý hoặc uy tín, liên quan đến tất cả các bên liên quan, đến những vấn đề mang tính kỹ thuật hơn, chẳng hạn như lỗ hổng trong chuỗi cung ứng hoặc tiết lộ thông tin nhạy cảm và nhiều vấn đề khác thường gặp đối với các ứng dụng Mô hình Ngôn ngữ Lớn (LLM). |  |
CẨN TRỌNG, ĐÀO TẠO VÀ NGHIÊM NGẶT LÀ CHÌA KHÓA ĐỂ SỬ DỤNG AI AN TOÀN
Mặt trái của tình huống này nằm ở chỗ, vì rủi ro đã được biết trước nên các giải pháp cũng vậy. Các hướng dẫn và phương pháp thực hành tốt nhất hiện có sẵn cho các hệ thống CNTT khác, có thể được điều chỉnh và áp dụng để đảm bảo an ninh mạng AI tốt hơn. Tất nhiên, bước đầu tiên nằm ở việc đánh giá các mối đe dọa liên quan đến từng tổ chức cụ thể. “Điều bắt buộc là cả AIMS và môi trường của nó đều phải được đánh giá rủi ro đầy đủ,” Bogdan Tobol nhấn mạnh: “AI tồn tại ở đâu, nó được phát triển như thế nào, nó được duy trì như thế nào.” Khi các điểm yếu đã được xác định chính xác, có thể đưa ra chiến lược để bảo mật tối ưu.
Ngoài ra, “các tổ chức nên kỹ lưỡng trong việc thử nghiệm các quy trình của mình,” Bogdan Tobol nói. “Đào tạo cũng đóng một vai trò quan trọng trong an ninh mạng và một lần nữa, AI cũng giống như bất kỳ hệ thống CNTT nào khác: giúp tất cả nhân viên và các bên liên quan hiểu AI là gì, nó có thể làm gì và cách quản lý nó là điều quan trọng đối với việc triển khai và sử dụng an toàn bất kỳ AIMS nào.” Quan trọng nhất, một khi các biện pháp bảo vệ đã được áp dụng, chúng cần phải được giám sát và thích ứng một cách thận trọng – phù hợp và lý tưởng là có thể thấy trước bối cảnh phát triển của công nghệ AI và các rủi ro an ninh mạng.
 | Sự phát triển gần đây nhất đến từ Liên minh Châu Âu, với Đạo luật Trí tuệ Nhân tạo. Hiện tại, trong quá trình được thông qua và dịch chính thức[6], Đạo luật này nhằm thiết lập một khuôn khổ cho việc sử dụng và cung cấp các hệ thống AI ở Liên minh Châu Âu. Cung cấp phân loại rủi ro liên quan đến AI – từ “hạn chế” đến “không thể chấp nhận”[7], Đạo luật yêu cầu các công ty tuân theo các yêu cầu nhất định về quản lý rủi ro, thử nghiệm, độ ổn định kỹ thuật, đào tạo và quản trị dữ liệu, tính minh bạch, giám sát con người, và an ninh mạng. Bất kỳ AIMS nào không đáp ứng các tiêu chí này sẽ không được đưa ra thị trường hoặc đưa vào sử dụng. Các công ty có khoảng một năm để chuẩn bị vì Đạo luật AI dự kiến sẽ có hiệu lực vào tháng 5 năm 2025[8]. |
Những quy định như vậy chắc chắn sẽ ngày càng nhiều hơn và nghiêm ngặt hơn trong tương lai. Việc áp dụng các tiêu chuẩn và chứng nhận chính thức giúp các công ty duy trì khuôn khổ an toàn và bảo mật cho AIMS của họ, cũng như tuân thủ luật pháp mới. Bogdan Tobol giải thích: “Các tiêu chuẩn mạnh mẽ nên được áp dụng trong các tổ chức, phù hợp với nhu cầu và điểm yếu của chính họ”. “Để triển khai AI một cách chính xác, một tiêu chuẩn như ISO/IEC 42001 yêu cầu phải có một số yếu tố. Đầu tiên, vòng đời của sản phẩm phải bền vững và được cải tiến liên tục. Tính minh bạch và quản trị mạnh mẽ là các khía cạnh quan trọng khác của tiêu chuẩn này, giúp chứng minh rằng, ngoài lợi thế chiến lược của nó, việc triển khai AI trong tổ chức còn thúc đẩy việc sử dụng công nghệ có đạo đức và có trách nhiệm. Chìa khóa nằm ở việc đạt được sự cân bằng hợp lý giữa hoạt động tuân thủ và đổi mới.”
Bogdan Tobol nhấn mạnh, rủi ro an ninh mạng không thể được loại bỏ hoàn toàn, đặc biệt là trong lĩnh vực AI, “nhưng chúng có thể được ngăn chặn, chấp nhận hoặc quản lý – do đó tiết kiệm đáng kể thời gian, vốn và thiệt hại”. Do đó, các tổ chức sẽ khôn ngoan nếu nhanh chóng thiết lập các tiêu chuẩn nghiêm ngặt và thiết lập các quy trình để sàng lọc và tối ưu hóa liên tục nhằm theo kịp các công nghệ và điều kiện ngày càng phát triển.
BUREAU VERITAS: HƯỚNG DẪN CÁC TỔ CHỨC QUẢN LÝ RỦI RO MẠNG
Tại Bureau Veritas, chúng tôi tin rằng các thách thức mạng cần được giải quyết trên mọi khía cạnh. Do đó, chúng tôi cung cấp cho các công ty khả năng xác minh an ninh mạng độc lập, giúp họ bảo vệ hệ thống, tài sản, sản phẩm và chuỗi cung ứng của mình. Thông qua chuyên môn và sự công bằng của chúng tôi, khách hàng của chúng tôi có thể hiểu rõ hơn về các lỗ hổng của họ, giảm thiểu các lĩnh vực rủi ro và chứng minh cho các bên liên quan của họ những hành động, cam kết và quy trình hữu hình.
NGUỒN:
[1] https://www.statista.com/outlook/tmo/artificial-intelligence/worldwide
[4] https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf
[5] https://www.nist.gov/itl/ai-risk-management-framework
[7] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai