الذكاء الاصطناعي هو تقنية ناشئة تعمل على تحويل المؤسسات من خلال تمكينها من تحليل البيانات الضخمة وتنفيذ الأنشطة واتخاذ القرارات التي تحسن الكفاءة والابتكار. ومع ذلك، وعلى غرار أي تقنية أخرى، فإن للذكاء الاصطناعي فوائده ومخاطره أيضًا، وهناك تهديدات أمنية جديدة تنشأ عنه تحتاج المؤسسات إلى إدارتها. إن مخاطر أنظمة الذكاء الاصطناعي كثيرة ومتنوعة وتشمل ما يلي؛ خصوصية البيانات، والهجمات المعادية، وما يلي.
وترتكز إدارة المخاطر في الذكاء الاصطناعي على أنظمة إدارة أمن المعلومات -ISO/IEC 27001 التي تقدم نهجًا شاملاً لإدارة المخاطر التي يشكلها استخدام الذكاء الاصطناعي. لذلك، وفقًا للمبادئ التوجيهية، يمكن للمؤسسات تحديد التهديدات أو أوجه القصور في أنظمة الذكاء الاصطناعي واستخدام التدابير الأمنية وتقييم المخاطر.
تعتمد أنظمة الذكاء الاصطناعي على مجموعات بيانات كبيرة لتعمل على النحو المنشود في معظم الظروف. عندما يتم تدريب نماذج الذكاء الاصطناعي وعندما تقوم نماذج الذكاء الاصطناعي باتخاذ القرارات، تعمل أنظمة الذكاء الاصطناعي مع بيانات يُحتمل أن تكون معلومات معلومات شخصية أو تحتوي على بيانات أعمال حساسة أخرى. هذه مشكلة كبيرة خاصةً فيما يتعلق بالخصوصية لأن البيانات قد يتم استخدامها أو الكشف عنها أو استخدامها بطريقة لم يوافق عليها المالك.
تساعد ISO/IEC 27001 في التحكم في مخاطر خصوصية البيانات المتعلقة بالذكاء الاصطناعي لأنها تتطلب تنفيذ ضوابط الحماية وتشفير البيانات. كما أنها تُلزم المؤسسة بتصنيف البيانات المعالجة حسب مستوى المخاطر ومن ثم اتخاذ الاحتياطات اللازمة لضمان عدم وصول الأشخاص غير المصرح لهم إلى البيانات. بالإضافة إلى ذلك، يقترن المعيار بقوانين حماية البيانات مثل اللائحة العامة لحماية البيانات لضمان أن العمليات القائمة على الذكاء الاصطناعي قانونية.
وفقًا لتقرير شركة Statista، بلغت نسبة الشركات التي اعتبرت خصوصية البيانات اعتبارًا حاسمًا عند نشر الذكاء الاصطناعي 70% في عام 2023. يقلل معيار ISO/IEC 27001 من المخاطر المرتبطة بفقدان البيانات ويضمن الأمان المناسب للبيانات المستخدمة في الحلول القائمة على الذكاء الاصطناعي.
من التهديدات الجديدة الأخرى التي لوحظ أنها تؤثر على أنظمة الذكاء الاصطناعي الهجمات العدائية، والتي تنطوي على شكل من أشكال محاولة التلاعب بالمدخلات في نموذج الذكاء الاصطناعي بهدف الحصول على مخرجات خاطئة. قد تكون مثل هذه الهجمات مدمرة للغاية ولها عواقب وخيمة خاصة في القطاعات الحيوية بما في ذلك الصحة والتمويل والسيارات ذاتية القيادة. على سبيل المثال، في عام 2019، تم إثبات أن الإشارات التي تدركها أنظمة الذكاء الاصطناعي في السيارات ذاتية القيادة يمكن تزويرها بسهولة، وقد يسيء نظام الذكاء الاصطناعي تفسيرها على أنها إشارة مختلفة قد تؤدي إلى وقوع حادث.
توفر المواصفة القياسية ISO/IEC 27001 نظامًا لمعالجة هذه المخاطر من خلال إجراء تقييم للتهديدات والحلول الأمنية. وبمساعدة المواصفة القياسية ISO/IEC 27001، تضطر المؤسسات إلى تقييم المخاطر المحتملة في أنظمة الذكاء الاصطناعي مثل الهجمات العدائية، مما يضمن وجود تدابير أمنية مثل التحقق من النموذج والتحقق من صحة المدخلات واكتشاف الشذوذ. علاوةً على ذلك، يتطلب المعيار المراقبة والتدقيق المستمر، بحيث يمكن ملاحظة أن المنظمات قادرة على اكتشاف ومنع الإجراءات الضارة في الوقت الفعلي.
تعتمد فعالية أنظمة الذكاء الاصطناعي على جودة البيانات التي يتم إدخالها في النظام. عندما تكون البيانات متحيزة، فإن نموذج الذكاء الاصطناعي يكون متحيزاً أو تمييزياً، مما يؤدي إلى تأثير سلبي على سمعة المؤسسات وامتثالها القانوني. على سبيل المثال، قيل إن تقنيات التوظيف القائمة على الذكاء الاصطناعي تكرر التمييز على أساس الجنس والعرق من بين أشكال التمييز الأخرى، مما يعني أن هناك حاجة إلى ذكاء اصطناعي أخلاقي.
تدعم إدارة المخاطر في المواصفة القياسية ISO/IEC 27001 تقليل تأثير التحيز في أنظمة الذكاء الاصطناعي من خلال جعل المؤسسات مسؤولة عن البيانات التي تعالجها. هناك قواعد يتعين على المؤسسات أن تحدد كيفية جمع البيانات وتخزينها ومعالجتها، ويمكن أن يكون ذلك مفيدًا جدًا في تحديد التحيز والقضاء عليه منذ البداية. علاوة على ذلك، ينص المعيار أيضًا على ضرورة فحص نماذج الذكاء الاصطناعي من وقت لآخر للتأكد من عدم تحيزها.
وفقًا لاستطلاع ماكنزي الذي أجري في عام 2022، أعرب 56% من المشاركين عن قلقهم بشأن التحيز في خوارزميات الذكاء الاصطناعي. يمكن أن تساعد هذه الضوابط من ISO/IEC 27001 الشركات على تجنب المخاطر المتعلقة بالتحيز مع إظهار الامتثال لأعلى معايير الذكاء الاصطناعي في هذا المجال.
إن ضمان سلامة نماذج الذكاء الاصطناعي أمر ضروري للحفاظ على فعاليتها وموثوقيتها. إذا تم تغيير نموذج الذكاء الاصطناعي أو تلفه بطريقة أو بأخرى، فسوف ينتج عنه مخرجات خاطئة أو حتى خطيرة. وينطبق هذا الخطر بشكل خاص في مجالات مثل الرعاية الصحية حيث يتم استخدام أنظمة الذكاء الاصطناعي في التشخيص والتوصيات العلاجية.
تساعد المواصفة القياسية ISO/IEC 27001 على حماية نماذج الذكاء الاصطناعي من أي تغييرات غير مصرح بها والوصول إليها من خلال إنشاء نظام صارم لإدارة التغيير والتحكم في الوصول. كما يتطلب المعيار أيضًا من المؤسسات الانتباه إلى التغييرات التي تطرأ على أنظمة الذكاء الاصطناعي والتأكد من أن الموظفين المصرح لهم فقط هم من يمكنهم تعديل النماذج. ويساعد ذلك في القضاء على التعديلات التي قد يقوم بها أشخاص آخرون ليس لديهم معرفة بنظام الذكاء الاصطناعي مما قد يؤدي إلى ضعف أداء نظام الذكاء الاصطناعي. علاوةً على ذلك، تضمن المراجعات الأمنية الإلزامية بموجب المواصفة القياسية ISO/IEC 27001 سلامة نماذج الذكاء الاصطناعي وأداءها الجيد.
في الوقت الحالي، تواصل معظم المؤسسات حاليًا تطبيق حلول الطرف الثالث، والتي تتمثل إما في شراء نماذج الذكاء الاصطناعي الجاهزة أو خدمات الذكاء الاصطناعي القائمة على السحابة. في حين أن هذا قد يكون مفيدًا في رفع درجة الكفاءة، إلا أنه يمثل أيضًا مخاطر أمنية جديدة. قد يفتقر البائعون الخارجيون إلى الأمان المناسب، وهو ما يشكل خطراً على المؤسسة حيث قد تتسرب بعض البيانات، وقد تُسرق النماذج وغيرها.
كما أن إدارة مخاطر الأطراف الثالثة مشمولة في المواصفة القياسية ISO/IEC 27001 حيث يتعين على المؤسسة تقييم البائعين والتأكد من أنهم آمنون بما فيه الكفاية. يجب أن تكون متطلبات الأمان جزءًا من العقود والاتفاقيات ويجب على المؤسسات مراجعة البائعين بشكل دوري.
كشف التقرير الصادر عن مؤسسة جارتنر في عام 2023 أن 60% من الشركات ستتبنى حلول الذكاء الاصطناعي من طرف ثالث بحلول عام 2025، وبالتالي لدينا مخاطر أمنية من طرف ثالث يجب التعامل معها. وبفضل استخدام مبادئ ISO/IEC 27001، أصبح من الممكن التأكد من التزام شركاء الذكاء الاصطناعي بنفس مستوى الأمان الذي تلتزم به الشركات.
إن أنظمة الذكاء الاصطناعي مثلها مثل أي أنظمة أخرى ليست في مأمن من التهديدات والاختراقات الأمنية. لا يهم إذا كان تسرب البيانات أو هجومًا عدائيًا أو عطلًا في نموذج الذكاء الاصطناعي – يجب أن تكون المؤسسة مستعدة للاستجابة بشكل مناسب. يتطلب معيار ISO/IEC 27001 أن تطبق المؤسسة إجراءً لإدارة الحوادث يحدد كيفية قيام المؤسسة باكتشاف الحوادث الأمنية وتقييمها والاستجابة لها.
في حالة الحوادث الخاصة بالذكاء الاصطناعي، قد يتضمن ذلك مراقبة نماذج الذكاء الاصطناعي بحثًا عن علامات التلاعب، وفحص تدفقات البيانات بحثًا عن أي انتهاكات للبيانات، وربما إشراك أصحاب المصلحة في عملية التخفيف من آثارها. أيضًا، تتطلب المواصفة القياسية ISO/IEC 27001 أن تقوم إدارة المؤسسة بتحديث ومراجعة خطط الاستجابة للحوادث من أجل التصدي لتهديدات الذكاء الاصطناعي الجديدة بشكل دوري.
كما كشف تقرير معهد بونيمون لعام 2023 عن تكلفة اختراق البيانات لعام 2023 أن الشركات التي لديها خطة استجابة للحوادث قد وفرت في المتوسط 2.66 مليون دولار أمريكي في حالة حدوث اختراق. يشير النهج المنهجي الذي تتبعه المواصفة القياسية ISO/IEC 27001 لإدارة الحوادث إلى أنه أثناء إدارة الحوادث الأمنية المتعلقة بالذكاء الاصطناعي لن تضطر المؤسسة إلى الإغلاق أو تغيير طريقة عملها بشكل كبير.
أهم مسألتين تتعلقان بأمن الذكاء الاصطناعي هما الحوكمة والمساءلة. وذلك لأنه لم يتم تكليف أي شخص بمسؤوليات محددة للتعامل مع المسائل الأخلاقية والقانونية للذكاء الاصطناعي. كما تعزز المواصفة القياسية ISO/IEC 27001 المساءلة لأنها تتناول الأدوار والمسؤوليات المتعلقة بأمن المعلومات. وذلك لأنها تساعد في التأكد من تطوير أنظمة الذكاء الاصطناعي وتثبيتها وتشغيلها بطريقة آمنة وقانونية.
أيضًا، تقترح المواصفة القياسية ISO/IEC 27001 على المؤسسات دمج أطر الحوكمة التي تحكم إجراءات الذكاء الاصطناعي، لدمج الأخلاقيات في تطوير الذكاء الاصطناعي. يمكن أن يساعد في منع مشاكل مثل تحيز الخوارزمية أو إساءة استخدام البيانات أو الآثار السلبية لقرارات الذكاء الاصطناعي.
الخلاصة
إن حماية البيانات، وحماية النماذج، وإدارة مخاطر الطرف الثالث، والتعامل مع الحوادث الأمنية هي التدابير التي يمكن اتخاذها للحد من المخاطر الأمنية التي يجلبها الذكاء الاصطناعي. توفر ISO/IEC 27001 أطر عمل لإدارة هذه المخاطر داخل المؤسسات بطريقة فعالة. ووفقًا للمبادئ التوجيهية، لا يقتصر دور الشركات على حماية أنظمة وخوارزميات الذكاء الاصطناعي فحسب، بل تثبت أيضًا أنها تقوم بالاستخدام السليم للذكاء الاصطناعي بشكل فعال.
بالنسبة للمؤسسات التي تسعى إلى تعزيز الوضع الأمني للذكاء الاصطناعي لديها، تقدم SPOTO برامج تدريبية على معيار ISO 27001 مصممة لمساعدة الفرق على فهم متطلبات المعيار وتنفيذها بفعالية. يوفر التدريب الذي يقوده الخبراء لدينا رؤى عملية حول إدارة المخاطر الأمنية للذكاء الاصطناعي، مما يضمن أن تظل مؤسستك مرنة ومتوافقة في عالم يعتمد على الذكاء الاصطناعي بشكل متزايد.
سبوتو هي شركة معترف بها عالمياً في تقديم مجموعة واسعة من الخدمات الاحترافية المصممة لتلبية الاحتياجات المتنوعة للمؤسسات في جميع أنحاء العالم. نحن متخصصون في التدريب التقني والتدريب على الأعمال، وتطوير تكنولوجيا المعلومات وحلول البرمجيات، وخدمات اللغات الأجنبية، والتعلم الرقمي، وتوفير الموارد والتوظيف، والاستشارات. يتجلى التزامنا الثابت بالتميز من خلال شهادات الأيزو 9001 و27001 وCMMIDEV/3، التي تؤكد على معاييرنا الاستثنائية. وبفضل سجلنا الحافل بالنجاح الذي يمتد لأكثر من عقدين من الزمن، فقد قدمنا خدماتنا بفعالية لأكثر من 4000 مؤسسة في جميع أنحاء العالم.
كيفية معالجة المخاطر الأمنية للذكاء الاصطناعي باستخدام ISO 27001
About the Author
