NYDFS wydaje wytyczne dotyczące cyberzagrożeń związanych ze sztuczną inteligencją

NYDFS opublikowało wytyczne — „Ryzyko cyberataków związane ze sztuczną inteligencją i strategie przeciwdziałania związanym z tym ryzykiem”.

Jest to jedna z pierwszych inicjatyw regulacyjnych na szczeblu stanowym w USA, która wyraźnie łączy zarządzanie sztuczną inteligencją z cyberbezpieczeństwem, określając oczekiwania wobec instytucji finansowych, ubezpieczycieli i innych podmiotów podlegających regulacjom, działających w stanie Nowy Jork.

Najważniejsze informacje

1️⃣ Cyberataki oparte na sztucznej inteligencji — sztuczna inteligencja może zostać wykorzystana przez osoby stanowiące zagrożenie do automatyzacji phishingu, tworzenia polimorficznego złośliwego oprogramowania i prowadzenia rozpoznania na dużą skalę.

2️⃣ Wykorzystywanie i zatruwanie modeli — słabo zabezpieczone systemy sztucznej inteligencji są podatne na manipulacje, co prowadzi do uszkodzenia danych lub stronniczych wyników.

3️⃣ Uzależnienie od stron trzecich — raport podkreśla „zwiększoną podatność na zagrożenia wynikającą z uzależnienia od stron trzecich, dostawców i innych podmiotów w łańcuchu dostaw”, wskazując na potrzebę wdrożenia solidnego systemu zarządzania ryzykiem stron trzecich (TPRM) i ciągłego nadzoru nad dostawcami.

4️⃣ Niewłaściwe wykorzystanie sztucznej inteligencji i halucynacje — systemy generujące nieprawidłowe lub wprowadzające w błąd wyniki mogą powodować błędy operacyjne lub naruszenia przepisów.

5️⃣ Niepowodzenia w zarządzaniu — Brak jasnej odpowiedzialności za systemy AI powoduje poważne zagrożenia prawne, etyczne i związane z cyberbezpieczeństwem.

Foto: https://pl.freepik.com/

Zalecenia

✅ Stwórz programy cyberbezpieczeństwa, które określają role, obowiązki i odpowiedzialność za ryzyko.

✅ Przeprowadzaj oceny ryzyka w ramach programów cyberbezpieczeństwa przedsiębiorstwa.

✅ Wdrażaj zasady i procedury TPSP.

✅ Wzmocnij procesy reagowania na incydenty i monitorowania modeli.

✅ Wymagaj silnych kontroli dostępu, w tym MFA.

Szczerze mówiąc, nie widzę w tych wytycznych nic nowego, co nie byłoby już od lat omawiane w standardach i ramach bezpieczeństwa cybernetycznego, takich jak DORA, NIS2, ISO27001 lub inne. Jednak NYDFS dobrze połączyło AI z ryzykiem związanym z łańcuchem dostaw, który jest źródłem większości współczesnych incydentów cybernetycznych. I to jest trafna uwaga — ponieważ większość organizacji, z którymi współpracowałem, nadal nie docenia swojego uzależnienia od infrastruktury stron trzecich, interfejsów API i usług SaaS opartych na sztucznej inteligencji. Widziałem zbyt wiele firm, które ślepo polegają na certyfikatach ISO 27001 lub raportach SOC2 jako gwarancji bezpieczeństwa, a szczerze mówiąc — to nie wystarczy.

Ostatnio przejrzałem wiele raportów SOC 2, które:

✅ zostały wydane przez audytorów nieposiadających dogłębnej wiedzy technicznej,

✅ zawierały automatycznie generowane kontrole z platform GRC,

✅ i często nie odpowiadały rzeczywistemu ryzyku organizacji.

✅ W niektórych przypadkach kontrole istniały tylko na papierze, a nie w rzeczywistych działaniach.

Link

Link

Autor: Sebastian Burgemejster