Liste de contrôle Genai-Sécurité ALS

Liste de contrôle Genai-Sécurité ALS

Lucas Morel

Die owasp-cckelist für ai Cybersecurity und -governance Verspricht schnelle Unterstützung für unternehmen, um génératif ki sicher einzusetzen.

Während Unternehmen Wie Openai, anthropic, google oder Microsoft Aber Auch open-source-alternativen bei ihren Generative-a – und grand-langage-model-angeboten exponnterielle user-zuwächse Verzeichnen, sind it-sichernentscheider Bemüht Unternehmen Schritt Zu Halten.

Die Organisation à but non lucratif Owasp Trägt dieser Entwicklung Mit einer Neuen Veröffentlichung Rechnung: Der “LLM AI Cybersecurity & Governance Checklist Liste» (PDF).

LLM-BEDROHUNGSKategorien

Das thea ki ist ziemlich umfangreich, weswegen die owasp-checkListe vor Allem darauf abzielt, führungskräfte dabei zu unterrsützen, die wesentlichen risiken im zusammenhang mit generativer ki und großen spriprachmodellen möglichs schnell zi identificeren und entsprechende abhilfemaßnahmen einzuleiten. Das Soll Gewährleisten, Dass Unternehmen über die nötigen, Grundlegenden Sicherheitskontrollen verfügen, um génératif ki und llm-tools, -Services und produkte Sicher einzusetzen.

Dabei Betont Owasp, Dass Die CheckListte Keinen Anspruch auf vollständigkeit erhebt und sich mit zunehmender reife der Technologied outils ebenfalls weiterentwickeln wird. Die Sicherheitsexperten Ordnen llm-Bedrohungen in Verschiedene kategorien ein, wie die nachfolgende abbildung veranschaulicht:

Mourir owasp ki-bedrohungs-map.

GEHT ES DARUM, EINE LLM-STRATEGIE FESTZULEGEN, Müssen Unternehmen vor Allem Mit den Einzigartigen Risiken Umgehen, die Generative Ki und llms aufwerfen. Diese Müssen Durch Organisatorische Governance Und Entsprechende Security-Kontrollen Minit Werden. Im Rahmen ihrer Veröffentlichung Empfehlen die owasp-experten unternehmen einen secchstufigen ansatz, um eine wirksame llm-strATELIE ZU ENTWICKELN:

MIT OWASP dans SECHS Schritten Zum LLM-déploiement.

Auch Hinsichtlich der Deployment-Typen dans Sachen LLM Empfiehlt Owasp, Ganz Genau Hinzusehen und Entsprechende überlegungen anzustellen:

Welche art von ki-modell Ist für sie die richtige?

Die owasp-ki-cecklistte

Im folgenden haben wir die von owasp veröffentlichte camionlist etwas « aufgedröselt ». Folgende Bereiche Sollten Sie im Rahmen ihrer générative-ai-respect llm-initiativen nondingt prüfen.

Risque contradictoire

Dieser Bereich Umfasst Sowohl Wettbewerber als auch angreifer und konzentriert sich nicht nur auf die angriffs-, Sondern auch auf die unternehmenslandschaft. Dans Diesen Bereich Fällt Beispsielweise, Zu Verstehen, Wie Die Konkurrenz Ki Einsetzt, Um Bessere Geschäftsergebnisse Zu Erzielen und Die Intern Prozesse und Richtlien (Beispsielsweise Incident-Response-pläne) Sicherheitsvorfälle im Zusammenhang mit generativer ki gewappnet zu sein.

Modélisation des menaces

Die Bedrohungsmodellierung gewinnt im zuge des von zahlreichen Security-institutionn propagierten «sécurisé par conception» -Ansensée zunehmend an bedutung. Dans Diesen Bereich Fallen Etwa Die überlegungen, Wie Angreifer llms und Generative Ki Für Schnellere exploite Nutzen Können, Wie Unternehmen Schadhafte Ki-Nutzung Erkenn Können und wie sich die Technologie über Systeme Systeme und Umgebunggen ABSICHER LAVER.

Ki-bestandsaufnahme

«Man Kann Nichts Schützen, von Dessen existenz man nichts wichts weiß» greift auch in der Generative-a-welt. Im bereich der ki-bestandsaufnahme geht es darum, actifs für interne entwickelte lösungen und externe outils und plattformren zu erfassen.

Dabei ist Nicht Nur Wichtig, Die Tools und Services Zu Kennen, Die Genutzt Werden, Sondern Auch über die Verantwortlichkeiten Bescheid Zu Wissen. Owasp empfiehlt zudem, ki-komponten in sboms zu erfassen und datetenquellen nach sensibilität zu katalogisieren. Darüber Hinaus Sollte es auch Einen Prozess Geben, Der Gewährleistet, Dass Zukünftige Tools und Service Aus Dem Unternehmerischen Inventar Sicher Eind-und Ausgegliedert Werden Können.

Ki-Sécurité- und -Datenschutz-Schulungen

Der Mensch ist das schwächste glied dans Der Sicherheitskette – heißt es oft. Das Muss Allerdings Nicht So Sein – Vorausegesetzt, Unternehmen Integrieren Ki-Sicherheits- und Datenschutztrainings dans Ihre Genai-Journey.

Das beinhaltet beispsielsweise, der belegschaft ein verständnis über aktulle a- und llm-initiativen zu vermitteln – Genauso wie zur technologie an sich und wesentlichen Problemen Im Bereich security. Darüber Hinaus ist in diesem Bereich Eine Kultur Unabdingbar, die von Trust und transparenz geprägt ist. Das ist auch ein ganz wesentlicher punkt, um «schatten-ki» zu verhindern. Anderenfalls Werden Plattformren Heimlich Genutzt und Die Security Untergraben.

Analyses de rentabilisation für ki etablieren

Ganz ähnlich wie zouvor bei der cloud erstellen die meisten unternehmen keine kohärenten, Strategischen geschäftsmodelle für den einsatz neuer technologien – Auch nicht, wenn es um générative ki und llms geht. Sich von Hype und Fomo Anstecken Zu Lassen, ist Relativ Schnell Geschehen – OHNE SOLENDE CAUNESSE RISMORSEEN UNTERNEHMEN ABER NICHT NUR, SCHLECHTE ERGEBnisse Zu Erzielen.

Gouvernance

OHNE GOVENTANCE IST ES NAHEZU UNMöglich, Rehennschaftspflicht und Klare Zielsetzungen Zu Realisieren. Dans Diesen Bereich der Owasp-CheckListe Fällt Beispsielsweise, Ein raci-diagramm zu erstellen, dass die ki-initiativen eines Unternehmens doKumentit, verantwortlichkeiten zuweist unterne unternehmensweite richtliniien und prozesse etabliert.

Rechtliches

Die Rechtlichen Auswirkungen von Ki Sollten Keinesfalls Unterschätzt Werden – Sie Entwickeln Sich rasant Weiter und Können Reputation und Finanziellem Gefüge Potenziell Beträchtliche Schäden Zufügen. Dans Diesen Bereich Können, diverses Aspekte tombées – Zum Beispiel:

  • Produktgarantin im zusammenhang mit ki,

  • Ki-Eulas Oder

  • Intellectual-Property-Risiken.

Kurzum: Ziehen Sie Ihr, équipe légale, experts de l’équipe juridique Hinzu, um die verschiedenenen rechtsbezogen aktivitäten zu identifizeren, die für ihr unternehmen pertinent sind.

Régulateur

AUFBAUEND AUF DEN JURISTISCHEN DISKUSSIONEN ENTWICKELN SICH AUCH DIE REGULATERISCHEN VORSCHRIFTEN Schnell Weiter – Ein Beispiel ist Der Ai Act Der Eu. Unternehmen Sollten Deshalb die für sie geltenden ki-conformité-anforderungen Ermitteln.

LLM-Lösungen Nutzen Oder Implevantieren

Der Einsatz von llm-lösungen erfordert spezifische risiko- und kontrollüberlegungen. Die owasp-cochecklist nennt dans diesem bereich unter anderem die aspekte:

  • Contrôle d’accès Umsetzen,

  • Ki-trainings-pipelines abichern,

  • Daten-workflows mappen ud

  • Bestehende Oder Potenzielle Schwachstellen dans LLMS und Lieferketten Identifizeren.

Darüber Hinaus Sind Kontinuierliche Audits Durch Dritte, PenetrationStestss und auch Code-Reviews Für Zulieferer Empfehlenswert.

Test, Evaluierung, Verifizierung, Validieung (TEVV)

Der tevv-prozess Wird vom nist in Seinem Ai framework Ausdrücklich empfohlen. Dieser beinhaltet:

  • Test continu,

  • Evaluierungen,

  • Verifizierungen UND

  • Validierungen Sowie

  • Kennzahlen Zu Funktionalität, Sicherheit und Zuverlässsigkeit von ki-modelen.

Und Zwar über den Gesamten Lebenszyklus von ki-modellen hinweg.

Modéll- und Risikokarten

Für den Ethischen Einsatz von Großen Sprachmodellen Sieht die owasp-cckeCKListe Modell- und Risiko- «Karten» Vor. Diese können den nutzern Verständnis über ki-systeme vermitteln und so das vertrauen in die systeme stärken. Zudem Ertöglichen Sie, potenziell négatif begleiterscheinungen wie biais oder datenschutzprobleme offène zu thematisieren.

Die Karten Können Détails Zu Ki-Modellen, Architektur, TrainingsMethoden und Performance-Metriken Beinhalten. Ein weiterer schwerpunkt liegt dabei auf responsable Ai und Allen Fragen dans Zusammenhang mit Fairness und transparenz.

Génération augmentée de récupération

Génération augmentée de récupération (RAG) Ist Eine Möglichkeit, Die Fähigkeiten von llms Zu Optimieren, Wenn es Darum Geht, pertinente Daten Aus Besttimmten Qwellen Abzurufen. Dazu Gehört, Vortrainier Modelle Zu Optimierren und bestehende auf Neuen Datensätzen Erneut Zu Trainieren, Um ihre Leistung Zu Optimierren. Owasp empfiehlt, rag zu mettereen, um den mehrwert und die effektivität grroßer sprachmodelle im unternehmenseinsatz zu maximom.

Ki-rouge en équipe

Dernier, mais non le moindre empfehlen die owasp-expperten ach, ki-red-sering-sessions Abzuhalten. Dabei werden angriffe auf ki-systeme simulert, um schwachstellen zu identifizeren und exisrierende kontrolldd abwehrmaßnahmen zu validiren.

Owasp Betont Dabei, Dass Red faisant équipe für Sich Alleline Keine Umfassende Lösung Respect Methode Darstellt, um génératif Ai und Llms Abzusichern. Vielmehr Sollte Ki-Red-équipe à Einen Umfassenderen Ansatz Eingebett Werden. Essenziell ist dabei Jedoch laut den experten insbesondere, dass im unternehmen klarheit darüber herrscht, wie die anforderungen für red teaming Aussehen sollten. Ansonsten Sind Verstöße Gegen Richtlien Oder Gar Juristischer ärger Vorprogrammiert.

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?