La empresa «Kaspersky Lab» ha presentado una guía para la creación e implementación segura de sistemas basados en inteligencia artificial. Su objetivo es ayudar a las organizaciones a evitar los riesgos cibernéticos relacionados con el uso de tecnologías de IA.
En primer lugar, la guía está destinada a desarrolladores, administradores de sistemas y equipos de DevOps. Contiene recomendaciones prácticas detalladas para prevenir y solucionar problemas técnicos y riesgos operativos.
Esta guía, creada con la participación de especialistas líderes, contiene información valiosa sobre los aspectos clave del desarrollo, la implementación y la garantía de la seguridad de los sistemas de inteligencia artificial. En ella se presta especial atención a la protección de los modelos de IA, en particular los que utilizan sistemas de terceros. Esto permite evitar fugas de datos y daños a la reputación.
<b>Información sobre ciberamenazas y formación</b>
Como señaló «Kaspersky Lab», los directores de las empresas deben estar al tanto de los riesgos potenciales relacionados con el uso de la inteligencia artificial y organizar regularmente cursos de formación especializados para sus empleados.
Los empleados de la empresa deben conocer los métodos que utilizan los atacantes para atacar los sistemas de redes neuronales. Además, es necesario actualizar regularmente los programas de formación para que la información sea actual.
<b>Modelado de amenazas y evaluación de riesgos</b>
El modelado de amenazas potenciales permite detectar y minimizar los riesgos de antemano. Esta herramienta ayuda a identificar y eliminar vulnerabilidades en las primeras etapas del desarrollo de la inteligencia artificial.
Los especialistas de «Kaspersky Lab» aconsejan utilizar metodologías de evaluación de riesgos ya existentes, como STRIDE y OWASP, para identificar posibles amenazas relacionadas con la inteligencia artificial.
<b>Seguridad de la infraestructura en la nube</b>
La inteligencia artificial se utiliza a menudo en entornos de nube, y esto requiere medidas de seguridad fiables. Entre ellas se encuentran el cifrado, la segmentación de la red y la autenticación de dos factores.
«Kaspersky Lab» recomienda utilizar el principio de confianza cero, es decir, no confiar por defecto ni en los usuarios ni en los dispositivos. También es importante utilizar canales de comunicación seguros y actualizar regularmente la infraestructura para evitar intrusiones.
<b>Protección de la cadena de suministro y los datos</b>
«Kaspersky Lab» llama la atención sobre las posibles amenazas que pueden surgir al utilizar componentes y modelos de inteligencia artificial externos. Entre ellas se encuentra la posibilidad de fuga de datos y su posterior venta por parte de los atacantes.
Para evitar este tipo de situaciones, es necesario seguir estrictamente la política de confidencialidad y las normas de seguridad para todos los participantes de la cadena de suministro.
<b>Pruebas y verificaciones</b>
Para garantizar el funcionamiento estable de los sistemas de inteligencia artificial, es necesario comprobar regularmente su funcionamiento. «Kaspersky Lab» aconseja comprobar regularmente la eficacia del funcionamiento de los modelos y recopilar informes sobre las vulnerabilidades. Este enfoque permitirá identificar y solucionar a tiempo los problemas relacionados con los cambios en los datos que se utilizan en el modelo, así como prevenir posibles ataques de los atacantes.
Para minimizar los riesgos, es importante controlar la actualidad de los conjuntos de datos y comprobar la lógica de la toma de decisiones.
<b>Protección contra amenazas específicas para modelos de IA</b>
Para garantizar la seguridad de los sistemas de IA, es necesario tomar medidas para protegerse contra posibles amenazas. En particular, se debe evitar la introducción de solicitudes maliciosas, el envenenamiento de los datos de entrenamiento y otros ataques similares.
Una de las formas de reducir los riesgos es incluir intencionadamente datos irrelevantes en el proceso de aprendizaje para que el modelo aprenda a reconocerlos. También se recomienda utilizar sistemas de detección de anomalías y métodos de destilación de conocimientos. Estas herramientas garantizan un procesamiento eficaz de la información y ayudan a que sea más resistente a posibles manipulaciones.
<b>Actualización regular</b>
Para garantizar la seguridad y la eficacia de los sistemas de inteligencia artificial (IA), es necesario actualizar regularmente las bibliotecas y los frameworks. Esto permite solucionar a tiempo las vulnerabilidades detectadas.
Para aumentar la fiabilidad de los sistemas, se recomienda participar en programas Bug Bounty, que prevén una recompensa por la detección de vulnerabilidades. También es importante actualizar regularmente los modelos de IA en la nube, teniendo en cuenta su rápido desarrollo.
<b>Cumplimiento de las normas internacionales</b>
El cumplimiento de los estándares internacionales, la aplicación de métodos de trabajo modernos y la verificación de los sistemas de inteligencia artificial para garantizar el cumplimiento de las normas legales permitirán a las empresas asegurar el cumplimiento de los principios éticos y la protección de la confidencialidad de los datos. Esto, a su vez, contribuye a fortalecer la confianza y aumentar la transparencia del negocio.
El creciente uso de herramientas basadas en inteligencia artificial hace que garantizar la seguridad ya no sea simplemente deseable, sino un requisito obligatorio. Participamos en un diálogo multilateral en esta área para desarrollar estándares que ayuden a implementar innovaciones de forma segura y a protegernos de nuevas ciberamenazas.
Anteriormente, las empresas «K2 Ciberseguridad» y «Laboratorio Kaspersky» realizaron un estudio para averiguar, cómo las ciberamenazas afectan a los negocios rusos. Resultó que el 22% de las grandes empresas se han enfrentado al menos una vez a ciberamenazas críticas que provocaron fugas de datos. Y el 15% de las empresas encuestadas experimentaron serios problemas después de tales incidentes.
En el segundo trimestre de 2024, se registraron 35 casos de ciberataques en la industria en todo el mundo, un 16% más que en el trimestre anterior. Como resultó, muchas empresas no tienen tiempo para actualizar sus sistemas de seguridad y enfrentan dificultades para identificar las ciberamenazas.
