C'è uno standard ETSI per la sicurezza dell'AI

Come si mette in sicurezza l'Intelligenza Artificiale? Ognuno ha una sua idea più o meno precisa sul tema, ma ora ETSI ha definito un nuovo standard - ETSI EN 304 223 - che fornisce i requisiti di base in materia di protezione dei modelli e dei sistemi di AI. Rivisto e formalmente approvato dalle organizzazioni nazionali di normazione, il nuovo standard è il primo europeo per la sicurezza informatica dell'Intelligenza Artificiale ed è anche, secondo ETSI, applicabile a livello globale.

Il nuovo standard indica una serie di requisiti di sicurezza da soddisfare proteggere i sistemi di AI dalle minacce cyber più probabili e più sofisticate, partendo dall'assunto che i sistemi di AI costituiscono, in materia di sicurezza informatica, un ambito specifico rispetto ai sistemi software tradizionali. Tra le minacce mirate prese in considerazione ci sono ad esempio il data poisoning, la model obfuscation, l'indirect prompt injection e tutte le le vulnerabilità create dalle complesse pratiche operative e di gestione dei dati richieste dall'AI

La norma ETSI EN 304 223 suddivide il ciclo di vita dei sistemi di Intelligenza Artificiale in cinque fasi che vanno tutte messe in sicurezza con approcci mirati: progettazione, sviluppo, implementazione, manutenzione, fine vita. Questa suddivisione, spiega ETSI, è in linea con i modelli di ciclo di vita dell'AI riconosciuti a livello internazionale, il che dovrebbe garantire al nuovo standard di essere coerente e interoperabile con gli standard e le linee guida esistenti. Più in dettaglio, ciascuna fase del ciclo di vita dei sistemi di AI viene associata ad alcuni principi chiave che vanno seguiti per la sua protezione cyber.

Per la fase di design/progettazione dei sistemi di AI, ETSI presenta come principi chiave lo sviluppo della consapevolezza su minacce e rischi potenziali, la necessità di una progettazione che unisca sicurezza a funzionalità e performance, la valutazione delle minacce e la conseguente gestione dei rischi per un sistema di AI, la definizione delle responsabilità del personale umano.

Per la parte di sviluppo sicuro, i principi chiave riguardano l'identificazione, il tracciamento e la protezione degli asset; la messa in sicurezza dell'infrastruttura; la protezione della supply chain per modelli, dati e altri componenti dello sviluppo; la documentazione e l'auditing di dati, modelli e prompt; la conduzione di test appropriati.

Per la fase di deployment (ma anche pre-implementazione, se esiste) il principio è uno solo, ma davvero molto ampio: garantire che gli utenti finali e tutte le altre entità coinvolte abbiano chiari tutti i dettagli sul funzionamento dei sistemi e dei servizi di AI di cui fruiscono. Tra l'altro, devono avere chiaro quali dati vengono usati e come, chi li consulta, come si usano materialmente le funzioni e i modelli di AI e come si configurano, quali sono in ogni momento i rischi e le informazioni legate alla cybersecurity di cui tenere conto.

Anche per la parte di manutenzione i principi sono solo due, ma di ampio impatto: garantire ed effettuare regolarmente attività di patching, aggiornamento e mitigazione; monitorare costantemente il comportamento dei sistemi di AI per identificare subito anomalie di funzionamento, vulnerabilità, brecce, deviazioni anomale nel comportamento dei modelli di Intelligenza Artificiale.

Infine, nella fase di "end of life" il principio chiave è garantire che i modelli di AI e i dati che questi usano siano "pensionati" in modo corretto: un requisito che rimanda a due aspetti chiave. Il primo è più tecnico: quando un sistema o un modello di AI vengono "spenti" definitivamente (ma anche se vengono trasferiti a, o condivisi con, un altro operatore), va garantito che durante questo processo non insorgano vulnerabilità o rischi che mettano in pericolo i sistemi e i dati. Il secondo apetto riguarda i dati e i metadati usati per addestrare e per far funzionare i modelli di AI: se un modello viene eliminato, trasferito o condiviso, bisogna identificare i dati e i metadati che vanno eliminati - e in modo sicuro - per rispettare le policy aziendali e alle norme di compliance coinvolte.

Nel complesso, l'obiettivo di ETSI è che la nuova norma offra a tutti gli "anelli" della supply chain dell'AI - dai fornitori tecnologici ai system integrator, fino agli utenti finali - una base di riferimento chiara e coerente per la sicurezza dell'AI. Peraltro, si tratta solo di un primo passo: ETSI sta lavorando anche a un Technical Report - ETSI TR 104 159 - dedicato in modo specifico all'applicazione della nuova norma EN 304 223 all'AI generativa, concentrandosi su aspetti specifici come deepfake, disinformazione, rischi di riservatezza, copyright e questioni relative alla proprietà intellettuale.