Đáp ứng tiêu chuẩn ETSI mới về bảo mật AI

Tiêu chuẩn ETSI EN 304 223 đưa ra các yêu cầu bảo mật cơ bản cho AI mà các doanh nghiệp phải tích hợp vào các khung quản trị.

Khi các tổ chức nhúng học máy vào các hoạt động cốt lõi của mình, Tiêu chuẩn Châu Âu (EN) này thiết lập các điều khoản cụ thể để bảo mật các mô hình và hệ thống AI. Đây là Tiêu chuẩn Châu Âu đầu tiên có thể áp dụng trên toàn cầu về an ninh mạng AI, đã nhận được sự chấp thuận chính thức từ các Tổ chức Tiêu chuẩn Quốc gia để củng cố uy tín trên các thị trường quốc tế.

Tiêu chuẩn này đóng vai trò là một chuẩn mực cần thiết bên cạnh Đạo luật AI của EU. Nó giải quyết thực tế là các hệ thống AI sở hữu những rủi ro đặc thù – chẳng hạn như dễ bị nhiễm độc dữ liệu (data poisoning), làm xáo trộn mô hình (model obfuscation) và chèn lời nhắc gián tiếp (indirect prompt injection) – những điều mà các biện pháp bảo mật phần mềm truyền thống thường bỏ qua. Tiêu chuẩn này bao gồm từ mạng thần kinh sâu và AI tạo sinh cho đến các hệ thống dự báo cơ bản, chỉ loại trừ rõ ràng các hệ thống được sử dụng nghiêm ngặt cho nghiên cứu học thuật.

Tiêu chuẩn ETSI làm rõ chuỗi trách nhiệm đối với bảo mật AI

Một rào cản dai dẳng trong việc áp dụng AI tại doanh nghiệp là xác định ai là người chịu trách nhiệm về rủi ro. Tiêu chuẩn ETSI giải quyết vấn đề này bằng cách xác định ba vai trò kỹ thuật chính: Nhà phát triển (Developers), Nhà điều hành hệ thống (System Operators) và Người quản lý dữ liệu (Data Custodians).

Đối với nhiều doanh nghiệp, các ranh giới này thường bị mờ nhạt. Một công ty dịch vụ tài chính tinh chỉnh một mô hình mã nguồn mở để phát hiện gian lận được tính là cả Nhà phát triển và Nhà điều hành hệ thống. Trạng thái kép này kích hoạt các nghĩa vụ nghiêm ngặt, yêu cầu công ty phải bảo mật hạ tầng triển khai đồng thời ghi lại nguồn gốc của dữ liệu huấn luyện và kiểm toán thiết kế của mô hình.

Việc đưa 'Người quản lý dữ liệu' trở thành một nhóm bên liên quan riêng biệt có tác động trực tiếp đến các Giám đốc Dữ liệu và Phân tích (CDAOs). Các thực thể này kiểm soát quyền hạn và tính toàn vẹn của dữ liệu, một vai trò hiện mang trách nhiệm bảo mật rõ ràng. Người quản lý phải đảm bảo rằng mục đích sử dụng của hệ thống phù hợp với độ nhạy cảm của dữ liệu huấn luyện, về mặt hiệu quả là đặt một người gác cổng bảo mật trong quy trình quản lý dữ liệu.

Tiêu chuẩn AI của ETSI nêu rõ rằng bảo mật không thể là một ý tưởng bổ sung sau ở giai đoạn triển khai. Trong giai đoạn thiết kế, các tổ chức phải tiến hành mô hình hóa mối đe dọa để giải quyết các cuộc tấn công nhắm vào AI (AI-native attacks), chẳng hạn như suy luận thành viên (membership inference) và làm xáo trộn mô hình.

Một điều khoản yêu cầu các nhà phát triển hạn chế chức năng để giảm bề mặt tấn công. Ví dụ, nếu một hệ thống sử dụng mô hình đa phương thức nhưng chỉ yêu cầu xử lý văn bản, thì các phương thức không sử dụng (như xử lý hình ảnh hoặc âm thanh) đại diện cho một rủi ro cần phải được quản lý. Yêu cầu này buộc các nhà lãnh đạo kỹ thuật phải xem xét lại thói quen phổ biến là triển khai các mô hình nền tảng khổng lồ, đa năng trong khi một mô hình nhỏ hơn và chuyên biệt hơn là đã đủ.

Tài liệu này cũng thực thi việc quản lý tài sản nghiêm ngặt. Các Nhà phát triển và Nhà điều hành hệ thống phải duy trì một danh mục tài sản toàn diện, bao gồm các mối quan hệ phụ thuộc lẫn nhau và khả năng kết nối. Điều này hỗ trợ việc phát hiện AI bóng tối (shadow AI); các nhà lãnh đạo IT không thể bảo mật các mô hình mà họ không biết là có tồn tại. Tiêu chuẩn này cũng yêu cầu tạo ra các kế hoạch phục hồi sau thảm họa cụ thể được điều chỉnh cho các cuộc tấn công AI, đảm bảo rằng một "trạng thái tốt đã biết" có thể được khôi phục nếu một mô hình bị xâm phạm.

Bảo mật chuỗi cung ứng là một điểm gây khó khăn tức thì cho các doanh nghiệp dựa vào các nhà cung cấp bên thứ ba hoặc các kho lưu trữ mã nguồn mở. Tiêu chuẩn ETSI yêu cầu nếu Nhà điều hành hệ thống chọn sử dụng các mô hình hoặc thành phần AI không được cung cấp tài liệu đầy đủ, họ phải giải thích cho quyết định đó và ghi lại các rủi ro bảo mật liên quan.

Về mặt thực tế, các nhóm mua sắm không còn có thể chấp nhận các giải pháp "hộp đen" (black box). Các Nhà phát triển được yêu cầu cung cấp mã băm mật mã (cryptographic hashes) cho các thành phần mô hình để xác minh tính xác thực. Trường hợp dữ liệu huấn luyện được lấy từ nguồn công khai (một thực tế phổ biến đối với các Mô hình ngôn ngữ lớn), các nhà phát triển phải ghi lại URL nguồn và dấu thời gian thu thập. Bản vết kiểm toán này là cần thiết cho các cuộc điều tra sau sự cố, đặc biệt là khi cố gắng xác định xem một mô hình có bị nhiễm độc dữ liệu trong giai đoạn huấn luyện hay không.

Nếu một doanh nghiệp cung cấp API cho khách hàng bên ngoài, họ phải áp dụng các biện pháp kiểm soát được thiết kế để giảm thiểu các cuộc tấn công tập trung vào AI, chẳng hạn như giới hạn tốc độ (rate limiting) để ngăn chặn kẻ xấu đảo ngược kỹ thuật mô hình hoặc áp đảo các biện pháp phòng thủ để chèn dữ liệu độc hại.

Cách tiếp cận theo vòng đời kéo dài sang giai đoạn bảo trì, nơi tiêu chuẩn coi các cập nhật lớn – chẳng hạn như huấn luyện lại trên dữ liệu mới – là việc triển khai một phiên bản mới. Theo tiêu chuẩn AI của ETSI, điều này kích hoạt yêu cầu kiểm tra và đánh giá bảo mật lại.

Việc giám sát liên tục cũng được chính thức hóa. Các Nhà điều hành hệ thống phải phân tích nhật ký (logs) không chỉ để xem thời gian hoạt động, mà còn để phát hiện "độ lệch dữ liệu" (data drift) hoặc những thay đổi dần dần trong hành vi có thể cho thấy một vụ vi phạm bảo mật. Điều này chuyển đổi việc giám sát AI từ một chỉ số hiệu suất sang một kỷ luật bảo mật.

Tiêu chuẩn cũng đề cập đến giai đoạn "Kết thúc vòng đời". Khi một mô hình ngừng hoạt động hoặc được chuyển giao, các tổ chức phải có sự tham gia của Người quản lý dữ liệu để đảm bảo việc tiêu hủy dữ liệu và chi tiết cấu hình một cách an toàn. Điều khoản này ngăn chặn việc rò rỉ sở hữu trí tuệ nhạy cảm hoặc dữ liệu huấn luyện thông qua phần cứng bị vứt bỏ hoặc các phiên bản đám mây bị bỏ quên.

Giám sát và quản trị điều hành

Việc tuân thủ ETSI EN 304 223 yêu cầu phải xem xét lại các chương trình đào tạo an ninh mạng hiện có. Tiêu chuẩn bắt buộc việc đào tạo phải được điều chỉnh cho các vai trò cụ thể, đảm bảo rằng các nhà phát triển hiểu về lập trình an toàn cho AI trong khi nhân viên nói chung vẫn nhận thức được các mối đe dọa như kỹ thuật xã hội (social engineering) thông qua các đầu ra của AI.

“ETSI EN 304 223 đại diện cho một bước tiến quan trọng trong việc thiết lập một nền tảng chung, nghiêm ngặt để bảo mật các hệ thống AI”, Scott Cadzow, Chủ tịch Ủy ban Kỹ thuật của ETSI về Bảo mật Trí tuệ Nhân tạo cho biết.

“Vào thời điểm mà AI ngày càng được tích hợp vào các dịch vụ và cơ sở hạ tầng quan trọng, việc có sẵn các hướng dẫn rõ ràng, thực tế phản ánh cả tính phức tạp của các công nghệ này và thực tế triển khai là điều không thể xem nhẹ. Công việc xây dựng khung tiêu chuẩn này là kết quả của sự hợp tác sâu rộng và nó có nghĩa là các tổ chức có thể hoàn toàn tin tưởng vào các hệ thống AI có khả năng phục hồi, đáng tin cậy và an toàn ngay từ khi thiết kế.”

Việc triển khai các tiêu chuẩn cơ bản này trong tiêu chuẩn bảo mật AI của ETSI cung cấp một cấu trúc cho sự đổi mới an toàn hơn. Bằng cách thực thi các bản vết kiểm toán được ghi chép đầy đủ, định nghĩa vai trò rõ ràng và tính minh bạch của chuỗi cung ứng, các doanh nghiệp có thể giảm thiểu rủi ro liên quan đến việc áp dụng AI đồng thời thiết lập một vị thế vững chắc cho các cuộc kiểm toán quy định trong tương lai.

Một Báo cáo Kỹ thuật sắp tới (ETSI TR 104 159) sẽ áp dụng các nguyên tắc này cụ thể cho AI tạo sinh, nhắm vào các vấn đề như deepfake và thông tin sai lệch.