ETİK
KÜLTÜR & SANAT
Yapay Zekanın Siber Güvenliği ve Standardizasyon Bölüm-3
Yapay Zekanın Siber Güvenliği ve Standardizasyon
Bölüm-3
.png)
.png)
Aşağıdaki Enisa Raporu Enisa web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Yapay Zeka Çalışma Grubumuzdan Hayri Aydın, Sabri Günaydın, Gürol Mutaf tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan ENISA Ekibi 'ne, Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
.png)
4.2 YAPAY ZEKANIN SİBER GÜVENLİĞİNİ DESTEKLEMEK İÇİN STANDARDİZASYON - GÜVENİLİRLİK
Bölüm 2.2'de açıklandığı gibi, siber güvenlik sadece varlıkların korunmasının ötesinde anlaşılabilir ve YZ'nin güvenilirlik özelliklerinin doğru uygulanması için temel olarak kabul edilebilir ve - tersine - güvenilirlik özelliklerinin doğru uygulanması siber güvenliğin sağlanmasının anahtarıdır.
Tablo 3, taslak YZ Yasası bağlamında bu ilişkiyi örneklendirmektedir. Tablo, bir YZ ekosisteminin güvenilirliğine atıfta bulunulduğu düşünülebilecek yasa tarafından özetlenen bir dizi gereklilik içinde siber güvenliğin rolünü göstermektedir. Aslında, bazıları (örneğin kalite yönetimi, risk yönetimi) dolaylı olarak bir YZ güven ekosisteminin oluşturulmasına katkıda bulunmaktadır, ancak eşit derecede önemli görüldükleri ve taslak YZ Yasasının gereklilikleri
oldukları için dahil edilmiştir14.
14 Avrupa Komisyonu'nun Yapay Zekâ Üst Düzey Uzman Grubu, güvenilirliğin yedi özelliğini belirlemiştir: insan aracılığı ve gözetimi; teknik sağlamlık ve güvenlik; gizlilik ve veri yönetişimi; şeffaflık; çeşitlilik, ayrımcılık yapmama ve adalet; toplumsal ve çevresel refah; ve hesap verebilirlik.
Tablo 315: Taslak Yapay Zekâ Yasası tarafından ana hatları çizilen bir dizi gereklilik içerisinde siber güvenliğin rolü
.png)
.png)
15 Kaynak: Nativi, S. ve De Nigris, S., AI Standardisation Landscape'den uyarlanmıştır: Oyunun durumu ve yapay zeka düzenleyici çerçevesi için AT önerisiyle bağlantı (https://publications.jrc.ec.europa.eu/repository/handle/JRC125952).
Bölüm 3.1'de özetlenen genel amaçlı teknik ve organizasyonel standartlar, bu güvenilirlik hususlarını bir dereceye kadar kapsamaktadır. SDO'lar konuyu aktif olarak ele almakta ve güvenilirliği desteklemek için YZ'ye özgü standartlar geliştirmektedir. Özellikle, ISO/IEC SC 42 bu hususların çoğunu birden fazla standartta geliştirmektedir ve CEN-CENELEC JTC 21 bu standartların benimsenmesi/uyarlanması için çalışmaktadır (bkz. ek A.3). Bu normaldir ve ilk etapta bir dereceye kadar kaçınılmazdır. Yine de, düzenleyici bir bağlamda, çabaların çoğaltılmasından - ve bir dereceye kadar tekrarlanmasından - kaçınırken, güvenilirliğe yönelik birleşik, kapsamlı, tutarlı ve sentetik bir yaklaşım beklenebilir. Ayrıca, aynı özellikler (sağlamlık, açıklanabilirlik, vb.) için, bazıları siber güvenlik alanından, bazıları da YZ alanından gelen ve tutarsızlık riski taşıyan birden fazla standart setine sahip olmak verimsiz ve hatta ters etki yaratacaktır. Sonuç olarak, güvenilirlik özelliklerine yönelik birleşik bir yaklaşım şiddetle tavsiye edilmektedir. Özellikle, tutarlılık ve kapsamlılık sağlamak için, gereksiz ve kafa karıştırıcı tekrarlardan kaçınmak amacıyla kimin ne yaptığını netleştirmek gerekir ve belirli bir düzeyde koordinasyon ve irtibat hayati önem taşır.
Kutu 4: Örnek - Siber güvenlik uygunluk değerlendirmesi
.png)
Kutu 5: Örnek - Düşmanca saldırılar
.png)
4.3 TASLAK YZ YASASI BAĞLAMINDA SİBER GÜVENLİK VE STANDARDİZASYON
Taslak YZ Yasası, yüksek riskli YZ sistemlerinin siber güvenliğine açıkça atıfta bulunmaktadır. Yüksek riskli YZ sistemleri, üçüncü taraf önceden tahmin edilmiş uygunluk değerlendirmesine tabi olan ürünlerin güvenlik bileşenleri olarak kullanılması amaçlanan YZ sistemleri ve esas olarak temel haklar (örneğin göç, iltica ve sınır kontrol yönetimi için) ve kritik altyapının yönetimi ve işletimi için bağımsız YZ sistemleri ile sınırlıdır. Daha açık bir ifadeyle, taslak YZ Yasası, sistemin kullanım amacı ve sağlık, güvenlik ve temel haklar üzerindeki etkileri temelinde bir YZ sisteminin yüksek riskli olup olmadığını belirlemek için risk temelli bir yaklaşım üzerine inşa edilmiştir.
Bu yaklaşımın, siber güvenlik riskini olumsuz etkisinin ve gerçekleşme olasılığının bir fonksiyonu olarak gören siber güvenlik riskine dayalı yaklaşımdan farklı olduğunu belirtmek önemlidir. Taslak YZ Yasasına göre, siber güvenlik, yalnızca bir sistem yüksek riskli olarak tanımlandığında uygulanan ve bu nedenle değerlendirilen bir gerekliliktir.
Bu yüksek riskli sistemler, Madde 15, 'Doğruluk, sağlamlık ve siber güvenlik'te olduğu gibi, siber güvenlik de bunlardan biri olmak üzere bir dizi gerekliliğe tabidir. Belirtilen siber güvenlik gereklilikleri yasaldır ve yüksek seviyede kalmaktadır. Yine de bazı teknik hususlara açıkça atıfta bulunulmaktadır:
Yüksek riskli YZ sistemleri, yetkisiz üçüncü tarafların sistem açıklarından yararlanarak kullanımlarını veya performanslarını değiştirme girişimlerine karşı dirençli olmalıdır.
YZ'ye özgü güvenlik açıklarını ele almak için teknik çözümler, uygun olduğunda, eğitim veri setini manipüle etmeye çalışan saldırıları ('veri zehirlenmesi'), modelin hata yapmasına neden olmak için tasarlanmış girdileri ('düşmanca örnekler') veya model kusurlarını önlemek ve kontrol etmek için önlemler içermelidir.
Taslak YZ Yasası ayrıca, Madde 13, "Şeffaflık ve kullanıcılara bilgi sağlanması", yüksek riskli YZ sistemlerine, diğer şeylerin yanı sıra, "yüksek riskli YZ sisteminin test edildiği ve doğrulandığı ve beklenebilecek Madde 15'te belirtilen doğruluk, sağlamlık ve siber güvenlik seviyesini ve beklenen doğruluk, sağlamlık ve siber güvenlik seviyesi üzerinde etkisi olabilecek bilinen ve öngörülebilir koşulları" belirten kullanım talimatlarının eşlik etmesi gerektiğini belirtmektedir.
Buna ek olarak, taslak YZ Yasası, özetlerinde siber güvenliğe atıfta bulunmaktadır. Özellikle,
Resital 51 AB Genel Veri Koruma Yönetmeliği (EU-GDPR) ‘’nde "Risklere uygun bir siber güvenlik seviyesi sağlamak için, yüksek riskli YZ sistemlerinin sağlayıcıları tarafından, temel BİT altyapısı da uygun şekilde dikkate alınarak uygun önlemler alınmalıdır" denilmektedir.
Son olarak, taslak YZ Yasası, Tablo 2'de örneklendiği gibi, bir dizi başka gereklilik aracılığıyla siber güvenliği ele almaktadır. Ekler (A.3 ve A.4), Avrupa standardizasyon kuruluşlarının (ESO'lar) YZ Yasasının gerekliliklerine ilişkin faaliyetlerine genel bir bakış içermektedir. Bunlara ve önceki bölümlere dayanarak, taslak YZ Yasasının siber güvenlik perspektifinden uygulanmasına ilişkin aşağıdaki hususlar özetlenmiştir.
• YZ'nin çok çeşitli alanlarda uygulanabilirliği göz önüne alındığında, siber güvenlik risklerinin tanımlanması ve uygun güvenlik gereksinimlerinin belirlenmesi, sisteme özgü bir analize ve gerektiğinde sektörel standartlara dayanmalıdır. Sektörel standartlar yatay standartlar üzerine tutarlı ve verimli bir şekilde inşa edilmelidir. Buna karşılık, güvenlik gerekliliklerine uyumun değerlendirilmesi, YZ'ye özgü yatay standartlara16 ve dikey/sektöre özgü standartlara da dayanabilir.
• Ar-Ge gelişmelerini izlerken, YZ sistemlerinin siber güvenliğini destekleyebilecek mevcut teknik ve organizasyonel standartları desteklemek için gerekli rehberliği geliştirmek önemlidir. Siber güvenliğin bazı yönleri şimdi özel rehberlik geliştirilerek ele alınabilirken, diğerleri hala Ar-Ge aşamasındadır. YZ Yasasının amaçları doğrultusunda, açıklanan teknolojik boşluklar ve devam eden Ar-Ge süreçleri, Madde 15'te belirtilen siber güvenlik gereksinimlerinin bazı yönlerini (düşmanca örnekler ve veri zehirlenmesi) etkilemektedir ve bu nedenle, uygunluk değerlendirmesinin nasıl organize edileceğine bağlı olarak, taslak YZ Yasası ile ilgili standardizasyon boşlukları oluşturabilir.
16 Örneğin, ISO/IEC JTC 1/SC 42, 'YZ risk kataloğu ve YZ risk yönetimi' üzerine özel bir JTC 21 standardı ile tamamlanacak bir YZ risk yönetimi standardı (ISO 23894, Bilgi teknolojisi - Yapay zeka - Risk yönetimi hakkında rehberlik) üzerinde çalışmaktadır.
• Bölüm 3.1'de açıklandığı üzere, SDO'lar güvenilirlik özelliklerinin standartlaştırılması üzerinde aktif olarak çalışmaktadır; ancak, bu standartların taslak YZ Yasasının kabulü için zamanında kabul edilip edilmeyeceği belirsizdir. Bu nedenle, ilgili gelişmelerin yakından izlenmesi tavsiye edilmektedir.
Taslak YZ Yasası, YZ sistemlerinin uygunluk değerlendirmesinin dayandığı bir yönetişim sistemini de tasvir etmektedir. Yukarıda özetlenen uygunluk değerlendirmesine ilişkin spesifik tavsiyelerin yanı sıra, aşağıdakiler de not edilmiştir.
• YZ sistemlerinde uygunluk değerlendirmesi yapan aktörlerin, siber güvenlik de dahil olmak üzere standartlaştırılmış araçlara ve yeterliliklere sahip olmasını sağlamak. Bazı durumlarda, uygunluk değerlendirmesi onaylanmış kuruluşlar tarafından gerçekleştirilebilir. Bu nedenle, YZ güvenilirliği kısmen bu kuruluşların yetkinliklerine bağlı olacaktır. Bu kuruluşlar uygun yetkinliklere sahip değilse, kötü değerlendirmeler yapabilir ve hatta piyasayı önyargılı hale getirebilirler. Bugüne kadar, siber güvenliği yeterince kapsayan ve YZ sistemlerinin (ve YZ yönetim sistemlerinin) ve değerlendiricilerinin denetlenmesi, belgelendirilmesi ve test edilmesi için kuruluşların yeterliliklerini tanımlayan hiçbir standart yoktur. Bu çok önemlidir, çünkü bazı YZ algoritmaları YZ sistemlerine saldırırken diğer YZ algoritmaları onları koruyacaktır. Yeni YZ tehditleri (YZ kullanan tehditler) muhtemelen mevcut güvenlik açıklarından yararlanmada giderek daha etkili olurken, YZ algoritmaları (YZ kullanan siber güvenlik) örneğin bir YZ sisteminin davranışını izleyerek onu koruyabilir. Özetle, YZ sistemlerinin doğrulanması, test edilmesi, denetlenmesi, belgelendirilmesi ve YZ yönetim sistemlerinin denetlenmesi ve belgelendirilmesi için yeterlilikler konusunda standardizasyon boşlukları vardır (Bu son nokta ile ilgili bir proje ISO/IEC SC 42 tarafından hazırlanmasına rağmen, ne ölçüde yeterli olacağı belirsizdir).
• Taslak YZ Yasası ile siber güvenlik mevzuatı arasında düzenleyici tutarlılığın sağlanması. Özellikle, taslak YZ Yasası'nın 42. Maddesi, 2019/881 sayılı Tüzük (AB) (Siber Güvenlik Yasası) uyarınca bir siber güvenlik planı kapsamında sertifikalandırılmış veya uygunluk beyanı verilmiş olan yüksek riskli YZ sistemleri için siber güvenlik gerekliliklerine uygunluk varsayımını ortaya koymaktadır17. YZ için bir AB siber güvenlik sertifikasyon programı için resmi bir talep henüz yayınlanmamış olsa da, eğer geliştirilirse, böyle bir programın taslak YZ Yasasını karşılıklı olarak dikkate alınmasını gerektirecektir. Örneğin, Siber Güvenlik Yasası, bir BİT ürününün / hizmetinin / sürecinin amaçlanan kullanımıyla ilişkili risk düzeyiyle orantılı olan üç güvence düzeyi (temel, önemli, yüksek) belirlemektedir. Bu seviyeler, BİT ürününün/hizmetinin/sürecinin değerlendirilmesinin titizliğini ve derinliğini sağlar ve olayları hafifletmek veya önlemek için olanlar da dahil olmak üzere teknik özelliklere, standartlara ve prosedürlere atıfta bulunur. Bu güvence seviyelerinin taslak YZ Yasası bağlamında uygulanıp uygulanamayacağı ve nasıl uygulanacağı henüz tanımlanmamıştır.
• YZ Yasası taslağını etkileyebilecek bir diğer düzenleyici gelişme, dijital unsurlara sahip ürünler için yatay siber güvenlik gerekliliklerine ilişkin bir düzenleme için COM(2022) 454 sayılı tekliftir (Siber Dayanıklılık Yasası)18 . Teklif Eylül 2022'de sunulmuştur.
17 ENISA (Avrupa Birliği Siber Güvenlik Ajansı) ve bilgi ve iletişim teknolojileri siber güvenlik sertifikasyonuna ilişkin ve 526/2013 sayılı (AB) Tüzüğü (Siber Güvenlik Yasası) yürürlükten kaldıran 2019/881 sayılı (AB) Tüzük ( https://eur-lex.europa.eu/eli/reg/2019/881/oj).
18 https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Bundan sonraki bölümde "Sonuçlar" ile devam edilecektir.
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı (The European Union Agency for Cybersecurity) ENISA, Avrupa genelinde yüksek düzeyde ortak siber güvenlik sağlamaya amaçlayan bir Birlik ajansıdır. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı, AB siber politikasına katkıda bulunur, siber güvenlik sertifikasyon programları ile ICT ürünlerinin, hizmetlerinin ve süreçlerinin güvenilirliğini arttırır, Üye Devletler ve AB organları ile işbirliği yapar ve gelecekte Avrupa'nın siber zorluklarına hazırlanmasına yardımcı olur. Ajans, bilgi paylaşımı, kapasite geliştirme ve farkındalık yaratma yoluyla, bağlantılı Teknoloji, bağlantılı cihazlar, yazılım, ödemeler ve hücresel teknolojideki yenilikler, insanların ve işletmelerin herhangi bir cihaz aracılığıyla, herhangi bir dijital veya fiziksel konumda güvenli, emniyetli ve gerçek zamanlı olarak birbirleriyle bağlantı kurmasını ve iş yapmasını mümkün kılmaktadır. Dijital ve fiziksel dünyaların bu entegrasyonu, ekonomiye olan güveni güçlendirmek, Birliğin altyapısının dayanıklılığını artırmak ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak için kilit paydaşlarıyla birlikte çalışmaktadır. ENISA ve çalışmaları hakkında daha fazla bilgiye buradan ulaşabilirsiniz: www.enisa.europa.eu.
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen team@enisa.europa.eu adresini kullanın.
YAZARLAR
P. Bezombes, S. Brunessaux, S. Cadzow
EDİTÖR(LER)
ENISA:
E. Magonara
S. Gorniak
P. Magnabosco E. Tsekmezoglou
TEŞEKKÜRLER
Ortak Araştırma Merkezi'ne ve Avrupa Komisyonu'na taslak hazırlama aşamasındaki aktif katkıları ve yorumları için teşekkür ederiz. Ayrıca, Yapay Zeka (AI) siber güvenliği üzerine ENISA Geçici Uzman Grubuna, bu raporun doğrulanmasındaki değerli geri bildirimleri ve yorumları için teşekkür ederiz.
YASAL BİLDİRİM
Bu yayın, aksi belirtilmedikçe ENISA'nın görüş ve yorumlarını temsil etmektedir. ENISA'nın veya ENISA organlarının 2019/881 sayılı Tüzük (AB) uyarınca düzenleyici bir yükümlülüğünü onaylamaz.
ENISA, yayını veya içeriğinden herhangi birini değiştirme, güncelleme veya kaldırma hakkına sahiptir. Bu yayın sadece bilgilendirme amaçlıdır ve ücretsiz olarak erişilebilir. Yayına yapılan tüm atıflar veya yayının tamamının ya da bir kısmının kullanımı, kaynak olarak ENISA'yı içermelidir.
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu veya yükümlü değildir.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayında yer alan bilgilerin kullanımından sorumlu değildir.
ENISA bu yayınla ilgili fikri mülkiyet haklarını korumaktadır.
TELIF HAKKI BİLDİRİMİ
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2023
ISBN 978-92-9204-616-3, DOI 10.2824/277479, TP-03-23-011-EN-C
Taslak YZ Yasası, yüksek riskli YZ sistemlerinin siber güvenliğine açıkça atıfta bulunmaktadır. Yüksek riskli YZ sistemleri, üçüncü taraf önceden tahmin edilmiş uygunluk değerlendirmesine tabi olan ürünlerin güvenlik bileşenleri olarak kullanılması amaçlanan YZ sistemleri ve esas olarak temel haklar (örneğin göç, iltica ve sınır kontrol yönetimi için) ve kritik altyapının yönetimi ve işletimi için bağımsız YZ sistemleri ile sınırlıdır. Daha açık bir ifadeyle, taslak YZ Yasası, sistemin kullanım amacı ve sağlık, güvenlik ve temel haklar üzerindeki etkileri temelinde bir YZ sisteminin yüksek riskli olup olmadığını belirlemek için risk temelli bir yaklaşım üzerine inşa edilmiştir.
Bu yaklaşımın, siber güvenlik riskini olumsuz etkisinin ve gerçekleşme olasılığının bir fonksiyonu olarak gören siber güvenlik riskine dayalı yaklaşımdan farklı olduğunu belirtmek önemlidir. Taslak YZ Yasasına göre, siber güvenlik, yalnızca bir sistem yüksek riskli olarak tanımlandığında uygulanan ve bu nedenle değerlendirilen bir gerekliliktir.
Bu yüksek riskli sistemler, Madde 15, 'Doğruluk, sağlamlık ve siber güvenlik'te olduğu gibi, siber güvenlik de bunlardan biri olmak üzere bir dizi gerekliliğe tabidir. Belirtilen siber güvenlik gereklilikleri yasaldır ve yüksek seviyede kalmaktadır. Yine de bazı teknik hususlara açıkça atıfta bulunulmaktadır:
Yüksek riskli YZ sistemleri, yetkisiz üçüncü tarafların sistem açıklarından yararlanarak kullanımlarını veya performanslarını değiştirme girişimlerine karşı dirençli olmalıdır.
YZ'ye özgü güvenlik açıklarını ele almak için teknik çözümler, uygun olduğunda, eğitim veri setini manipüle etmeye çalışan saldırıları ('veri zehirlenmesi'), modelin hata yapmasına neden olmak için tasarlanmış girdileri ('düşmanca örnekler') veya model kusurlarını önlemek ve kontrol etmek için önlemler içermelidir.
Taslak YZ Yasası ayrıca, Madde 13, "Şeffaflık ve kullanıcılara bilgi sağlanması", yüksek riskli YZ sistemlerine, diğer şeylerin yanı sıra, "yüksek riskli YZ sisteminin test edildiği ve doğrulandığı ve beklenebilecek Madde 15'te belirtilen doğruluk, sağlamlık ve siber güvenlik seviyesini ve beklenen doğruluk, sağlamlık ve siber güvenlik seviyesi üzerinde etkisi olabilecek bilinen ve öngörülebilir koşulları" belirten kullanım talimatlarının eşlik etmesi gerektiğini belirtmektedir.
Buna ek olarak, taslak YZ Yasası, özetlerinde siber güvenliğe atıfta bulunmaktadır. Özellikle,
Resital 51 AB Genel Veri Koruma Yönetmeliği (EU-GDPR) ‘’nde "Risklere uygun bir siber güvenlik seviyesi sağlamak için, yüksek riskli YZ sistemlerinin sağlayıcıları tarafından, temel BİT altyapısı da uygun şekilde dikkate alınarak uygun önlemler alınmalıdır" denilmektedir.
Son olarak, taslak YZ Yasası, Tablo 2'de örneklendiği gibi, bir dizi başka gereklilik aracılığıyla siber güvenliği ele almaktadır. Ekler (A.3 ve A.4), Avrupa standardizasyon kuruluşlarının (ESO'lar) YZ Yasasının gerekliliklerine ilişkin faaliyetlerine genel bir bakış içermektedir. Bunlara ve önceki bölümlere dayanarak, taslak YZ Yasasının siber güvenlik perspektifinden uygulanmasına ilişkin aşağıdaki hususlar özetlenmiştir.
• YZ'nin çok çeşitli alanlarda uygulanabilirliği göz önüne alındığında, siber güvenlik risklerinin tanımlanması ve uygun güvenlik gereksinimlerinin belirlenmesi, sisteme özgü bir analize ve gerektiğinde sektörel standartlara dayanmalıdır. Sektörel standartlar yatay standartlar üzerine tutarlı ve verimli bir şekilde inşa edilmelidir. Buna karşılık, güvenlik gerekliliklerine uyumun değerlendirilmesi, YZ'ye özgü yatay standartlara16 ve dikey/sektöre özgü standartlara da dayanabilir.
• Ar-Ge gelişmelerini izlerken, YZ sistemlerinin siber güvenliğini destekleyebilecek mevcut teknik ve organizasyonel standartları desteklemek için gerekli rehberliği geliştirmek önemlidir. Siber güvenliğin bazı yönleri şimdi özel rehberlik geliştirilerek ele alınabilirken, diğerleri hala Ar-Ge aşamasındadır. YZ Yasasının amaçları doğrultusunda, açıklanan teknolojik boşluklar ve devam eden Ar-Ge süreçleri, Madde 15'te belirtilen siber güvenlik gereksinimlerinin bazı yönlerini (düşmanca örnekler ve veri zehirlenmesi) etkilemektedir ve bu nedenle, uygunluk değerlendirmesinin nasıl organize edileceğine bağlı olarak, taslak YZ Yasası ile ilgili standardizasyon boşlukları oluşturabilir.
16 Örneğin, ISO/IEC JTC 1/SC 42, 'YZ risk kataloğu ve YZ risk yönetimi' üzerine özel bir JTC 21 standardı ile tamamlanacak bir YZ risk yönetimi standardı (ISO 23894, Bilgi teknolojisi - Yapay zeka - Risk yönetimi hakkında rehberlik) üzerinde çalışmaktadır.
• Bölüm 3.1'de açıklandığı üzere, SDO'lar güvenilirlik özelliklerinin standartlaştırılması üzerinde aktif olarak çalışmaktadır; ancak, bu standartların taslak YZ Yasasının kabulü için zamanında kabul edilip edilmeyeceği belirsizdir. Bu nedenle, ilgili gelişmelerin yakından izlenmesi tavsiye edilmektedir.
Taslak YZ Yasası, YZ sistemlerinin uygunluk değerlendirmesinin dayandığı bir yönetişim sistemini de tasvir etmektedir. Yukarıda özetlenen uygunluk değerlendirmesine ilişkin spesifik tavsiyelerin yanı sıra, aşağıdakiler de not edilmiştir.
• YZ sistemlerinde uygunluk değerlendirmesi yapan aktörlerin, siber güvenlik de dahil olmak üzere standartlaştırılmış araçlara ve yeterliliklere sahip olmasını sağlamak. Bazı durumlarda, uygunluk değerlendirmesi onaylanmış kuruluşlar tarafından gerçekleştirilebilir. Bu nedenle, YZ güvenilirliği kısmen bu kuruluşların yetkinliklerine bağlı olacaktır. Bu kuruluşlar uygun yetkinliklere sahip değilse, kötü değerlendirmeler yapabilir ve hatta piyasayı önyargılı hale getirebilirler. Bugüne kadar, siber güvenliği yeterince kapsayan ve YZ sistemlerinin (ve YZ yönetim sistemlerinin) ve değerlendiricilerinin denetlenmesi, belgelendirilmesi ve test edilmesi için kuruluşların yeterliliklerini tanımlayan hiçbir standart yoktur. Bu çok önemlidir, çünkü bazı YZ algoritmaları YZ sistemlerine saldırırken diğer YZ algoritmaları onları koruyacaktır. Yeni YZ tehditleri (YZ kullanan tehditler) muhtemelen mevcut güvenlik açıklarından yararlanmada giderek daha etkili olurken, YZ algoritmaları (YZ kullanan siber güvenlik) örneğin bir YZ sisteminin davranışını izleyerek onu koruyabilir. Özetle, YZ sistemlerinin doğrulanması, test edilmesi, denetlenmesi, belgelendirilmesi ve YZ yönetim sistemlerinin denetlenmesi ve belgelendirilmesi için yeterlilikler konusunda standardizasyon boşlukları vardır (Bu son nokta ile ilgili bir proje ISO/IEC SC 42 tarafından hazırlanmasına rağmen, ne ölçüde yeterli olacağı belirsizdir).
• Taslak YZ Yasası ile siber güvenlik mevzuatı arasında düzenleyici tutarlılığın sağlanması. Özellikle, taslak YZ Yasası'nın 42. Maddesi, 2019/881 sayılı Tüzük (AB) (Siber Güvenlik Yasası) uyarınca bir siber güvenlik planı kapsamında sertifikalandırılmış veya uygunluk beyanı verilmiş olan yüksek riskli YZ sistemleri için siber güvenlik gerekliliklerine uygunluk varsayımını ortaya koymaktadır17. YZ için bir AB siber güvenlik sertifikasyon programı için resmi bir talep henüz yayınlanmamış olsa da, eğer geliştirilirse, böyle bir programın taslak YZ Yasasını karşılıklı olarak dikkate alınmasını gerektirecektir. Örneğin, Siber Güvenlik Yasası, bir BİT ürününün / hizmetinin / sürecinin amaçlanan kullanımıyla ilişkili risk düzeyiyle orantılı olan üç güvence düzeyi (temel, önemli, yüksek) belirlemektedir. Bu seviyeler, BİT ürününün/hizmetinin/sürecinin değerlendirilmesinin titizliğini ve derinliğini sağlar ve olayları hafifletmek veya önlemek için olanlar da dahil olmak üzere teknik özelliklere, standartlara ve prosedürlere atıfta bulunur. Bu güvence seviyelerinin taslak YZ Yasası bağlamında uygulanıp uygulanamayacağı ve nasıl uygulanacağı henüz tanımlanmamıştır.
• YZ Yasası taslağını etkileyebilecek bir diğer düzenleyici gelişme, dijital unsurlara sahip ürünler için yatay siber güvenlik gerekliliklerine ilişkin bir düzenleme için COM(2022) 454 sayılı tekliftir (Siber Dayanıklılık Yasası)18 . Teklif Eylül 2022'de sunulmuştur.
17 ENISA (Avrupa Birliği Siber Güvenlik Ajansı) ve bilgi ve iletişim teknolojileri siber güvenlik sertifikasyonuna ilişkin ve 526/2013 sayılı (AB) Tüzüğü (Siber Güvenlik Yasası) yürürlükten kaldıran 2019/881 sayılı (AB) Tüzük ( https://eur-lex.europa.eu/eli/reg/2019/881/oj).
18 https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Bundan sonraki bölümde "Sonuçlar" ile devam edilecektir.
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı (The European Union Agency for Cybersecurity) ENISA, Avrupa genelinde yüksek düzeyde ortak siber güvenlik sağlamaya amaçlayan bir Birlik ajansıdır. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı, AB siber politikasına katkıda bulunur, siber güvenlik sertifikasyon programları ile ICT ürünlerinin, hizmetlerinin ve süreçlerinin güvenilirliğini arttırır, Üye Devletler ve AB organları ile işbirliği yapar ve gelecekte Avrupa'nın siber zorluklarına hazırlanmasına yardımcı olur. Ajans, bilgi paylaşımı, kapasite geliştirme ve farkındalık yaratma yoluyla, bağlantılı Teknoloji, bağlantılı cihazlar, yazılım, ödemeler ve hücresel teknolojideki yenilikler, insanların ve işletmelerin herhangi bir cihaz aracılığıyla, herhangi bir dijital veya fiziksel konumda güvenli, emniyetli ve gerçek zamanlı olarak birbirleriyle bağlantı kurmasını ve iş yapmasını mümkün kılmaktadır. Dijital ve fiziksel dünyaların bu entegrasyonu, ekonomiye olan güveni güçlendirmek, Birliğin altyapısının dayanıklılığını artırmak ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak için kilit paydaşlarıyla birlikte çalışmaktadır. ENISA ve çalışmaları hakkında daha fazla bilgiye buradan ulaşabilirsiniz: www.enisa.europa.eu.
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen team@enisa.europa.eu adresini kullanın.
YAZARLAR
P. Bezombes, S. Brunessaux, S. Cadzow
EDİTÖR(LER)
ENISA:
E. Magonara
S. Gorniak
P. Magnabosco E. Tsekmezoglou
TEŞEKKÜRLER
Ortak Araştırma Merkezi'ne ve Avrupa Komisyonu'na taslak hazırlama aşamasındaki aktif katkıları ve yorumları için teşekkür ederiz. Ayrıca, Yapay Zeka (AI) siber güvenliği üzerine ENISA Geçici Uzman Grubuna, bu raporun doğrulanmasındaki değerli geri bildirimleri ve yorumları için teşekkür ederiz.
YASAL BİLDİRİM
Bu yayın, aksi belirtilmedikçe ENISA'nın görüş ve yorumlarını temsil etmektedir. ENISA'nın veya ENISA organlarının 2019/881 sayılı Tüzük (AB) uyarınca düzenleyici bir yükümlülüğünü onaylamaz.
ENISA, yayını veya içeriğinden herhangi birini değiştirme, güncelleme veya kaldırma hakkına sahiptir. Bu yayın sadece bilgilendirme amaçlıdır ve ücretsiz olarak erişilebilir. Yayına yapılan tüm atıflar veya yayının tamamının ya da bir kısmının kullanımı, kaynak olarak ENISA'yı içermelidir.
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu veya yükümlü değildir.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayında yer alan bilgilerin kullanımından sorumlu değildir.
ENISA bu yayınla ilgili fikri mülkiyet haklarını korumaktadır.
TELIF HAKKI BİLDİRİMİ
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2023
ISBN 978-92-9204-616-3, DOI 10.2824/277479, TP-03-23-011-EN-C
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!