Yapay Zekanın Siber Güvenliği ve Standardizasyon Bölüm-4
Yapay Zekanın Siber Güvenliği ve Standardizasyon
Bölüm-4
Aşağıdaki Enisa Raporu Enisa web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Yapay Zeka Çalışma Grubumuzdan Hayri Aydın, Sabri Günaydın, Gürol Mutaf tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan ENISA Ekibi 'ne, Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
5. SONUÇLAR
Bu bölüm, raporu özetlemekte ve YZ'nin siber güvenliğine ve taslak YZ Yasasının uygulanmasına standardizasyon desteği sağlamak için eylemler önermektedir.
5.1 Rapor Özeti
Çalışma, bilgi güvenliği ve kalite yönetimi için genel amaçlı standartların (özellikle ISO/IEC 27001, ISO/IEC 27002 ve ISO/IEC 9001) YZ sistemlerinin gizliliği, bütünlüğü ve kullanılabilirliği ile ilgili siber güvenlik risklerini kısmen azaltabileceğini öne sürmektedir. Bu sonuç, YZ'nin özünde yazılım olduğu varsayımına dayanmaktadır ve bu nedenle, yeterli rehberlik sağlandığı takdirde, yazılım için geçerli olan YZ'ye uygulanabilir.
Bu yaklaşım genel düzeyde yeterli olabilir, ancak CIA güvenlik hedeflerini destekleyen standartlaştırılmış yöntemlerin belirlenmesi genellikle alana özgü olduğundan, sisteme özgü bir analizle (örneğin ISO/IEC 15408-1:2009'a dayanarak) tamamlanması gerekir. Ortaya çıkan güvenlik gereksinimlerine uygunluğun değerlendirilmesinin ne ölçüde YZ'ye özgü yatay standartlara ve ne ölçüde dikey/sektöre özgü standartlara dayandırılabileceği tartışma konusudur.
Yine de bazı standardizasyon boşlukları tespit edilmiştir:
• Süreçlerin izlenebilirliği birkaç standart tarafından ele alınmaktadır, ancak verilerin ve YZ bileşenlerinin yaşam döngüleri boyunca izlenebilirliği, çoğu tehdidi kesen ve çeşitli standartlarda veya taslaklarda iyi bir şekilde ele alınmasına rağmen uygulamada büyük ölçüde ele alınmayan bir konu olmaya devam etmektedir (örneğin, YZ yönetim sistemleri hakkında ISO/IEC DIS 42001 20 ve analitik ve ML için veri kalitesi hakkında ISO/IEC CD 5259 serisi 21);
20 ISO/IEC DIS 42001, Bilgi teknolojisi - Yapay zeka - Yönetim sistemi (geliştirme aşamasında)
21 Dizi geliştirme aşamasındadır (https://www.iso.org/ics/35.020/x/)
• ML'nin kendine has özellikleri, özellikle ölçütler ve test prosedürleri açısından mevcut standartlara tam olarak yansıtılmamaktadır;
• Bazı alanlarda, ilgili teknolojiler hala geliştirilmekte olduğundan ve henüz standartlaştırılacak kadar olgunlaşmadığından, mevcut standartlar uyarlanamamakta veya yeni standartlar henüz tam olarak tanımlanamamaktadır.
Yalnızca CIA paradigmasının ötesine geçip daha geniş bir güvenilirlik perspektifi göz önünde bulundurulduğunda, siber güvenlik bir dizi güvenilirlik gereksinimini (örneğin veri yönetişimi, şeffaflık) kapsadığından, bu gereksinimlerle ilgili standardizasyon faaliyetlerinin siber güvenliği tutarlı bir şekilde ele almasının önemli olduğu ortaya çıkmaktadır.
Taslak YZ Yasasının uygulanması ile ilgili olarak, yukarıdaki hususların yanı sıra, aşağıdaki boşluklar tespit edilmiştir:
• Bugüne kadar, siber güvenliği yeterince kapsayan ve YZ sistemlerinin (ve YZ yönetim sistemlerinin) ve değerlendiricilerinin denetlenmesi, belgelendirilmesi ve test edilmesi için kuruluşların yeterliliklerini tanımlayan hiçbir standart yoktur;
• Ar-Ge'ye konu olan alanlara ilişkin yukarıda belirtilen boşluk, özellikle veri zehirlenmesi ve rakip örneklerle ilgili olarak, taslak YZ Yasasının uygulanmasıyla ilgilidir.
5.2 ÖNERİLER
5.2.1 Tüm kuruluşlara öneriler
ESO'lar, ETSI'nin ISG SAI'si ve CEN'in JTC 21'i tarafından kanıtlandığı gibi, siber güvenli yapay zekayı desteklemek için standardizasyon taahhüdünde bulunmuşlardır. Bu eylemlerin hepsi olumludur ve teşvik edilmeli ve güçlendirilmelidir.
ESO'ların farklı operasyonel modellere ve farklı üye profillerine sahip oldukları kabul edilmekle birlikte, ESO'ların birçok alanda işbirliği içinde faaliyet gösterdikleri de kabul edilmektedir ve bu yine teşvik edilmelidir. Standartların geliştirilmesi için rekabetçi çabalar bir dereceye kadar kaçınılmazdır ve bu kabul edilmekle birlikte, ESO'ların olumsuz rekabetten kaçınmaları şiddetle tavsiye edilmektedir. Uyumlaştırmanın gerekli görüldüğü bir alan, sadece SDO'lar arasında değil, aynı zamanda diğer paydaşlarla da YZ ile ilgili ortak bir terminoloji ve kavramlar dizisinin benimsenmesidir. Mevcut rapor, hangi SDO/ESO'nun bu faaliyeti başlatması gerektiğini önermemektedir, ancak alanlar arası ortak bir terminoloji ve kavramlar seti olmadan, siber güvenliğe yönelik ilk riskin birbirini anlamamak olacağı kuvvetle önerilmektedir22.
22 Terminoloji ile ilgili iki yatay standart (ISO/IEC 22989 ve ISO/IEC 23053) yakın zamanda yayınlanmıştır (Haziran v e Temmuz 2022). JTC 21 tüm çalışmalarını ISO/IEC terminolojisine dayandıracaktır.
Öneri 1: Güvenilirlik özellikleri ve YZ sistemlerine özgü farklı saldırı türlerinin taksonomisi de dahil olmak üzere siber güvenlik için standartlaştırılmış ve uyumlaştırılmış bir YZ terminolojisi kullanılmalı.
5.2.2 Standart geliştiren kuruluşlara öneriler
Aşağıdaki tavsiyeler standardizasyon kuruluşlarına yöneliktir.
Öneri 2: Yazılımın siber güvenliği ile ilgili mevcut standartların YZ'ye nasıl uygulanacağı konusunda özel/teknik rehberlik geliştirilmelidir. Bunlar, genel standartların uygulanmasının birçok durumda basit olabileceği farklı seviyelerdeki (YZ sisteminin kendisinden önce, örneğin altyapı) savunmaları da içermelidir. Aynı zamanda, standardizasyonun teknolojik gelişme ile sınırlı olduğu alanların izlenmesi ve teşvik edilmesi tavsiye edilmektedir,
Örneğin, sürekli öğrenmeye dayanan sistemler için test ve doğrulama ve bazı yapay zekaya özgü saldırıların azaltılması.
Öneri 3: Makine Öğreniminin kendine has özellikleri standartlara yansıtılmalıdır. Dikkate alınması gereken en belirgin hususlar, donanım/yazılım bileşenlerinin YZ ile ilişkilendirilmesi yoluyla riskin azaltılması, güvenilir ölçümler ve test prosedürleri ile ilgilidir. Hem verilerin hem de YZ bileşenlerinin izlenebilirliği ve soyağacı da yansıtılmalıdır.
Öneri 4: Güvenilirlik özellikleri (gözetim, sağlamlık, doğruluk, açıklanabilirlik, şeffaflık, vb.) ve veri kalitesine ilişkin YZ standartlarının potansiyel siber güvenlik endişelerini de içermesi için siber güvenlik teknik komiteleri ile YZ teknik komiteleri arasında irtibatların kurulmasını sağlayın.
5.2.3 Taslak YZ Yasasının uygulanmasına hazırlık için öneriler
Aşağıdaki tavsiyeler, taslak YZ Yasasının uygulanmasına hazırlanmak için önerilmektedir ve yukarıdaki tavsiyeleri tamamlayıcı olarak anlaşılmalıdır.
Öneri 5: Yapay zekanın çok çeşitli alanlarda uygulanabilirliği göz önüne alındığında, siber güvenlik risklerinin tanımlanması ve uygun güvenlik gereksinimlerinin belirlenmesi aşağıdakilere dayanmalıdır
Sisteme özgü bir analiz ve gerektiğinde sektöre özgü standartlar. Sektörel standartlar, yatay standartlar üzerine tutarlı ve verimli bir şekilde inşa edilmelidir.
Öneri 6: Bir yandan belirli teknolojilerdeki ilerlemeler için fon sağlayarak (örneğin düşmanca saldırılara karşı önlemlerle ilgili) ve diğer yandan araştırma faaliyetlerine standardizasyon unsurlarını entegre etmenin önemi konusunda farkındalığı artırarak, standardizasyonun teknolojik gelişme ile sınırlı olduğu alanlarda Ar-Ge'yi teşvik edin. Buna ek olarak, hala özel koşullar altında çalışan uzmanlaşmış yaklaşımların çoğalmasıyla karakterize edilen Ar-Ge çabalarını yönlendirmek için sistematik bir yaklaşım yoluyla kıyaslamanın teşvik edilmesi önerilmektedir.
Öneri 7: Uygunluk değerlendirmesi yapan aktörlerin araçları ve yeterlilikleri için standartların geliştirilmesini destekleyin.
Öneri 8: YZ Yasası taslağı ile siber güvenlik konusundaki diğer yasal girişimler, özellikle 2019/881 sayılı Tüzük (AB) (Siber Güvenlik Yasası) ve dijital unsurlara sahip ürünler için yatay siber güvenlik gerekliliklerine ilişkin bir düzenleme için COM(2022) 454 sayılı teklif (Siber Dayanıklılık Yasası) arasında uyumun sağlanması.
5.3 SON GÖZLEMLER
Rapor, YZ'yi destekleyen standardizasyonun durumuna genel bir bakış sunarken, ek standardizasyon boşluklarının ve ihtiyaçlarının ancak YZ teknolojileri ilerledikçe ve standardizasyonun siber güvenliği nasıl destekleyebileceğine dair daha fazla çalışma ile ortaya çıkması muhtemeldir. YZ Yasasının uygulanması ile ilgili olarak, bazı boşlukların önemi, uygunluk değerlendirmesinin nasıl tasarlanacağına bağlı olarak değişebilir. Son olarak, özellikle bir Siber Dayanıklılık Yasası önerisine atıfta bulunarak, yasama ortamındaki değişikliklerin standardizasyon ihtiyaçlarını etkilemesi beklenmektedir.
Bundan sonraki bölümde "Ekler" ile devam edilecektir.
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı (The European Union Agency for Cybersecurity) ENISA, Avrupa genelinde yüksek düzeyde ortak siber güvenlik sağlamaya amaçlayan bir Birlik ajansıdır. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı, AB siber politikasına katkıda bulunur, siber güvenlik sertifikasyon programları ile ICT ürünlerinin, hizmetlerinin ve süreçlerinin güvenilirliğini arttırır, Üye Devletler ve AB organları ile işbirliği yapar ve gelecekte Avrupa'nın siber zorluklarına hazırlanmasına yardımcı olur. Ajans, bilgi paylaşımı, kapasite geliştirme ve farkındalık yaratma yoluyla, bağlantılı Teknoloji, bağlantılı cihazlar, yazılım, ödemeler ve hücresel teknolojideki yenilikler, insanların ve işletmelerin herhangi bir cihaz aracılığıyla, herhangi bir dijital veya fiziksel konumda güvenli, emniyetli ve gerçek zamanlı olarak birbirleriyle bağlantı kurmasını ve iş yapmasını mümkün kılmaktadır. Dijital ve fiziksel dünyaların bu entegrasyonu, ekonomiye olan güveni güçlendirmek, Birliğin altyapısının dayanıklılığını artırmak ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak için kilit paydaşlarıyla birlikte çalışmaktadır. ENISA ve çalışmaları hakkında daha fazla bilgiye buradan ulaşabilirsiniz: www.enisa.europa.eu.
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen team@enisa.europa.eu adresini kullanın.
YAZARLAR
P. Bezombes, S. Brunessaux, S. Cadzow
EDİTÖR(LER)
ENISA:
E. Magonara
S. Gorniak
P. Magnabosco E. Tsekmezoglou
TEŞEKKÜRLER
Ortak Araştırma Merkezi'ne ve Avrupa Komisyonu'na taslak hazırlama aşamasındaki aktif katkıları ve yorumları için teşekkür ederiz. Ayrıca, Yapay Zeka (AI) siber güvenliği üzerine ENISA Geçici Uzman Grubuna, bu raporun doğrulanmasındaki değerli geri bildirimleri ve yorumları için teşekkür ederiz.
YASAL BİLDİRİM
Bu yayın, aksi belirtilmedikçe ENISA'nın görüş ve yorumlarını temsil etmektedir. ENISA'nın veya ENISA organlarının 2019/881 sayılı Tüzük (AB) uyarınca düzenleyici bir yükümlülüğünü onaylamaz.
ENISA, yayını veya içeriğinden herhangi birini değiştirme, güncelleme veya kaldırma hakkına sahiptir. Bu yayın sadece bilgilendirme amaçlıdır ve ücretsiz olarak erişilebilir. Yayına yapılan tüm atıflar veya yayının tamamının ya da bir kısmının kullanımı, kaynak olarak ENISA'yı içermelidir.
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu veya yükümlü değildir.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayında yer alan bilgilerin kullanımından sorumlu değildir.
ENISA bu yayınla ilgili fikri mülkiyet haklarını korumaktadır.
TELIF HAKKI BİLDİRİMİ
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2023
ISBN 978-92-9204-616-3, DOI 10.2824/277479, TP-03-23-011-EN-C
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
Rapor bölümler halinde yayınlanacaktır. Enisa ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan ENISA Ekibi 'ne, Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
5. SONUÇLAR
Bu bölüm, raporu özetlemekte ve YZ'nin siber güvenliğine ve taslak YZ Yasasının uygulanmasına standardizasyon desteği sağlamak için eylemler önermektedir.
5.1 Rapor Özeti
Çalışma, bilgi güvenliği ve kalite yönetimi için genel amaçlı standartların (özellikle ISO/IEC 27001, ISO/IEC 27002 ve ISO/IEC 9001) YZ sistemlerinin gizliliği, bütünlüğü ve kullanılabilirliği ile ilgili siber güvenlik risklerini kısmen azaltabileceğini öne sürmektedir. Bu sonuç, YZ'nin özünde yazılım olduğu varsayımına dayanmaktadır ve bu nedenle, yeterli rehberlik sağlandığı takdirde, yazılım için geçerli olan YZ'ye uygulanabilir.
Bu yaklaşım genel düzeyde yeterli olabilir, ancak CIA güvenlik hedeflerini destekleyen standartlaştırılmış yöntemlerin belirlenmesi genellikle alana özgü olduğundan, sisteme özgü bir analizle (örneğin ISO/IEC 15408-1:2009'a dayanarak) tamamlanması gerekir. Ortaya çıkan güvenlik gereksinimlerine uygunluğun değerlendirilmesinin ne ölçüde YZ'ye özgü yatay standartlara ve ne ölçüde dikey/sektöre özgü standartlara dayandırılabileceği tartışma konusudur.
Yine de bazı standardizasyon boşlukları tespit edilmiştir:
• Süreçlerin izlenebilirliği birkaç standart tarafından ele alınmaktadır, ancak verilerin ve YZ bileşenlerinin yaşam döngüleri boyunca izlenebilirliği, çoğu tehdidi kesen ve çeşitli standartlarda veya taslaklarda iyi bir şekilde ele alınmasına rağmen uygulamada büyük ölçüde ele alınmayan bir konu olmaya devam etmektedir (örneğin, YZ yönetim sistemleri hakkında ISO/IEC DIS 42001 20 ve analitik ve ML için veri kalitesi hakkında ISO/IEC CD 5259 serisi 21);
20 ISO/IEC DIS 42001, Bilgi teknolojisi - Yapay zeka - Yönetim sistemi (geliştirme aşamasında)
21 Dizi geliştirme aşamasındadır (https://www.iso.org/ics/35.020/x/)
• ML'nin kendine has özellikleri, özellikle ölçütler ve test prosedürleri açısından mevcut standartlara tam olarak yansıtılmamaktadır;
• Bazı alanlarda, ilgili teknolojiler hala geliştirilmekte olduğundan ve henüz standartlaştırılacak kadar olgunlaşmadığından, mevcut standartlar uyarlanamamakta veya yeni standartlar henüz tam olarak tanımlanamamaktadır.
Yalnızca CIA paradigmasının ötesine geçip daha geniş bir güvenilirlik perspektifi göz önünde bulundurulduğunda, siber güvenlik bir dizi güvenilirlik gereksinimini (örneğin veri yönetişimi, şeffaflık) kapsadığından, bu gereksinimlerle ilgili standardizasyon faaliyetlerinin siber güvenliği tutarlı bir şekilde ele almasının önemli olduğu ortaya çıkmaktadır.
Taslak YZ Yasasının uygulanması ile ilgili olarak, yukarıdaki hususların yanı sıra, aşağıdaki boşluklar tespit edilmiştir:
• Bugüne kadar, siber güvenliği yeterince kapsayan ve YZ sistemlerinin (ve YZ yönetim sistemlerinin) ve değerlendiricilerinin denetlenmesi, belgelendirilmesi ve test edilmesi için kuruluşların yeterliliklerini tanımlayan hiçbir standart yoktur;
• Ar-Ge'ye konu olan alanlara ilişkin yukarıda belirtilen boşluk, özellikle veri zehirlenmesi ve rakip örneklerle ilgili olarak, taslak YZ Yasasının uygulanmasıyla ilgilidir.
5.2 ÖNERİLER
5.2.1 Tüm kuruluşlara öneriler
ESO'lar, ETSI'nin ISG SAI'si ve CEN'in JTC 21'i tarafından kanıtlandığı gibi, siber güvenli yapay zekayı desteklemek için standardizasyon taahhüdünde bulunmuşlardır. Bu eylemlerin hepsi olumludur ve teşvik edilmeli ve güçlendirilmelidir.
ESO'ların farklı operasyonel modellere ve farklı üye profillerine sahip oldukları kabul edilmekle birlikte, ESO'ların birçok alanda işbirliği içinde faaliyet gösterdikleri de kabul edilmektedir ve bu yine teşvik edilmelidir. Standartların geliştirilmesi için rekabetçi çabalar bir dereceye kadar kaçınılmazdır ve bu kabul edilmekle birlikte, ESO'ların olumsuz rekabetten kaçınmaları şiddetle tavsiye edilmektedir. Uyumlaştırmanın gerekli görüldüğü bir alan, sadece SDO'lar arasında değil, aynı zamanda diğer paydaşlarla da YZ ile ilgili ortak bir terminoloji ve kavramlar dizisinin benimsenmesidir. Mevcut rapor, hangi SDO/ESO'nun bu faaliyeti başlatması gerektiğini önermemektedir, ancak alanlar arası ortak bir terminoloji ve kavramlar seti olmadan, siber güvenliğe yönelik ilk riskin birbirini anlamamak olacağı kuvvetle önerilmektedir22.
22 Terminoloji ile ilgili iki yatay standart (ISO/IEC 22989 ve ISO/IEC 23053) yakın zamanda yayınlanmıştır (Haziran v e Temmuz 2022). JTC 21 tüm çalışmalarını ISO/IEC terminolojisine dayandıracaktır.
Öneri 1: Güvenilirlik özellikleri ve YZ sistemlerine özgü farklı saldırı türlerinin taksonomisi de dahil olmak üzere siber güvenlik için standartlaştırılmış ve uyumlaştırılmış bir YZ terminolojisi kullanılmalı.
5.2.2 Standart geliştiren kuruluşlara öneriler
Aşağıdaki tavsiyeler standardizasyon kuruluşlarına yöneliktir.
Öneri 2: Yazılımın siber güvenliği ile ilgili mevcut standartların YZ'ye nasıl uygulanacağı konusunda özel/teknik rehberlik geliştirilmelidir. Bunlar, genel standartların uygulanmasının birçok durumda basit olabileceği farklı seviyelerdeki (YZ sisteminin kendisinden önce, örneğin altyapı) savunmaları da içermelidir. Aynı zamanda, standardizasyonun teknolojik gelişme ile sınırlı olduğu alanların izlenmesi ve teşvik edilmesi tavsiye edilmektedir,
Örneğin, sürekli öğrenmeye dayanan sistemler için test ve doğrulama ve bazı yapay zekaya özgü saldırıların azaltılması.
Öneri 3: Makine Öğreniminin kendine has özellikleri standartlara yansıtılmalıdır. Dikkate alınması gereken en belirgin hususlar, donanım/yazılım bileşenlerinin YZ ile ilişkilendirilmesi yoluyla riskin azaltılması, güvenilir ölçümler ve test prosedürleri ile ilgilidir. Hem verilerin hem de YZ bileşenlerinin izlenebilirliği ve soyağacı da yansıtılmalıdır.
Öneri 4: Güvenilirlik özellikleri (gözetim, sağlamlık, doğruluk, açıklanabilirlik, şeffaflık, vb.) ve veri kalitesine ilişkin YZ standartlarının potansiyel siber güvenlik endişelerini de içermesi için siber güvenlik teknik komiteleri ile YZ teknik komiteleri arasında irtibatların kurulmasını sağlayın.
5.2.3 Taslak YZ Yasasının uygulanmasına hazırlık için öneriler
Aşağıdaki tavsiyeler, taslak YZ Yasasının uygulanmasına hazırlanmak için önerilmektedir ve yukarıdaki tavsiyeleri tamamlayıcı olarak anlaşılmalıdır.
Öneri 5: Yapay zekanın çok çeşitli alanlarda uygulanabilirliği göz önüne alındığında, siber güvenlik risklerinin tanımlanması ve uygun güvenlik gereksinimlerinin belirlenmesi aşağıdakilere dayanmalıdır
Sisteme özgü bir analiz ve gerektiğinde sektöre özgü standartlar. Sektörel standartlar, yatay standartlar üzerine tutarlı ve verimli bir şekilde inşa edilmelidir.
Öneri 6: Bir yandan belirli teknolojilerdeki ilerlemeler için fon sağlayarak (örneğin düşmanca saldırılara karşı önlemlerle ilgili) ve diğer yandan araştırma faaliyetlerine standardizasyon unsurlarını entegre etmenin önemi konusunda farkındalığı artırarak, standardizasyonun teknolojik gelişme ile sınırlı olduğu alanlarda Ar-Ge'yi teşvik edin. Buna ek olarak, hala özel koşullar altında çalışan uzmanlaşmış yaklaşımların çoğalmasıyla karakterize edilen Ar-Ge çabalarını yönlendirmek için sistematik bir yaklaşım yoluyla kıyaslamanın teşvik edilmesi önerilmektedir.
Öneri 7: Uygunluk değerlendirmesi yapan aktörlerin araçları ve yeterlilikleri için standartların geliştirilmesini destekleyin.
Öneri 8: YZ Yasası taslağı ile siber güvenlik konusundaki diğer yasal girişimler, özellikle 2019/881 sayılı Tüzük (AB) (Siber Güvenlik Yasası) ve dijital unsurlara sahip ürünler için yatay siber güvenlik gerekliliklerine ilişkin bir düzenleme için COM(2022) 454 sayılı teklif (Siber Dayanıklılık Yasası) arasında uyumun sağlanması.
5.3 SON GÖZLEMLER
Rapor, YZ'yi destekleyen standardizasyonun durumuna genel bir bakış sunarken, ek standardizasyon boşluklarının ve ihtiyaçlarının ancak YZ teknolojileri ilerledikçe ve standardizasyonun siber güvenliği nasıl destekleyebileceğine dair daha fazla çalışma ile ortaya çıkması muhtemeldir. YZ Yasasının uygulanması ile ilgili olarak, bazı boşlukların önemi, uygunluk değerlendirmesinin nasıl tasarlanacağına bağlı olarak değişebilir. Son olarak, özellikle bir Siber Dayanıklılık Yasası önerisine atıfta bulunarak, yasama ortamındaki değişikliklerin standardizasyon ihtiyaçlarını etkilemesi beklenmektedir.
Bundan sonraki bölümde "Ekler" ile devam edilecektir.
Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 )
ENISA HAKKINDA
Avrupa Birliği Siber Güvenlik Ajansı (The European Union Agency for Cybersecurity) ENISA, Avrupa genelinde yüksek düzeyde ortak siber güvenlik sağlamaya amaçlayan bir Birlik ajansıdır. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı, AB siber politikasına katkıda bulunur, siber güvenlik sertifikasyon programları ile ICT ürünlerinin, hizmetlerinin ve süreçlerinin güvenilirliğini arttırır, Üye Devletler ve AB organları ile işbirliği yapar ve gelecekte Avrupa'nın siber zorluklarına hazırlanmasına yardımcı olur. Ajans, bilgi paylaşımı, kapasite geliştirme ve farkındalık yaratma yoluyla, bağlantılı Teknoloji, bağlantılı cihazlar, yazılım, ödemeler ve hücresel teknolojideki yenilikler, insanların ve işletmelerin herhangi bir cihaz aracılığıyla, herhangi bir dijital veya fiziksel konumda güvenli, emniyetli ve gerçek zamanlı olarak birbirleriyle bağlantı kurmasını ve iş yapmasını mümkün kılmaktadır. Dijital ve fiziksel dünyaların bu entegrasyonu, ekonomiye olan güveni güçlendirmek, Birliğin altyapısının dayanıklılığını artırmak ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak için kilit paydaşlarıyla birlikte çalışmaktadır. ENISA ve çalışmaları hakkında daha fazla bilgiye buradan ulaşabilirsiniz: www.enisa.europa.eu.
İLETİŞİM
Yazarlarla iletişime geçmek için lütfen team@enisa.europa.eu adresini kullanın.
YAZARLAR
P. Bezombes, S. Brunessaux, S. Cadzow
EDİTÖR(LER)
ENISA:
E. Magonara
S. Gorniak
P. Magnabosco E. Tsekmezoglou
TEŞEKKÜRLER
Ortak Araştırma Merkezi'ne ve Avrupa Komisyonu'na taslak hazırlama aşamasındaki aktif katkıları ve yorumları için teşekkür ederiz. Ayrıca, Yapay Zeka (AI) siber güvenliği üzerine ENISA Geçici Uzman Grubuna, bu raporun doğrulanmasındaki değerli geri bildirimleri ve yorumları için teşekkür ederiz.
YASAL BİLDİRİM
Bu yayın, aksi belirtilmedikçe ENISA'nın görüş ve yorumlarını temsil etmektedir. ENISA'nın veya ENISA organlarının 2019/881 sayılı Tüzük (AB) uyarınca düzenleyici bir yükümlülüğünü onaylamaz.
ENISA, yayını veya içeriğinden herhangi birini değiştirme, güncelleme veya kaldırma hakkına sahiptir. Bu yayın sadece bilgilendirme amaçlıdır ve ücretsiz olarak erişilebilir. Yayına yapılan tüm atıflar veya yayının tamamının ya da bir kısmının kullanımı, kaynak olarak ENISA'yı içermelidir.
Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu veya yükümlü değildir.
Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayında yer alan bilgilerin kullanımından sorumlu değildir.
ENISA bu yayınla ilgili fikri mülkiyet haklarını korumaktadır.
TELIF HAKKI BİLDİRİMİ
© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2023
ISBN 978-92-9204-616-3, DOI 10.2824/277479, TP-03-23-011-EN-C
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!