跳转到主要内容

【人工智能合规】美国:NIST的人工智能风险管理框架-关键要点

在这篇真知灼见文章中,来自Cooley LLP的Travis LeBlanc、Randy Sabett、Mari Dugas和Natassia Velez探讨了人工智能(AI)带来的挑战和机遇,重点介绍了美国国家标准与技术研究所(NIST)的人工智能风险管理框架(AI RMF 1.0)的发展和影响。

【人工智能风险管理】NIST发布人工智能风险管理框架第二稿

8月18日,美国国家标准与技术研究院(NIST)发布了其人工智能风险管理框架(第二稿)的第二稿,供公众评论。第一稿于今年3月发布,在这里进行了讨论。正如NIST所描述的,RMF旨在成为一份“活文件”,它将“随时更新”,以反映人工智能可信度的技术和方法的变化,特别是当“利益相关者从实施人工智能风险管理中学习,尤其是[RMF]时。”

【风险管理】使用NIST网络安全框架解决组织风险

NIST的CSF与其他指南一起使用,可以帮助将风险映射到实际威胁,并更好地遵守安全授权,如美国的网络安全行政命令。

美国联邦政府在过去一年一直非常积极,特别是在网络安全行政令(EO)以及由此产生的相关任务和目标方面。NIST网络安全框架(CSF)是一个越来越受到关注的框架和行业来源。

CSF来自另一个EO 13636,该EO于2013年,指示NIST与利益相关者合作,制定一个降低关键基础设施风险的自愿框架。它是通过与工业和政府的协调努力产生的,这两个部门都广泛采用了该框架。

以下是CSF的组成,它的各个方面如何有助于实现最近的一些网络安全EO目标,以及任何组织如何使用它更好地将风险映射到威胁。

网络安全框架的组成部分是什么?

在其基础上,CSF有三个组成部分:

【风险管理】世界各地的首席信息官可以从加拿大全国性的互联网中断中学到什么

提供商罗杰斯通信公司突然失去互联网服务,导致数百万加拿大人断开连接,并关闭了9-1-1服务、POS支付等服务超过一天,这给全球首席信息官带来了三大教训

2022年7月8日,加拿大罗杰斯ISP网络的一次拙劣维护更新导致全国互联网接入中断至少12小时,一些客户随后几天出现问题。

影响是深远的。全国范围的停电影响了约1220万客户的电话和互联网服务——约占加拿大互联网容量的25%——中断了Interac网络上的销售点借记支付,阻止罗杰斯移动电话用户访问9-1-1服务,中断了依赖在线支付的中转服务,甚至对多伦多依赖蜂窝GSM的交通信号造成严重破坏。

雪上加霜的是,停电甚至迫使加拿大音乐家《周末》推迟了他在多伦多罗杰斯中心世界巡回演出的第一站。

原因?正如罗杰斯随后向监管机构加拿大广播电视和电信委员会提交的文件所披露的,更新“删除了一个路由过滤器,并允许所有可能的互联网路由通过路由器……某些网络路由设备被淹没,超出其容量水平,然后无法路由流量,导致公共核心网络停止处理流量。”

【安全】超越用户名和密码

IT 和安全团队需要支持这种最基本的访问形式,以防范新的和不断演变的安全风险。

最近几个月,您可能已经注意到用于验证消费者和企业帐户的双因素和多因素身份验证提示有所增加。 这些工具在帮助消费者和企业防范身份欺诈、数据泄露、密码窃取和网络钓鱼/勒索软件攻击方面越来越受到关注。

身份盗窃资源中心 (ITRC) 的最新统计数据显示,大约 92% 的数据泄露与网络攻击有关,2022 年第一季度的数据泄露比 2021 年同期高出 14%。

ITRC 统计数据还显示,仅在 2022 年第一季度,就有近一半(367 份中的 154 份)数据泄露通知未包含泄露的性质,并被指定为“未知”。这个“未知”数量比 2021 年全年的“未知”数据泄露原因高出 40%。

那么,首席信息安全官如何让他们的公司准备好挫败这些网络安全攻击呢?他们必须掌握新兴技术,以应对不断变化的威胁、系统漏洞和不良行为者,以适应不断变化的环境。