Yapay Zekanın Siber Güvenliği ve Standardizasyon 

Bölüm-1 

Aşağıdaki Enisa Raporu  Enisa  web sitesindeki orjinal İngilizce versiyonundan  alınarak  ETP Yapay Zeka Çalışma Grubumuzdan Hayri Aydın, Sabri Günaydın, Gürol Mutaf    tarafından yapay zeka çeviri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.

Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 ) 

Rapor bölümler halinde yayınlanacaktır. Enisa  ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP  Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.

Türkçe çeviride  göreceğiniz olası hataları " iletisim@etp.com.tr "  adresine e-posta göndermenizi rica ederiz. 

Bu raporun ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan   ENISA Ekibi 'ne,   Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e  teşekkür ederiz. 




YÖNETİCİ ÖZETİ

Bu belgenin genel amacı, yapay zekanın (YZ) siber güvenliği ile ilgili standartlara (mevcut, taslak halinde, değerlendirilmekte olan ve planlanan) genel bir bakış sağlamak, kapsamlarını değerlendirmek ve standardizasyondaki boşlukları belirlemektir. Bunu, YZ'nin ve özellikle makine öğreniminin özelliklerini göz önünde bulundurarak ve hem 'geleneksel' gizlilik-bütünlük-ulaşılabilirlik paradigmasını hem de daha geniş YZ güvenilirliği kavramını kapsayan geniş bir siber güvenlik görüşünü benimseyerek yapmaktadır. Son olarak rapor, standardizasyonun yapay zeka konusunda uyumlaştırılmış kuralları belirleyen önerilen AB yönetmeliğinde (COM(2021) 206 final) (taslak YZ Yasası) yer alan siber güvenlik unsurlarının uygulanmasını nasıl destekleyebileceğini incelemektedir.

Rapor, YZ'den kaynaklanan tehditlere ve güvenlik açıklarına karşı önlem almak için mevcut tekniklerin uygulanması konusunda yetersiz bilgiye sahip olma endişesiyle yönlendirilen ana Standart Geliştiren Kuruluşların (SDO'lar) faaliyetlerini tasvir ederek YZ'yi kapsayan standardizasyon ortamını açıklamaktadır. Bu durum, geçici raporların, rehberlerin ve geçici standartların sürekli olarak geliştirilmesiyle sonuçlanmaktadır.

Rapor, mevcut genel amaçlı teknik ve organizasyonel standartların (ISO-IEC 27001 ve ISO-IEC 9001 gibi), YZ bağlamında nasıl uygulanabileceklerine dair özel rehberlik yardımıyla YZ'nin karşılaştığı bazı risklerin azaltılmasına katkıda bulunabileceğini savunmaktadır. Bu düşünce, özünde YZ'nin bir yazılım olduğu ve bu nedenle yazılım güvenlik önlemlerinin YZ alanına aktarılabileceği gerçeğinden kaynaklanmaktadır.

Rapor ayrıca bu yaklaşımın kapsamlı olmadığını ve bazı sınırlamaları olduğunu da belirtmektedir. Örneğin, rapor yazılım unsurlarına odaklanırken, YZ kavramı yazılımın ötesinde donanım veya altyapı gibi hem teknik hem de organizasyonel unsurları içerebilir. Diğer örnekler arasında, uygun güvenlik önlemlerinin belirlenmesinin sisteme özgü bir analize dayanması ve siber güvenliğin bazı yönlerinin hala araştırma ve geliştirme konusu olması ve bu nedenle kapsamlı bir şekilde standartlaştırılacak kadar olgunlaşmamış olabileceği gerçeği yer almaktadır. Buna ek olarak, mevcut standartların hem verilerin hem de yapay zeka bileşenlerinin izlenebilirliği ve soyağacı gibi belirli yönleri veya örneğin sağlamlığa ilişkin ölçütleri ele almadığı görülmektedir.

Rapor ayrıca, siber güvenliğin YZ'nin güvenilirlik özelliklerinin doğru bir şekilde uygulanması için bir araç olarak düşünülebileceğinden ve tersine güvenilirlik özelliklerinin doğru bir şekilde uygulanması siber güvenliğin sağlanması için anahtar olduğundan, yalnızca varlıkların korunmasının ötesine bakmaktadır. Bu bağlamda, güvenilirliğin YZ'ye özgü ve siber güvenliğe özgü standardizasyon girişimlerinde ayrı ayrı ele alınma riski olduğu belirtilmektedir. Bunun gerçekleşebileceği alanlara bir örnek uygunluk değerlendirmesidir.

Son olarak, rapor, analizi YZ Kanunu taslağına genişleterek yukarıdaki gözlemleri tamamlamaktadır. İlk olarak rapor, her bir sistemin kullanım amacına özgü siber güvenlik risklerinin belirlenmesi için yüksek riskli sistemlerin risk değerlendirmesine siber güvenlik unsurlarının dahil edilmesinin önemini vurgulamaktadır. İkinci olarak rapor, uygunluk değerlendirmelerini gerçekleştiren aktörlerin yetkinliklerini ve araçlarını kapsayan standartların eksikliğini vurgulamaktadır. Üçüncü olarak, taslak YZ Yasası tarafından hazırlanan yönetişim sistemlerinin ve Siber Güvenlik Yasası (CSA)¹ ulusal düzeyde çabaların tekrarlanmasını önlemek için uyum içinde çalışmalıdır.

Son olarak rapor, bazı standardizasyon boşluklarının ancak YZ teknolojileri ilerledikçe ve standardizasyonun siber güvenliği nasıl destekleyebileceğine dair daha fazla çalışmayla ortaya çıkabileceği sonucuna varmaktadır.

¹   ENISA (Avrupa Birliği Siber Güvenlik Ajansı) ve bilgi ve iletişim teknolojileri siber güvenlik sertifikasyonuna ilişkin ve 526/2013 sayılı (AB) Yönetmeliği (Siber Güvenlik Yasası) yürürlükten kaldıran 17 Nisan 2019 tarihli ve 2019/881 sayılı Avrupa Parlamentosu ve Konsey Yönetmeliği (AB) (https://eur-lex.europa.eu/eli/reg/2019/881/oj).


1.    GİRİŞ

1.1 BELGENIN AMACI VE HEDEFLERİ

Bu belgenin genel amacı, yapay zekanın (YZ) siber güvenliği ile ilgili standartlara (mevcut, taslak halinde, değerlendirilmekte olan ve planlanan) genel bir bakış sağlamak, kapsamlarını değerlendirmek ve standardizasyondaki boşlukları belirlemektir. Raporun, siber güvenlikle ilgili hususlarda yapay zeka konusunda uyumlaştırılmış kuralları belirleyen önerilen AB yönetmeliğinin (COM(2021) 206 final) (taslak YZ Yasası) uygulanmasına yönelik hazırlık faaliyetlerine katkıda bulunması amaçlanmaktadır.

1.2 HEDEF KİTLE VE ÖNKOŞULLAR

Bu raporun hedef kitlesi, yapay zekanın siber güvenliği ve standardizasyon ile ilgilenen bir dizi farklı paydaşı içermektedir.

Bu raporun birincil muhatapları, standart geliştiren kuruluşlar (SDO'lar) ve yapay zeka teknolojilerinin düzenlenmesiyle ilgilenen kamu sektörü / devlet kurumlarıdır.

Raporun amacı, özellikle siber güvenlik sorunlarının ele alınmasına yardımcı olmada standartların rolü konusunda daha geniş bir paydaş kitlesini bilgilendirebilecek faydalı bir araç olmaktır:

•    Akademi ve araştırma camiası;

•   YZ teknik topluluğu, YZ siber güvenlik uzmanları ve güvenli çözümler geliştirmeye ve çözümlerine tasarım yoluyla güvenlik ve gizliliği entegre etmeye ilgi duyan YZ uzmanları (tasarımcılar, geliştiriciler, makine öğrenimi (ML) uzmanları, veri bilimcileri vb;
•   Temel hizmetlerin işletmecileri de dahil olmak üzere, yapay zeka çözümlerinden yararlanan ve/veya siber güvenlikle uğraşan işletmeler (küçük ve orta ölçekli işletmeler dahil).

Okuyucunun yazılım geliştirme ve gizlilik, bütünlük ve kullanılabilirlik (CIA) güvenlik modeline ve hem güvenlik açığı analizi hem de risk analizi tekniklerine bir dereceye kadar aşina olması beklenmektedir.

1.3 ÇALIŞMASININ YAPISI

Rapor aşağıdaki şekilde yapılandırılmıştır:

•    Analiz çevresinin tanımı (Bölüm 2): YZ ve YZ'nin siber güvenliği kavramlarına giriş;

•    YZ'nin siber güvenliği ile ilgili standardizasyon faaliyetlerinin envanteri (Bölüm 3): YZ'nin siber güvenliğini destekleyen standardizasyon faaliyetlerine (hem YZ'ye özgü hem de YZ'ye özgü olmayan) genel bakış;

•    Kapsam analizi (Bölüm 4): CIA güvenlik modeli ve siber güvenliği destekleyen güvenilirlik özellikleri açısından Bölüm 3'te tanımlanan en ilgili standartların kapsamının analizi;
•    Rapor özeti ve Sonuçlar (Bölüm 5): Önceki bölümlere dayanarak, YZ'nin siber güvenliğine standardizasyon desteği sağlamak için eylemler ve taslak YZ Yasasının uygulanmasına hazırlık konusunda öneriler.

2.    RAPORUN KAPSAMI: YAPAY ZEKANIN TANIMI VE YAPAY ZEKANIN SİBER GÜVENLİĞİ

2.1 YAPAY ZEKA

YZ'yi ve kapsamını anlamak, YZ'nin siber güvenliğini tanımlamaya yönelik ilk adım gibi görünmektedir. Yine de YZ'nin net bir tanımının ve kapsamının yapılmasının zor olduğu kanıtlanmıştır. YZ kavramı evrim geçirmektedir ve ne olduğu ve ne olmadığı konusundaki tartışmalar, kısmen 'YZ' teriminin arkasındaki pazarlama etkisinden dolayı hala büyük ölçüde çözülmemiştir. Bilimsel düzeyde bile, YZ'nin tam kapsamı çok tartışmalı olmaya devam etmektedir. Bu bağlamda, çok sayıda forumda YZ tanımları benimsenmiş/önerilmiştir.²

Kutu 1: Örnek - YZ Yasası taslağında yer aldığı şekliyle YZ'nin tanımı



YZ teknolojileri açısından itici güç olduğunu düşünen önceki ENISA çalışmalarına paralel olarak, rapor esas olarak ML'ye odaklanmaktadır. Bu seçim, ML tekniklerinin mevcut YZ uygulamalarında baskın olduğu konusunda genel bir fikir birliği olduğu gerçeğiyle de desteklenmektedir. Son olarak, ML'nin özelliklerinin, YZ'nin siber güvenliğini belirgin bir şekilde etkileyen güvenlik açıklarına yol açtığı düşünülmektedir. Raporun YZ'yi bir yaşam döngüsü perspektifinden ele aldığı unutulmamalıdır³. Yalnızca makine öğrenimi ile ilgili hususlar işaretlenmiştir.

²  Örneğin, Birleşmiş Milletler Eğitim, Bilim ve Kültür Örgütü (UNESCO) 'Yapay zeka etiğine ilişkin tavsiye kararının ilk taslağı' ve Avrupa Komisyonu'nun Yapay Zeka Üst Düzey Uzman Grubu.

³ ENISA'nın Makine Öğrenimi Algoritmalarının Güvenliğini Sağlama raporunda tasvir edilen yaşam döngüsü yaklaşımına bakınız (https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms).

Kutu 2: Makine öğreniminin özellikleri - denetimli bir öğrenme modelinden örnekler⁴


2.2 YAPAY ZEKANIN SİBER GÜVENLİĞİ

YZ ve siber güvenlik, literatürde hem ayrı ayrı hem de birlikte geniş bir şekilde ele alınmıştır.

ENISA'nın Makine Öğrenimi Algoritmalarının Güvenliğini Sağlama raporu⁵ , YZ ve siber güvenlik
arasındaki çok boyutlu ilişkiyi tanımlamakta    ve üç boyut belirlemektedir:

•    YZ'nin siber güvenliği: sağlamlık eksikliği ve YZ modellerinin ve algoritmalarının güvenlik açıkları,

•   Siber güvenliği desteklemek için YZ: Gelişmiş siber güvenlik oluşturmak (örneğin, daha etkili güvenlik kontrolleri geliştirerek) ve kolluk kuvvetlerinin ve diğer kamu yetkililerinin siber suçlara daha iyi yanıt verme çabalarını kolaylaştırmak için bir araç / araç olarak kullanılan YZ,

•   YZ'nin kötü niyetli kullanımı: daha karmaşık saldırı türleri oluşturmak için YZ'nin kötü niyetli / düşmanca kullanımı.

Mevcut rapor, bu boyutlardan ilkine, yani YZ'nin siber güvenliğine odaklanmaktadır. Yine de,

YZ'nin siber güvenliğine ilişkin farklı yorumlar öngörülebilir:

•    Bir YZ sisteminin yaşam döngüsü boyunca varlıkların (YZ bileşenleri ve ilgili veri ve süreçler) gizliliği, bütünlüğü ve kullanılabilirliğine yönelik saldırılara karşı koruma amaçlı dar ve geleneksel bir kapsam,

•    Veri kalitesi, gözetim, sağlamlık, doğruluk, açıklanabilirlik, şeffaflık ve izlenebilirlik gibi güvenilirlik özellikleriyle dar kapsamı destekleyen ve tamamlayan geniş ve genişletilmiş bir kapsam.

Rapor, siber güvenliğin dar bir yorumunu benimsemekle birlikte, YZ'nin siber güvenliği hakkında daha geniş ve kapsamlı bir perspektiften değerlendirmeler de içermektedir. Bunun nedeni, siber güvenlik ve güvenilirlik arasındaki bağlantıların karmaşık olması ve göz ardı edilememesidir: güvenilirlik gereksinimleri, düzgün işleyişin sağlanmasında YZ siber güvenliğini tamamlamakta ve bazen de örtüşmektedir. Örnek olarak, gözetim sadece karmaşık bir ortamda bir YZ sisteminin genel olarak izlenmesi için değil, aynı zamanda siber saldırılar nedeniyle anormal davranışları tespit etmek için de gereklidir. Aynı şekilde, bir veri kalitesi süreci (veri izlenebilirliği dahil), siber saldırıya karşı saf veri korumasının yanı sıra bir katma değerdir. Dolayısıyla, sağlamlık, gözetim, doğruluk, izlenebilirlik, açıklanabilirlik ve şeffaflık gibi güvenilirlik özellikleri siber güvenliği doğal olarak destekler ve tamamlar.

⁴    Kutuda belirtilenlerin yanı sıra, 'Yanlış Negatif Oranı' ve 'Yanlış Pozitif Oranı' ve 'F ölçüsü' diğer ilgili metriklere örnektir.
⁵    https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms

3.    YAPAY ZEKANIN SİBER GÜVENLİĞİNİ DESTEKLEMEK İÇİN STANDARDİZASYON

3.1 ANA STANDART GELIŞTIRICI KURULUŞLARIN ILGILI FAALIYETLERI

Birçok SDO'nun YZ'yi incelediği ve YZ'yi ele almak için kılavuzlar ve standardizasyon çıktıları hazırladığı kabul edilmektedir. Bu çalışmaların çoğunun gerekçesi, yeni bir şey (bu örnekte YZ) geliştirildiğinde, mevcut hükümlerin yeni alana uygulanıp uygulanmayacağını ve nasıl uygulanacağını belirlemek için geniş bir gereklilik olmasıdır. Bu tür çalışmalar, yeninin doğasını anlamaya ve yeninin, yeni tekniklerin geliştirilmesini ve uygulanmasını haklı çıkaracak veya gerektirecek şekilde daha öncekilerden yeterince farklı olup olmadığını belirlemeye yardımcı olabilir. Ayrıca, mevcut tekniklerin yeniye uygulanması konusunda ayrıntılı rehberlik sağlayabilir veya boşlukları doldurmak için ek teknikler tanımlayabilirler.

Yine de bu rapor kapsamında, esas olarak uyumlaştırılabilecek standartlara odaklanılmaktadır. Bu da analiz kapsamını Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), Avrupa Standardizasyon Komitesi (CEN) ve Avrupa Elektroteknik Standardizasyon Komitesi (CENELEC) ve Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) ile sınırlamaktadır. CEN ve CENELEC, sırasıyla Viyana ve Frankfurt anlaşmalarının himayesi altında ISO ve IEC standartlarını AB standartlarına aktarabilir.

3.1.1 CEN-CENELEC

CEN-CENELEC, Yapay Zeka ve Siber Güvenliği esas olarak iki ortak teknik komite (JTC’ler)

bünyesinde ele almaktadır.

•    JTC 13 'Siber güvenlik ve veri koruma', bilgi teknolojisi (BT) alanında ilgili uluslararası standartları (özellikle ISO/IEC JTC 1 alt komitesi (SC) 27'den) Avrupa standartları (EN'ler) olarak aktarmayı birincil hedef olarak belirlemiştir. Ayrıca, AB direktiflerini ve yönetmeliklerini desteklemek için boşlukların bulunduğu yerlerde 'yerli' EN'ler geliştirir.

•    JTC 21 'Yapay zeka', yapay zeka ve ilgili veriler için standartların geliştirilmesi ve benimsenmesinden (özellikle ISO/IEC JTC 1 SC 42'den) ve yapay zeka ile ilgili diğer teknik komitelere rehberlik sağlamaktan sorumludur.

JTC 13, siber güvenliğin dar kapsamı olarak tanımlanan konuyu ele almaktadır (bkz. Bölüm 2.2). Komite, ISO-IEC'den yapay zeka siber güvenliği için ilgi çekici olan ve teknik işbirliği anlaşmalarına dayanarak CEN-CENELEC tarafından benimsenebilecek / uyarlanabilecek standartların bir listesini belirlemiştir. Belirlenen en önemli standartlar, bilgi güvenliği yönetim sistemlerine ilişkin ISO 27000 serisine aittir; bu standartlar, güvenlik işlevselliğine sahip BT ürünlerinin geliştirilmesi, değerlendirilmesi ve/veya tedariki için ISO 15408 serisi ve ayrıca sektöre özgü rehberlik, örneğin ISO/IEC 27019:2017 Bilgi teknolojisi - Güvenlik teknikleri - Enerji hizmetleri endüstrisi için bilgi güvenliği kontrolleri ile tamamlanabilir (CEN-CENELEC tarafından belirlenen ilgili ISO 27000 serisi standartlarının tam listesi için ek A.1'e bakınız).

Buna ek olarak, aşağıdaki kılavuz ve kullanım örneği belgeleri geliştirilmekte olan taslaklardır (bazıları çok erken aşamadadır) ve YZ'yi daha spesifik olarak incelemektedir. Bu standartların etkilerini değerlendirmek için henüz erkendir.

•    ISO/IEC AWI 27090, Siber güvenlik - Yapay zeka - Yapay zeka sistemlerindeki güvenlik tehditleri ve arızalarının ele alınması için kılavuz: Belge, kuruluşlara, yaşam döngüleri boyunca yapay zeka sistemlerine yönelik güvenlik tehditlerinin sonuçlarını daha iyi anlamalarına yardımcı olacak bilgiler sağlamayı amaçlamakta ve bu tür tehditlerin nasıl tespit edileceğini ve azaltılacağını açıklamaktadır. Belge hazırlık aşamasındadır.

•    ISO/IEC CD TR 27563, Siber Güvenlik - Yapay Zeka - Yapay zeka kullanım durumlarında güvenlik ve gizliliğin etkisi: Belge komite aşamasındadır.

Tasarım gereği, JTC 21, güvenilirlik özellikleri, veri kalitesi, YZ yönetişimi, YZ yönetim sistemleri vb. içeren genişletilmiş siber güvenlik kapsamını (bkz. Bölüm 4.2) ele almaktadır. Bu göz önüne alındığında, ISO-IEC/SC 42 standartlarının ilk listesi, YZ Yasası taslağına doğrudan uygulanabilirliğe sahip olarak tanımlanmıştır ve JTC 21 tarafından benimsenmesi/uyarlanması için değerlendirilmektedir:

•    ISO/IEC 22989:2022, Yapay zeka kavramları ve terminolojisi (yayınlanmıştır),

•    ISO/IEC 23053:2022, Makine öğrenimi (ML) kullanan yapay zeka (AI) sistemleri için çerçeve

(yayınlanmıştır),

•    ISO/IEC DIS 42001, Yapay zeka yönetim sistemi (geliştirme aşamasında),

•    ISO/IEC 23894, Yapay zeka risk yönetimi kılavuzu (yayınlanma aşamasında),

•    ISO/IEC TS 4213, Makine öğrenimi sınıflandırma performansının değerlendirilmesi (yayınlanmıştır),

•    ISO/IEC FDIS 24029-2, Resmi yöntemlerin kullanımı için metodoloji (geliştirme aşamasında),

•    ISO/IEC CD 5259 serisi: Analitik ve makine öğrenimi için veri kalitesi (geliştirme aşamasında).

Buna ek olarak, JTC 21 iki boşluk belirlemiş ve bu doğrultuda taslak YZ Yasasını destekleyen yeni iş öğesi önerileri (NWIP'ler) hazırlamak amacıyla iki özel grup başlatmıştır. Gelecekteki potansiyel standartlar şunlardır:

•    Yapay zeka sistemleri risk kataloğu ve risk yönetimi,

•   YZ güvenilirlik karakterizasyonu (örneğin, sağlamlık, doğruluk, güvenlik, açıklanabilirlik, şeffaflık ve izlenebilirlik).

Son olarak, yapay zeka yönetim sistemlerine ilişkin ISO-IEC 42001 ve siber güvenlik yönetim sistemlerine ilişkin ISO-IEC 27001'in, yapay zeka ve veri kalitesi yönetiminin uygun şekilde kapsanması için kalite yönetim sistemlerine ilişkin ISO 9001 ile tamamlanabileceği belirlenmiştir.

3.1.2 ETSI

ETSI, ETSI'nin teknik organlarında, komitelerinde ve endüstri spesifikasyon gruplarında (ISG'ler) ele alınan yapay zeka ile ilgili standardizasyon faaliyetlerini koordine eden Yapay Zeka üzerine özel bir Operasyonel Koordinasyon Grubu kurmuştur. Buna ek olarak, ETSI, yapay zekanın sistemlere getirdiği sorunların daha ayrıntılı bir şekilde anlaşılmasını sağlayan raporlar geliştirmek için 2019'dan beri aktif olan yapay zekanın güvenliği (SAI) konusunda özel bir gruba sahiptir. Buna ek olarak, ETSI'nin çok sayıda teknik organı, sıfır dokunuşlu ağ ve hizmet yönetimi (ISG ZSM), sağlık TC eHEALTH) ve ulaşım (TC ITS) gibi farklı alanlarda yapay zekanın rolünü ele almaktadır.

ISG SAI, sistemleri YZ'den ve YZ'yi saldırılardan korumaya yönelik yolları belirleyen bir ön standartlaştırma grubudur. Bu grup, YZ'nin belirli özelliklerini ele alarak teknik düzeyde çalışmaktadır. ir dizi rapor yayınlamıştır ve daha geniş bir anlayışı teşvik etmek ve gerekli olduğu kanıtlanırsa daha ayrıntılı normatif standartlar için bir dizi gereksinim sağlamak için raporlar geliştirmeye devam etmektedir.

Aşağıda, ISG SAI'nin YZ'ye ve YZ'den korumaları anlamak ve geliştirmek için geçerli olan yayınlanmış grup raporları (GR'ler) yer almaktadır:

•    ETSI GR SAI-001: Yapay Zeka Tehdit Ontolojisi,

•    ETSI GR SAI-002: Veri Tedarik Zinciri Güvenliği,

•    ETSI GR SAI-004: Problem Açıklaması,

•    ETSI GR SAI-005: Etki Azaltma Stratejisi Raporu,

•    ETSI GR SAI-006: Yapay Zeka Güvenliğinde Donanımın Rolü.

ISG SAI'nin aşağıdaki çalışma maddeleri geliştirme /yayınlanma aşamasındadır:

•    ETSI DGR SAI-007: Yapay Zeka İşlemlerinin Açıklanabilirliği ve Şeffaflığı (yayınlanma aşamasında),

•    ETSI DGR SAI-008: AI/ML Sistemlerinin Gizlilik Yönleri (nihai taslak),

•    ETSI DGR SAI-009: Yapay Zeka Bilgi İşlem Platformu Güvenlik Çerçevesi (yayınlanma aşamasında),
•    ETSI DGR SAI-010: Yapay Zeka Modellerinin İzlenebilirliği (geliştirme aşamasında - erken taslak),

•    ETSI DGR/SAI-0011: Multimedya kimlik gösterimlerinin otomatik manipülasyonu (erken taslak),

•    ETSI DGR/SAI-003: Yapay zekanın güvenlik testi (kararlı taslak),

•    ETSI DGR/SAI-0012: İşbirliğine Dayalı Yapay Zeka (erken taslak).

Halihazırda yayınlanmış ve geliştirilmekte olan çalışmalara ek olarak, grup, uzun vadeli çalışma planlamasını ve çeşitli paydaşların nasıl etkileşimde bulunacağını tanımlayan bir 'yol haritası' hazırlamaktadır.

Buna ek olarak, YZ Yasası ve Siber Güvenlik Yasası taslaklarının doğrudan bir sonucu olarak, aşağıdaki potansiyel gelecekteki WI'lar tartışılmaktadır: YZ hazırlığı ve geçişi, test ve sertifikasyon.

ETSI ISG SAI'deki çalışma, siber güvenlik teknik komitesi (TC Cyber) de dahil olmak üzere diğer ETSI organlarının katkılarını içeren ETSI'nin yapay zeka alanındaki çalışmalarının daha geniş bir bağlamı içindedir. Komite, diğer projelerin yanı sıra özellikle TS 102 165-1, Metotlar ve protokoller; Bölüm 1'i genişletmektedir: Tehdit, güvenlik açığı, risk analizi (TVRA) için yöntem ve yasal zorunluluğa uygunluk.

3.1.3 ISO-IEC

ISO-IEC, YZ ile ilgili çalışmalarını JTC 1 SC 42'de yürütmektedir. Ek A.2'deki liste, (önceki bölümlerde belirtilmediği sürece) yayınlanmış veya geliştirilmekte olan standartları yayın hedef tarihleriyle birlikte sunmaktadır.

3.1.4 Diğerleri

Neredeyse tüm yatay ve sektörel standardizasyon kuruluşları, aralarında çok az tutarlılık bulunan yapay zeka ile ilgili standardizasyon faaliyetleri başlatmıştır. StandICT⁶ tarafından yayınlanan Yapay Zekanın Görünümü raporu YZ standardizasyon ortamı raporu 250'den fazla belge tanımlamaktadır ve büyük olasılıkla birçoğu eksiktir. Uluslararası Telekomünikasyon Birliği (ITU), Elektrik ve Elektronik Mühendisleri Enstitüsü (IEEE) ve SAE International, YZ konusunda çok aktif olan kuruluşlardan bazılarıdır. Standardizasyon ortamının oluşturulması sürecinde, özellikle geliştirme aşamasındalarsa, belgelerin içeriğine erişimin neredeyse imkansız olduğu ve bu nedenle başlıklarının ötesinde uygunluklarını ve olgunluklarını değerlendirmenin imkansız olduğu gözlemlenmiştir.

⁶    https://www.standict.eu/

Yine de tanımlanan en ilginç projelerden biri, havacılıkta AI/ML'ye adanmış olan ve YZ güvenilirlik karakterizasyonu üzerine JTC 21 projesinin amacına çok benzeyen SAE AIR AS6983'tür. Projenin 2023 yılında yayınlanması beklenmektedir.

Ayrıca, büyük yazılım satıcılarının YZ işlevsel yeteneklerinin kullanımına ilişkin kendi standartlarını ve kılavuzlarını hazırladıkları ve birçok durumda (örneğin, yazılımın bir uygulama mağazası tarafından dağıtıldığı durumlarda) piyasaya sunulmadan önce ayrıntılı inceleme ve kalite kontrolleri gerektireceği kabul edilmektedir. Bu, geliştiricinin yasal yükümlülüklerine ektir. Son olarak, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de YZ alanında aktiftir ve Ocak 2023'te YZ Risk Yönetimi Çerçevesini (AI RMF 1.0) yayınlamıştır⁷.

⁷    https://www.nist.gov/itl/ai-risk-management-framework

Bundan sonraki bölüme  "4.Kapsam Analizi " ile devam edilecektir. 




Kaynak:https://www.enisa.europa.eu/publications/cybersecurity-of-ai-and-standardisation/@@download/fullReport
(Rapor Tarihi Mart 2023 ) 

ENISA HAKKINDA

Avrupa Birliği Siber Güvenlik Ajansı (The European Union Agency for Cybersecurity) ENISA, Avrupa genelinde yüksek düzeyde ortak siber güvenlik sağlamaya amaçlayan bir Birlik ajansıdır. 2004 yılında kurulan ve AB Siber Güvenlik Yasası ile güçlendirilen Avrupa Birliği Siber Güvenlik Ajansı, AB siber politikasına katkıda bulunur, siber güvenlik sertifikasyon programları ile ICT ürünlerinin, hizmetlerinin ve süreçlerinin güvenilirliğini arttırır, Üye Devletler ve AB organları ile işbirliği yapar ve gelecekte Avrupa'nın siber zorluklarına hazırlanmasına yardımcı olur. Ajans, bilgi paylaşımı, kapasite geliştirme ve farkındalık yaratma yoluyla, bağlantılı Teknoloji, bağlantılı cihazlar, yazılım, ödemeler ve hücresel teknolojideki yenilikler, insanların ve işletmelerin herhangi bir cihaz aracılığıyla, herhangi bir dijital veya fiziksel konumda güvenli, emniyetli ve gerçek zamanlı olarak birbirleriyle bağlantı kurmasını ve iş yapmasını mümkün kılmaktadır. Dijital ve fiziksel dünyaların bu entegrasyonu, ekonomiye olan güveni güçlendirmek, Birliğin altyapısının dayanıklılığını artırmak ve nihayetinde Avrupa toplumunu ve vatandaşlarını dijital olarak güvende tutmak için kilit paydaşlarıyla birlikte çalışmaktadır. ENISA ve çalışmaları hakkında daha fazla bilgiye buradan ulaşabilirsiniz: www.enisa.europa.eu.

İLETİŞİM

Yazarlarla iletişime geçmek için lütfen team@enisa.europa.eu adresini kullanın.

YAZARLAR

P. Bezombes, S. Brunessaux, S. Cadzow

EDİTÖR(LER)

ENISA:

E. Magonara

S. Gorniak

P.    Magnabosco E. Tsekmezoglou

TEŞEKKÜRLER

Ortak Araştırma Merkezi'ne ve Avrupa Komisyonu'na taslak hazırlama aşamasındaki aktif katkıları ve yorumları için teşekkür ederiz. Ayrıca, Yapay Zeka (AI) siber güvenliği üzerine ENISA Geçici Uzman Grubuna, bu raporun doğrulanmasındaki değerli geri bildirimleri ve yorumları için teşekkür ederiz.

YASAL BİLDİRİM

Bu yayın, aksi belirtilmedikçe ENISA'nın görüş ve yorumlarını temsil etmektedir. ENISA'nın veya ENISA organlarının 2019/881 sayılı Tüzük (AB) uyarınca düzenleyici bir yükümlülüğünü onaylamaz.

ENISA, yayını veya içeriğinden herhangi birini değiştirme, güncelleme veya kaldırma hakkına sahiptir. Bu yayın sadece bilgilendirme amaçlıdır ve ücretsiz olarak erişilebilir. Yayına yapılan tüm atıflar veya yayının tamamının ya da bir kısmının kullanımı, kaynak olarak ENISA'yı içermelidir.

Üçüncü taraf kaynaklardan uygun şekilde alıntı yapılmıştır. ENISA, bu yayında atıfta bulunulan harici web siteleri de dahil olmak üzere harici kaynakların içeriğinden sorumlu veya yükümlü değildir.

Ne ENISA ne de onun adına hareket eden herhangi bir kişi bu yayında yer alan bilgilerin kullanımından sorumlu değildir.

ENISA bu yayınla ilgili fikri mülkiyet haklarını korumaktadır.

TELIF HAKKI BİLDİRİMİ

© Avrupa Birliği Siber Güvenlik Ajansı (ENISA), 2023

ISBN 978-92-9204-616-3, DOI 10.2824/277479, TP-03-23-011-EN-C