La Agencia de Ciberseguridad de la Unión Europea (ENISA) publica una evaluación de las normas para la ciberseguridad de la IA y emite recomendaciones para apoyar la aplicación de las próximas políticas de la UE sobre Inteligencia Artificial (IA).
¿Qué es la Inteligencia Artificial?
El borrador de la Ley de IA ofrece una definición de sistema de IA como «software desarrollado con una o más (…) técnicas (…) para un conjunto determinado de objetivos definidos por el ser humano, que genera resultados como contenidos, predicciones, recomendaciones o decisiones que influyen en los entornos con los que interactúan». En pocas palabras, estas técnicas incluyen principalmente: el aprendizaje automático recurriendo a métodos como el deep learning, la lógica, los enfoques basados en el conocimiento y la estadística.
De hecho, es esencial para la asignación de responsabilidades legales en virtud de un futuro marco de IA acordar lo que entra en la definición de un «sistema de IA».
Sin embargo, el alcance exacto de un sistema de IA evoluciona constantemente tanto en el debate legislativo sobre el proyecto de Ley de IA como en las comunidades científica y de normalización.
Aunque su contenido es amplio, este informe se centra en el machine learning (ML) (aprendizaje automático) debido a su amplio uso en las implantaciones de IA. El ML ha sido objeto de escrutinio con respecto a las vulnerabilidades que afectan en particular a la ciberseguridad de una implementación de IA.
Normas de ciberseguridad de la IA: ¿Cuál es la situación actual?
Dado que las normas ayudan a mitigar los riesgos, este estudio desvela las normas existentes de uso general que están fácilmente disponibles para la seguridad de la información y la gestión de la calidad en el contexto de la IA. Para mitigar algunos de los riesgos de ciberseguridad que afectan a los sistemas de IA, sería conveniente elaborar nuevas orientaciones que ayuden a la comunidad de usuarios a beneficiarse de las normas existentes sobre IA.
Cybersecurity of AI and Standardisation |
Esta propuesta se basa en la observación sobre la capa de software de la IA. De ello se deduce que lo que es aplicable al software podría serlo a la IA. Sin embargo, esto no significa que el trabajo termine aquí. Aún hay que considerar otros aspectos, como por ejemplo
- un análisis específico del sistema para atender a los requisitos de seguridad derivados del ámbito de aplicación;
- normas que cubran aspectos específicos de la IA, como la trazabilidad de los datos y los procedimientos de prueba.
Otras observaciones se refieren a la medida en que la evaluación del cumplimiento de los requisitos de seguridad puede basarse en normas horizontales específicas de la IA; además, llama la atención la medida en que esta evaluación puede basarse en normas verticales/sectoriales específicas.
Entre las principales recomendaciones figuran:
- Recurrir a una terminología normalizada de IA para la ciberseguridad;
- Elaborar orientaciones técnicas sobre cómo deben aplicarse a la IA las normas existentes relativas a la ciberseguridad de los programas informáticos;
- Reflexionar sobre las características inherentes del ML en la IA. En particular, debe considerarse la mitigación de riesgos asociando componentes de hardware/software a la IA; métricas fiables; y procedimientos de prueba;
- Promover la cooperación y la coordinación entre los comités técnicos de las organizaciones de normalización sobre ciberseguridad e IA, de modo que los posibles problemas de ciberseguridad (por ejemplo, sobre características de fiabilidad y calidad de los datos) puedan abordarse de manera coherente.
Regulación de la IA: ¿qué se necesita?
Como para muchos otros actos legislativos de la UE, el cumplimiento del proyecto de Ley de IA se apoyará en normas. Cuando se trata del cumplimiento de los requisitos de ciberseguridad establecidos por el proyecto de Ley de IA, se han identificado aspectos adicionales. Por ejemplo, puede ser necesario desarrollar más las normas para la evaluación de la conformidad, en particular en relación con las herramientas y las competencias. Asimismo, la interacción entre diferentes iniciativas legislativas debe reflejarse en mayor medida en las actividades de normalización; un ejemplo de ello es la propuesta de reglamento sobre requisitos horizontales de ciberseguridad para productos con elementos digitales, denominada «Ley de Ciberresiliencia».
Basándose en el informe y en otras investigaciones documentales, así como en las aportaciones recibidas de expertos, ENISA está examinando actualmente la necesidad y la viabilidad de un sistema de certificación de ciberseguridad de la UE sobre IA. Por consiguiente, la ENISA está colaborando con una amplia gama de partes interesadas, entre ellas la industria, las ESO y los Estados miembros, con el fin de recopilar datos sobre los requisitos de ciberseguridad de la IA, la seguridad de los datos en relación con la IA, la gestión de riesgos de la IA y la evaluación de la conformidad.
Más información: ENISA
Deja una respuesta