NCSC'den Agentic AI Güvenliği İçin Kritik Rehber: Riskleri Azaltmanın Yolları Siber Güvenlik

NCSC'den Agentic AI Güvenliği İçin Kritik Rehber: Riskleri Azaltmanın Yolları

İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), agentic AI kullanımında ortaya çıkan siber risklere karşı kuruluşlara yol gösteren yeni bir rehber yay

İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), agentic yapay zeka (AI) sistemlerini benimsemek isteyen ancak beraberinde gelen siber risklerden endişe duyan kuruluşlar için kapsamlı bir rehber yayınladı. Bu yeni belge, NCSC'nin Avustralya, Kanada, ABD ve Yeni Zelanda'daki Five Eyes istihbarat ortaklarıyla birlikte hazırladığı daha ayrıntılı bir raporu özetliyor. Rehber, agentic sistemlerin otonomi ve karmaşıklığının onları özellikle tehlikeli hale getirdiğini vurguluyor; dış sistemlere, verilere ve araçlara aşırı geniş erişim ile öngörülemeyen davranışların büyük risk oluşturduğuna dikkat çekiyor.

NCSC, agentic AI'nın eylemlerinin insanların gözden geçiremeyeceği kadar hızlı gerçekleştiğinde sorunların tespit edilmesinin zorlaştığını belirtiyor. Ayrıca, ajanların kullanabileceği çok çeşitli davranış ve araçlar, belirli bir eylem planını açıklamayı daha da güçleştiriyor. Bu nedenle kuruluşlar, ajanları dağıtmadan önce dikkatlice düşünmeli; aşırı yetkilendirilmiş veya kötü tasarlanmış bir ajanın tek bir hatasının hızla ciddi bir olaya dönüşebileceğini unutmamalıdır.

NCSC, kuruluşların öncelikle neyin yanlış gidebileceğini düşünmelerini, AI'nın belirli kullanım durumları için gerçekten gerekli olup olmadığını sorgulamalarını ve yalnızca aşamalı olarak dağıtım yapmalarını öneriyor. 'Net bir şekilde tanımlanmış görevlerle sıkı sınırlandırılmış pilot uygulamalarla başlayın' tavsiyesinde bulunan rehber, dağıtımdan önce ekibin agentic sisteme kimin sahip olduğunu, erişimini kimin onayladığını, davranışını kimin izlediğini, olayları kimin incelediğini ve bir sorun durumunda sistemi kimin durdurabileceğini belirlemesi gerektiğini ekliyor.

Rehberde ayrıca şu uyarı yer alıyor: 'Bir ajanın görevini yanlış anlaması, amaçlanan kapsamını aşması veya manipüle edilmesi durumunda neler olabileceğini düşünün ve bir ajana hassas verilere veya kritik sistemlere asla sınırsız erişim izni vermeyin. Sistemin işleyişi üzerinde sürekli görünürlük sağlayın ve anlamlı insan gözetimi ile kontrolü nasıl sürdüreceğinizi anlayın. Bir ajanın eylemlerini anlayamıyor, izleyemiyor veya kontrol edemiyorsanız, dağıtıma hazır değildir.' Bu uyarı, agentic AI'nın getirdiği benzersiz zorlukların altını çiziyor.

Nasıl Önlem Alınmalı?

Neyse ki, uluslararası ETSI EN 304 223 standardı tarafından tanımlanan sektördeki en iyi uygulamalar bu riskleri azaltmaya yardımcı olabilir. NCSC, agentic AI riskini azaltmak için aşağıdaki yöntemleri öneriyor: En az ayrıcalık ilkesini uygulayarak ajanlara yalnızca ihtiyaç duydukları minimum erişimi ve en kısa süre için verin. Kapsamı sınırlayarak ajanların hangi verilere, hangi eylemlere ve hangi zamanlarda erişebileceğini kısıtlayın. Uzun ömürlü kimlik bilgilerinden kaçının; mümkünse geçici kimlik bilgileri kullanın ve görevler tamamlandığında yükseltilmiş erişimi iptal edin. Güvenli varsayılanlar kullanarak uygulamaları güvenli yapılandırmalar, güvenli protokoller ve uygun doğrulama ile tasarlayın. Bağımlılıkları anlayarak üçüncü taraf bileşenler, modeller, araçlar ve entegrasyonlar için tedarik zinciri riskini yönetin. Davranışları izleyerek araçlar, iş akışları ve bağlı sistemler genelinde olağandışı veya beklenmeyen etkinlikleri tespit edin. Dağıtımı tehdit modelleyerek sistemin nasıl kötüye kullanılabileceğini, manipüle edilebileceğini veya beklenmedik davranışlara neden olabileceğini değerlendirin. Olaylar için plan yaparak müdahale planlarının agentic AI arızalarını, kötüye kullanımını ve kontrol kaybını kapsadığından emin olun.

NCSC rehberi, 'Agentic AI'nın, özellikle tekrarlayan, iyi anlaşılmış ve düşük riskli görevlerde birçok senaryoda önemli faydalar sağlaması muhtemeldir. NCSC, bu faydaları gerçekleştirme arzusunu anlıyor ve sorumlu, düşünceli ve ölçeklenebilir bir benimsemeyi teşvik ediyor. Küçük başlayın, baştan itibaren mevcut siber hijyen ve yönetişim uygulamalarını uygulayın ve başarısızlığa karşı plan yapın (buna nasıl yanıt vereceğiniz de dahil)' ifadeleriyle sonlanıyor. Bu rehber, agentic AI'nın potansiyelinden yararlanmak isteyen her kuruluş için kritik öneme sahip.

Kaynak: infosecurity-magazine.com

Paylaş: