NEN maakt bekend dat er een ISO/IEC-voorstel is goedgekeurd om richtlijnen te standaardiseren waardoor storingen in Artificial Intelligence (AI) systemen kunnen worden gereduceerd. Het normalisatie-instituut zoekt nu hulp bij de ontwikkeling van deze norm.

Bewustzijn en begrip van het nieuwe dreigingslandschap is volgens NEN noodzakelijk voor het beveiligen van AI-systemen tegen cyberaanvallen. AI-systemen worden namelijk meer en meer toegepast doordat organisaties hun digitale transformatie omarmen. Hierdoor neemt de kans op aanvallen op AI-systemen toe.

Niet voorbereid
Organisaties zijn volgens NEN over het algemeen niet goed voorbereid op aanvallen op hun AI-systemen. Deze systemen hebben verschillende kwetsbaarheden in vergelijking met conventionele systemen. Dat komt door de manier waarop ze worden ontwikkeld en hun sterke afhankelijkheid van gegevens. Als gevolg van het ongelijksoortige en wijdverbreide gebruik van AI-systemen, vooral binnen veiligheidskritieke contexten, kan het resultaat van beveiligingsaanvallen ernstig zijn. In sommige gevallen kan het zelfs mensen in gevaar brengen.

Intentie van de norm
Het tijdig aanpakken van dreigingen voor AI-systemen helpt om de betrouwbaarheid en het vertrouwen er in te verbeteren. De voorgestelde norm is bedoeld voor organisaties die kunstmatige intelligentie, oftewel AI, systemen gebruiken of ontwikkelen. Het is de bedoeling om vast te stellen welke maatregelen nodig zijn om de beveiliging van AI-systemen aan te pakken. Hiervoor worden eerst de dreigingen voor AI-systemen geïdentificeerd, evenals de fouten die deze dreigingen veroorzaken. Vervolgens wordt inzicht gegeven in beveiligingsproblemen met betrekking tot AI.

Voordelen van de norm
De voorgestelde norm heeft een aantal belangrijke elementen waarbij moet worden opgemerkt dat bestaande beveiligingsmaatregelen voor beveiliging van conventionele software en informatiesystemen ook te gebruiken zijn voor AI-systemen. De norm zal begeleiding bieden aan organisaties die ervoor kiezen om AI-systemen te ontwikkelen of in te zetten en creëert een beter bewustzijn van de soorten beveiligingsrisico’s waarmee dergelijke systemen kunnen worden geconfronteerd. De norm helpt organisaties ook om te begrijpen wat de gevolgen van dergelijke dreigingen zijn. Er worden technieken geboden om dreigingen te detecteren.

Verdere standaardisatie
Het document zal fungeren als een voorloper op verdere standaardisatie van beveiligingscontroles waarbij bestaande beveiligingscontroles worden aangepast of uitgebreid om aanvallen op AI-systemen aan te pakken. Hierbij kan gedacht worden aan beheersmaatregelen in ISO/IEC 27002 en ISO/IEC 42001. Tevens kunnen nieuwe beveiligingscontroles worden gedefinieerd om aanvallen op AI-systemen aan te pakken.
Wie als belanghebbende partij wil meepraten over de ontwikkeling van normen op dit gebied, kan zich richten tot de normcommissie ‘Cyber en Privacy’. Die houdt zich bezig met de ontwikkeling van meer dan 200 normen. Stuur voor deelname aan of meer informatie over deze commissie een mail naar [email protected].