Seguridad

Plan de Acción Europeo sobre Ciberseguridad e Inteligencia Artificial

Después de que Estados Unidos publicase hace un mes La Orden Ejecutiva de la Casa Blanca para promover Innovación en IA Avanzada y Seguridad para protegerse de, y con, la IA la Unión Europea ha hecho un movimiento similar con el «EU Action Plan on Cybersecurity and Artificial Intelligence» que ha sido publicado esta misma semana, y que muestra, más o menos, las mismas preocupaciones y similares acciones, además de la preocupación por contar con las capacidades a nivel Europeo.
El primero de los puntos que destaca es el relativo a las medidas de seguridad de los modelos de IA, para conocer los riesgos que implica su uso basados en el Modelo de Riesgos del AI ACT que publicó la Unión Europea hace tiempo.
Se trata de saber cuál puede ser el riesgo asociado a un modelo de IA que se utilice en caso de uso críticos, y conocer cómo puede impactar una vulnerabilidad del modelo de Jailbreak, Misalignment, Hallucination o BIAS al funcionamiento de cualquier servicio digital que lo use.

El objetivo es poder evaluar los modelos y generar durante Q4 una guía de qué modelos deben ser utilizados y para qué, con el objetivo de mejorar las capacidades de Europa en materia de Inteligencia Artificial de una manera segura. 
El siguiente de los puntos está dirigido a garantizar el Acceso a Modelos de IA para Ciberseguridad, con lo que la Agencia de la Unión Europea para la Ciberseguridad (ENISA) trabajará en definir un plan europeo para el acceso estructurado a capacidades avanzadas de IA para la ciberseguridad. Estas orientaciones servirán para que las organizaciones europeas pertinentes, tanto públicas como privadas, puedan acceder a modelos avanzados de IA.
Como se puede ver, no solo se trata de tener asegurado el acceso a Modelos de IA para Ciberseguridad, pensando en capacidades Red Team o Purple Team, que permitan descubrir y vulnerabilidaes y gestionar incidentes de seguridad, sino también pensando en arreglarlas con plataformas de Patching to match AI-Speed, o lo que es lo mismo, plataforma de Patching con IA – como la que ha desarrollado la empresa Plexicus, que fundó José Palanco,  de la que tanto os he hablado.

Figura 6: Plexicus parchea con IA los bugs descubiertos
Con estas dos visiones, el Plan de Acción de la UE sobre Ciberseguridad e Inteligencia Artificial propone probar la IA aplicada a la ciberseguridad, para lo que ENISA y el Centro Común de Investigación de la Comisión crearán una plataforma segura para probar la IA aplicada a la ciberseguridad, lo que incluirá el uso de entornos simulados. Esto proporcionará conocimientos técnicos sobre el uso seguro de la IA a los operadores de sectores críticos, como el financiero, el energético, el sanitario, el del transporte y la administración pública, así como benchmarks que permitan entender mejor las capacidades de cada uno de ellos.
Por supuesto, estas pruebas, evaluaciones, y decisiones sobre modelos de IA, tienen como objetivo que las empresas europeas y los gobiernos puedan reforzar la ciberseguridad de la UE y subsanar las vulnerabilidades, La UE debe proteger sus infraestructuras críticas frente a las vulnerabilidades derivadas del posible uso indebido de estas tecnologías, y recuerda que las organizaciones deben reforzar las prácticas de ciberhigiene, las medidas de gestión de riesgos y los principios de «seguridad desde el diseño»
Para ello urge a las organizaciones a que empiecen a utilizar las capacidades de IA ya disponibles, para identificar y subsanar las vulnerabilidades con mayor rapidez, así como para prevenir y responder a los ciberataques. Es decir, acción ya, que ya tenemos muchas capacidades de hacking y pentesting con IA.
Para hacer esto, el plan quiere lograr estimular el crecimiento del mercado europeo, mediante lo que se ha llamado el «Gran reto de la UE sobre IA para la ciberseguridad». Este concurso quiere reunir a empresas, investigadores y organizaciones con el objetivo de desarrollar soluciones de inteligencia artificial para la ciberseguridad, ya que considera que la UE debe seguir invirtiendo en el desarrollo de sus propias capacidades soberanas avanzadas de IA, aprovechando la infraestructura proporcionada por las factorías de IA y las futuras gigafactorías
Por último, este plan recuerda todas las demás iniciativas regulatorias y demandas de aplicación de medias que la UE está haciendo para impulsar la transformación digital con inteligencia artificial y la seguridad de toda la unión. para ello, recuerda que el Reglamento de IA exige evaluar y mitigar los riesgos derivados de los modelos de IA, mientras que el Código de buenas prácticas para la IA de uso general especifica con mayor detalle estos requisitos. 
Todo este plan dará comienzo a partir del próximo 2 de Agosto de este año, y además recuerda que el Reglamento de Ciberresiliencia, que será de obligada aplicación a finales de 2027, exige que los productos de hardware y software incorporen la seguridad desde el diseño, junto con el resto de directivas de seguridad que la UE ha aprobado para los diferentes sectores industriales. 
En definitiva, todo el mundo está preocupado por el impacto directo que la Inteligencia Artificial tiene en la Ciberseguridad, y el impacto que la Ciberseguridad tiene en el despliegue seguro de la Inteligencia Artificial. Dos areas de tecnología que se han visto transformadas y unidas de manera muy especial.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)  

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.