El mes pasado, una orden ejecutiva estadounidense de 120 páginas expuso los planes de la administración Biden para supervisar a las empresas que desarrollan tecnologías de inteligencia artificial y directivas sobre cómo el gobierno federal debería expandir su adopción de IA. Sin embargo, en esencia, el documento se centró en gran medida en cuestiones de seguridad relacionadas con la IA, tanto en encontrar y corregir vulnerabilidades en productos de IA como en desarrollar defensas contra posibles ataques de ciberseguridad impulsados por la IA. Como ocurre con cualquier orden ejecutiva, el problema está en cómo convertir un documento extenso y abstracto en una acción concreta. Hoy, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) anunciará una “hoja de ruta para la inteligencia artificial” que establece su plan para implementar la orden.
CISA divide sus planes para abordar la ciberseguridad de la IA y temas relacionados con la infraestructura crítica en cinco grupos. Dos implican promover la comunicación, la colaboración y la experiencia de la fuerza laboral a través de asociaciones públicas y privadas, y tres están relacionados más concretamente con la implementación de componentes específicos de la EO. CISA está ubicada dentro del Departamento de Seguridad Nacional de EE. UU. (DHS).
«Es importante poder publicar esto y, francamente, responsabilizarnos tanto de las cosas generales que debemos hacer para nuestra misión como de lo que estaba en la orden ejecutiva», dijo a WIRED la directora de CISA, Jen Easterly, antes de la publicación de la hoja de ruta. “La IA como software claramente tendrá impactos fenomenales en la sociedad, pero así como hará nuestras vidas mejores y más fáciles, muy bien podría hacer lo mismo con nuestros adversarios grandes y pequeños. Por lo tanto, nuestro enfoque está en cómo podemos garantizar el desarrollo y la implementación seguros de estos sistemas”.
El plan de CISA se centra en el uso responsable de la IA, pero también de manera agresiva en la defensa digital de Estados Unidos. Easterly enfatiza que, si bien la agencia está “centrada en la seguridad por encima de la velocidad” en términos del desarrollo de capacidades de defensa impulsadas por IA, el hecho es que los atacantes aprovecharán estas herramientas (y en algunos casos ya lo están haciendo), por lo que es necesario y Es urgente que el gobierno de Estados Unidos los utilice también.
Teniendo esto en cuenta, el enfoque de CISA para promover el uso de la IA en la defensa digital se centrará en ideas establecidas que tanto el sector público como el privado pueden adoptar de la ciberseguridad tradicional. Como dice Easterly, «la IA es una forma de software, y no podemos tratarla como una especie de cosa exótica a la que se deben aplicar nuevas reglas». Los sistemas de IA deben ser «seguros por diseño», lo que significa que han sido desarrollados teniendo en cuenta las limitaciones y la seguridad en lugar de intentar agregar protecciones retroactivamente a una plataforma completa como una ocurrencia tardía. CISA también tiene la intención de promover el uso de “listas de materiales de software” y otras medidas para mantener los sistemas de inteligencia artificial abiertos al escrutinio y auditorías de la cadena de suministro.
“Los fabricantes de IA [need] asumir la responsabilidad de los resultados de seguridad: esa es la idea de trasladar la carga a las empresas que más pueden soportarla”, dice Easterly. “Esos son los que están construyendo y diseñando estas tecnologías, y se trata de la importancia de adoptar una transparencia radical. Asegurarnos de saber qué hay en este software para que podamos asegurarnos de que esté protegido”.