انضمت وكالة الأمن القومي إلى وكالة الأمن السيبراني وغيرها لتقديم إرشادات حول دمج الذكاء الاصطناعي في التكنولوجيا التشغيلية 

مؤخراً، أصدرت وكالة الأمن القومي (NSA) جنباً إلى جنب مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، والمركز الأسترالي للأمن السيبراني التابع لمديرية الإشارات الأسترالية (ASD’s ACSC)، وغيرها ورقة معلومات الأمن السيبراني (CSI)، "مبادئ الدمج الآمن للذكاء الاصطناعي في التكنولوجيا التشغيلية.هنا" 

يصف هذا التقرير العديد من الطرق التي يمكن بها دمج الذكاء الاصطناعي في التكنولوجيا التشغيلية ويحدد أربعة مبادئ أساسية يجب على مالكي ومشغلي البنية التحتية الحيوية اتباعها لتحقيق الفوائد وتقليل المخاطر عند دمج الذكاء الاصطناعي في بيئات التكنولوجيا التشغيلية. تتضمن المبادئ الموصى بها تعليمات لفهم الذكاء الاصطناعي؛ الاعتبار لاستخدام الذكاء الاصطناعي في مجال التكنولوجيا التشغيلية؛ إنشاء حوكمة وأطر تأكيد للذكاء الاصطناعي؛ ودمج ممارسات السلامة والأمن في أنظمة الذكاء الاصطناعي والتكنولوجيا التشغيلية المعتمدة على الذكاء الاصطناعي. في منشور اليوم على المدونة، نقوم بالبحث بشكل عميق في المبادئ الموصى بها.  

الخلفية 

إذا كان عام 2024 يُعتبر عامًا لتجارب الذكاء الاصطناعي، ففي عام 2025 شهدنا منظورًا أكثر دقة وواقعية للذكاء الاصطناعي يظهر. كان هذا المنظور أقرب إلى الواقع وأبرز التحديات الفريدة المرتبطة بتبني الذكاء الاصطناعي في القطاعات المختلفة. مع ازدياد وعي الأعمال التجارية بالذكاء الاصطناعي، بدأ قادة الأعمال في إيلاء المزيد من الاهتمام لرؤية الذكاء الاصطناعي بطريقة أكثر شمولية أبعد من الضجيج. كما تدخلت الهيئات الرقابية وبدأت في إصدار إرشادات ونصائح كذلك.   

قبل بضعة أيام أثناء حضورنا فعالية، أعلنت وكالة CISA جنباً إلى جنب مع وكالة الأمن القومي، ومكتب التحقيقات الفيدرالي، ووكالات الأمن السيبراني المختارة من المملكة المتحدة، أستراليا، كندا، ألمانيا، ونيوزيلندا عن إصدار وثيقة مهمة تسمى مبادئ الدمج الآمن للذكاء الاصطناعي في التكنولوجيا التشغيلية (OT). وقد قمنا بمراجعتها أثناء رحلتنا الجوية.  

هذا ليس مجرد قائمة مراجعة للامتثال. بل يبدو وكأنه استجابة ضرورية لنقطة احتكاك حرجة عبر بيئات التكنولوجيا التشغيلية. بدأ التداخل بين الطبيعة الاحتمالية للذكاء الاصطناعي (الذي "يخمن" بناءً على البيانات) والطبيعة الحتمية للتكنولوجيا التشغيلية (حيث يجب أن يغلق صمام أو يتوقف توربين) والبحث عن شكل من التوجيه لإطلاق العنان. هذا حتى لا يتحول الأمر كله إلى تفاعل انشطار دون ضوابط.  

إذا كنت تدير بنية تحتية حيوية تعتمد على التكنولوجيا التشغيلية وتشمل الطاقة والمياه والتصنيع والنقل، فقد تكون هذه الإرشادات بمثابة "نجم الشمال" الجديد الخاص بك. إليك تحليلاً مفصلاً للمبادئ الأربعة التي تحدد الآن معيار الرعاية للذكاء الاصطناعي في التكنولوجيا التشغيلية وفقًا للوثيقة. 

مبدأ "الواجب المعرفة": افهم قبل النشر 

لمعالجة التحديات الفريدة لدمج الذكاء الاصطناعي في بيئات التكنولوجيا التشغيلية، يجب على مالكي ومشغلي البنية التحتية الحيوية التحقق من أن نظام الذكاء الاصطناعي قد تم تصميمه بأمان وفهم أدوارهم ومسؤولياتهم طوال دورة حياة نظام الذكاء الاصطناعي. على غرار نماذج الملكية المختلطة المستخدمة مع أنظمة السحابة، يجب على المالكين والمشغلين توضيح وتحديد هذه الأدوار والمسؤوليات بوضوح مع الشركة المصنعة لنظام الذكاء الاصطناعي، ومزود التكنولوجيا التشغيلية، وأي أدوار لمندمج الأنظمة أو مزود الخدمات المدارة. 

تنتقل الإرشادات بعيدًا عن "الذكاء الاصطناعي لأجل الذكاء الاصطناعي فقط." الخطوة الأولى هي تعليمية ومعمارية بحتة. لا يمكنك تأمين ما لا تفهمه. 

• تعريف المخاطر: يقدم الذكاء الاصطناعي مخاطر لا تواجهها التكنولوجيا التشغيلية التقليدية، مثل الانجراف النموذجي (حيث تتدهور دقة الذكاء الاصطناعي بمرور الوقت مع تقادم الآلات) والتخيل (حيث يبتكر الذكاء الاصطناعي أنماط بيانات.) 

• تطوير المهارات: فرق العمل حقيقي. المشغلين الذين يعرفون كيفية إصلاح مضخة قد لا يعرفون كيفية تصحيح الشبكة العصبية. تتطلب الإرشادات تدريب الأفراد ليس فقط على استخدام الذكاء الاصطناعي، بل على فهم أوضاع فشله. 

• تأمين دورة الحياة: يبدأ الأمن عند مستوى الكود. تعني مبادئ "الأمان حسب التصميم" فحص سلسلة توريد الذكاء الاصطناعي قبل أن يلمس أي نموذج خوارزم أجزاء المصنع. 

حالة العمل: "هل نحتاج حقًا إلى الذكاء الاصطناعي لهذا؟" 

قبل دمج نظام الذكاء الاصطناعي في بيئة التكنولوجيا التشغيلية، يجب على مالكي ومشغلي البنية التحتية الحيوية تقييم ما إذا كانت تقنيات الذكاء الاصطناعي هي الحل الأكثر ملاءمة لتلبية احتياجاتهم الخاصة ومتطلباتهم مقارنة بالتقنيات الأخرى. يجب على مالكي ومشغلي البنية التحتية الحيوية أيضًا التفكير فيما إذا كانت قدرة موجودة تلبي احتياجاتهم قبل متابعة حلول الذكاء الاصطناعي المعقدة والجديدة. في حين أن الذكاء الاصطناعي يقدم فوائد فريدة، فهو تكنولوجيا متطورة تتطلب تقييمًا مستمرًا للمخاطر. 

يجب أن تتضمن هذه التقييمات عوامل مختلفة، بما في ذلك الأمن، الأداء، التعقيد، التكلفة، وتأثيرها على سلامة بيئة التكنولوجيا التشغيلية اعتمادًا على التطبيق المحدد، وتقييم الفوائد والمخاطر المتعلقة باستخدام تقنيات الذكاء الاصطناعي مقابل المتطلبات الوظيفية التي يجب أن يلبيها التطبيق. يجب على مالكي ومشغلي البنية التحتية الحيوية فهم السعة الحالية للمنظمة للحفاظ على نظام الذكاء الاصطناعي في بيئة التكنولوجيا التشغيلية وتأثير توسيع السطح المعرض للمخاطر للبيئة، مثل الحاجة إلى أجهزة وبرامج إضافية لمعالجة البيانات عبر النماذج أو بنية تحتية أمنية إضافية لحماية سطح الهجوم الموسع.  
هذا هو ربما الجانب الأكثر تفردًا من الإرشادات. إنها تتحدى القادة لتبرير إدراج الذكاء الاصطناعي. الإجماع واضح: التعقيد هو عدو الأمان. 

• المخاطرة مقابل المكافأة: هل تفوق الكفاءة المكتسبة من مستشعر حراري بالذكاء الاصطناعي مخاطر هجوم سيبر-فيزيائي؟ إذا كان وحدة تحكم PID التقليدية تعمل، التزم بها. 

• مصدر البيانات: في التكنولوجيا التشغيلية، البيانات هي الحقيقة. إذا تم تدريب نموذج الذكاء الاصطناعي على بيانات استشعار سيئة، فسوف يتخذ قرارات خطيرة. يجب أن تتحقق من سلامة بيانات التدريب بنفس دقة الآلات المادية. 

• شفافية البائع: انتهت حقبة "الصندوق الأسود". يجب عليك المطالبة بالشفافية من البائعين حول كيفية عمل نماذجهم، ومن أين تأتي البيانات، ومن لديه الوصول إلى أوزان النموذج. 

الحوكمة: بناء الحواجز الواقية 

إن الهياكل الحوكمية الفعالة ضرورية للتكامل الآمن مع الذكاء الاصطناعي في بيئات التكنولوجيا التشغيلية. يتضمن ذلك إنشاء سياسات وإجراءات وهياكل المساءلة الواضحة لاتخاذ قرارات الذكاء الاصطناعي ضمن التكنولوجيا التشغيلية. يجب أن تشتمل هيكل حوكمة الذكاء الاصطناعي على أصحاب المصلحة الرئيسيين المذكورين أدناه، بالإضافة إلى أي بائعين للذكاء الاصطناعي مطلوبين للحفاظ على إشراف خلال المشتريات والتطوير والتصميم والنشر والعمليات. 

الأطراف الرئيسية في آليات حوكمة الذكاء الاصطناعي 

القيادة. إن تأمين الالتزام من القيادات العليا، بما في ذلك الرئيس التنفيذي وضابط المعلومات الأمني الرئيسي، أمر أساسي لإنشاء إطار حوكمة الذكاء الاصطناعي قوي. يساعد ذلك في ضمان أن تكون قيادة المنظمة مستثمرة بشكل كامل في الإدارة الآمنة لدورة حياة أنظمة الذكاء الاصطناعي وتأخذ بعين الاعتبار مخاطر الأمن في الذكاء الاصطناعي وطرق التخفيف إلى جانب وظائف الذكاء الاصطناعي. 

خبراء الموضوع في التكنولوجيا التشغيلية / تكنولوجيا المعلومات. إن انخراط خبراء الموضوع في التكنولوجيا التشغيلية، وتكنولوجيا المعلومات، والذكاء الاصطناعي أمر حيوي للتكامل الفعال والآمن لأنظمة الذكاء الاصطناعي في بيئات التكنولوجيا التشغيلية. يقدم هؤلاء الخبراء رؤى قيمة في بيئة التكنولوجيا التشغيلية ويمكنهم المساعدة في تحديد المخاطر والتحديات المحتملة المرتبطة بتكامل الذكاء الاصطناعي. 

فرق الأمن السيبراني. إن التعاون مع فرق الأمن السيبراني أمر حيوي لتطوير السياسات والإجراءات التي تحمي بيانات التكنولوجيا التشغيلية الحساسة المستخدمة من قبل نماذج الذكاء الاصطناعي. يمكن لفرق الأمن السيبراني تحديد الثغرات المحتملة وتقديم توصيات التخفيف للمساعدة في الحفاظ على أمان بيانات المنظمة. 

لن تسمح لمهندس غير معتمد بتشغيل مصنع نووي. يجب ألا تسمح لنموذج غير معتمد بتشغيله، أيضًا. 

• سجل مخاطر الذكاء الاصطناعي: تعامل مع مكونات الذكاء الاصطناعي كأصول منفصلة لها ملفات مخاطرها الخاصة. 

• الاختبار المستمر: على عكس التروس الميكانيكية التي تتهالك بوضوح، فإن نموذج الذكاء الاصطناعي يتدهور بصمت. تدعو التوجيهات إلى التقييم المستمر، اختبار النموذج ضد "الحالات الشاذة" (السيناريوهات النادرة والمتطرفة) لضمان عدم فشله بشكل كارثي عندما تسوء الأمور. 

• رسم خريطة الالتزام: لا تعيد اختراع العجلة. قم بوصل حوكمة الذكاء الاصطناعي في الأطر الموجودة مثل NIST CSF أو IEC 62443. 

القاعدة الذهبية: الإنسان في الحلقة ومع أمن الفشل 

هذا هو القسم الأكثر أهمية للسلامة. الوكالات المشتركة واضحة: لا ينبغي للذكاء الاصطناعي أن يكون له الكلمة الأخيرة في الأعمال الحرجة للسلامة. 

• "مفتاح الإيقاف": إذا فشل الذكاء الاصطناعي، يجب أن يعود النظام إلى حالة آمنة ومعروفة (مثل توقف ميكانيكي مبرمج). يجب أن يكون هذا "الأمان في حالة الفشل" مستقلاً عن الذكاء الاصطناعي. 

• الإشراف البشري: في القرارات ذات العواقب العالية، يجب أن يكون هناك شخصية إنسانية "في الحلقة". تُظهر الذكاء الاصطناعي النصيحة؛ يتخذ المشغل الفعل. 

• الشفافية في العمليات: عندما يقوم الذكاء الاصطناعي بإطلاق تنبيه، يجب أن يكون قابلاً للتفسير. يحتاج المشغل إلى معرفة لماذا يعتقد الذكاء الاصطناعي أن قفزة في الضغط وشيكة، وليس فقط أنه يعتقد ذلك. 

الكلمة الأخيرة

إن عصر التحرك بسرعة وكسر الأشياء لا ينطبق بالتأكيد عند إدارة الشبكة الكهربائية أو إمدادات المياه. لا يمكن لأحد حتى التفكير في ذلك 

تخلق الإرشادات المشتركة لوكالة CISA بنية ثنائية الأجزاء بشكل فعال: استخدم الذكاء الاصطناعي لتحليل وتحسين وتوقع في السحابة أو عند الحافة، ولكن احتفظ بالضوابط المادية بسيطة ومربوطة وموجهة من قبل الإنسان. 

إذًا ما ينبغي أن يكون تفويضك لعام 2026: الابتكار مع الذكاء الاصطناعي، ولكن ربطه وتأريضه في أسس السلامة الجسدية التي حافظت على تشغيل الأضواء لدينا لقرن. 

التخطيط لاستخدام الذكاء الاصطناعي في التكنولوجيا التشغيلية وتحتاج إلى إرشادات؟ تواصل معنا.