CSA要求关键信息基础设施负责人审查AI威胁带来的网络风险
【编者按】当AI生成的攻击能以每秒钟数十万次的频率扫描全球关键基础设施,当”漏洞发现变得更快、更便宜”,新加坡网络安全局的一纸公文,向所有掌握国家命脉的CII机构发出了最严厉的警告:别再指望把网络安全丢给IT部门了!这不是某个技术团队的新增工作量,而是董事会的战略级议题。CNN的谭先明部长在议会上的表态掷地有声:”这必须由最高领导层亲自盯着,包括董事会成员和CEO。”而一封来自网安局CEO的信更揭示了一个残酷现实:前沿AI正在以指数级速度重构威胁维度,过往所有基于传统假设的安全防线可能已经形同虚设。从能源、水处理到金融医疗,八大关键领域的每一次点击都可能成为AI攻击的跳板。更令人震惊的是,就连Anthropic最新发布的Mythos模型,其自主挖掘高危漏洞的能力已远超ChatGPT和Gemini——而新加坡政府至今对这一”黑箱”毫无直接访问权限!当AI的攻击节奏从”小时级”压缩到”秒杀级”,这场生死竞速,正在改写全球网络安全的游戏规则。
新加坡——鉴于AI驱动的新型威胁不断涌现,新加坡网络安全局(CSA)已致函所有关键信息基础设施(CII)所有方的董事会与最高管理层,明确要求其重新审视本机构的网络安全防护体系。
新加坡数字发展及信息部高级政务部长Tan Kiat How于周二(5月5日)在议会发表声明称,CSA的这封信函对审查内容提出了清晰的期望要求。
他是在回应国会议员关于AI网络攻击以及各机构如何加强此类攻击防范的提问时做出上述表述的。
“这绝不是一个可以推给IT团队独自处理的问题,” Tan表示。
“这需要包括董事会成员和首席执行官在内的最高领导层亲自关注。无论一个机构运营的是信息技术系统、操作技术系统,还是两者兼有的系统,这一点都至关重要。”
“优先事项是尽快夯实基础安全能力。”
关键信息基础设施是指直接参与基本服务提供的计算机系统。CII行业涵盖:能源、水务、银行与金融、医疗、交通、信息通信、媒体、安保与紧急服务,以及政府。
在信中,CSA首席执行官David Koh指出,前沿AI领域的新发展”需要董事会和CEO的关注”。
“前沿AI正以这样的速度加速发展——以往我们设计网络安全控制、措施和事件响应计划时所依据的风险管理假设,可能已经不再适用。”他在信中写道。
“漏洞发现正变得越来越快、越来越便宜。”
各机构的审查应重点关注:当前的网络安全风险评估是否充分纳入了AI驱动的威胁;对关键系统、面向互联网的资产、特权访问权限、云服务以及第三方依赖关系的可见性是否依然足够。
还应考虑:漏洞管理、补丁修复、监控和事件响应安排是否足够迅速;以及其对AI的使用是否得到了适当治理。
机构还应探索在哪些环节可以利用AI来加强当前的网络安全运营。
Koh表示,审查结果应在适当的董事会或执行治理风险委员会上提交报告。
“一旦发现重大缺口,管理层应确保通过明确的整改计划和明确的风险接受决策来加以解决,必要时还应调整网络安全投资优先级。”
他补充说,CSA将继续跟踪事态发展,发布进一步的技术指导,并与合作伙伴合作,增强新加坡的整体网络韧性。
Tan先生透露,新加坡金融管理局已召集主要金融机构的CEO讨论威胁格局,”推动在技术和网络韧性方面采取集体行动”。
“金融机构正以应有的严肃态度对待这一问题,并一直在加强自身的防护态势,”他补充道。
政府认为,AI驱动的网络风险是对现有系统性风险的放大,而非一个全新的类别。政府机构也在警惕由AI引发的网络安全风险。
CSA上个月敦促新加坡企业加强网络安全措施,指出前沿AI模型可能带来更大的风险。
该建议发布数日前,Anthropic公司在其能力的炒作浪潮中预览了Mythos模型。
英国AI安全研究院发现,Mythos比其他AI工具(如OpenAI的ChatGPT或谷歌的Gemini)更善于用于复杂网络攻击。
在发布Mythos时,Anthropic声称已经发现了数千个高危漏洞,其中包括每个主流操作系统和网络浏览器中的一些漏洞。
在回答议员Louis Chua(工人党-盛港选区)的提问时,Tan表示政府无法访问Mythos。
他指出,Anthropic仅向有限合作伙伴提供了受控预览版,当局亦未获悉有任何本地银行获得了访问权限。
“更广泛地说,我们不假设自己总能提前接触到每一个前沿模型,”他补充道。
相反,当局与包括主要AI实验室和网络安全公司在内的各类合作伙伴保持着密切的工作关系,以追踪事态发展,评估安全影响。
“我们正在与有权访问Mythos的合作伙伴合作,以更深入地了解其能力和影响,” Tan补充说。
他还表示,CSA与相关政府机构和行业专家密切合作,交流关于威胁及缓解措施的见解。同时,当局正在审查CII所有方的标准和义务,以应对AI带来的更快攻击时间线。
根据《网络安全法》,CSA有权在必要时指示并强制执行相关行动。
“具体到Mythos,由于缺乏直接访问权限,我们无法自行测试该模型。但我们基于已发表的评估报告、威胁情报以及与主要AI实验室的持续接触来进行风险评估,” Tan表示。
“一旦出现确凿证据,表明对国家重要系统存在重大威胁风险,我们就会与CII所有方合作并提供建议,指导其修补和加固系统。这是我们迄今为止一直采用的方法,并且将继续坚持下去。”
归根结底,问题并不在于某个单一的模型(如Mythos), Tan表示。
他补充道:”潜在的转变更为广泛,风险真实存在。我们正以应有的严肃态度对待它们。”
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/gj/25837.html
