Makine öğrenimi güvenliğini desteklemek için en iyi uygulamalar

Makine öğrenimi güvenliği iş açısından kritik öneme sahiptir

ML güvenliğinin tüm siber güvenlik önlemleriyle aynı amacı vardır: hassas verilerin açığa çıkma riskini azaltmak. Kötü bir aktör ML modelinize veya kullandığı verilere müdahale ederse, bu model en iyi ihtimalle ML’nin faydalarını baltalayan ve en kötü ihtimalle işinizi veya müşterilerinizi olumsuz etkileyen yanlış sonuçlar verebilir.

Capital One makine öğrenimi platformları başkan yardımcısı Zach Hanif, “Yöneticiler bunu önemsemeli çünkü yanlış şeyi çok hızlı ve kendinden emin bir şekilde yapmaktan daha kötü bir şey yoktur” diyor. Hanif, ek yönetişim ve güvenlik düzeyleri gerektiren düzenlenmiş bir sektörde (finansal hizmetler) çalışırken, makine öğrenimini benimseyen her işletmenin güvenlik uygulamalarını inceleme fırsatını kullanması gerektiğini söylüyor.

Capital One’da siber mühendislik ve makine öğrenimi başkan yardımcısı Devon Rollins şunları ekliyor: “İş açısından kritik uygulamaların güvenliğini sağlamak, bir düzeyde farklılaştırılmış koruma gerektirir. İş için oynadıkları rol ve kullanıcılar için sonuçları doğrudan nasıl etkiledikleri göz önüne alındığında, ML araçlarının pek çok ölçekte dağıtımının kritik olduğunu varsaymak güvenlidir.”

Akılda tutulması gereken yeni güvenlik konuları

Makine öğrenimi sistemlerinin güvenliğini sağlamaya yönelik en iyi uygulamalar, herhangi bir yazılım veya donanım sistemi için olanlara benzer olsa da, daha fazla makine öğrenimi benimsemesi de yeni değerlendirmeler sunar. Hanif, “Makine öğrenimi başka bir karmaşıklık katmanı ekliyor” diye açıklıyor. “Bu, kuruluşların tamamen yeni vektörleri temsil edebilecek bir makine öğrenimi iş akışındaki birden çok noktayı dikkate alması gerektiği anlamına gelir.” Bu temel iş akışı öğeleri, makine öğrenimi modellerini, bu modellerin etrafındaki belgeleri ve sistemleri, kullandıkları verileri ve etkinleştirdikleri kullanım örneklerini içerir.

Makine öğrenimi modellerinin ve destekleyici sistemlerinin en başından itibaren güvenlik göz önünde bulundurularak geliştirilmesi de zorunludur. Mühendislerin, programlarının her yönünü kodlamak yerine, yazılım topluluğu tarafından geliştirilen ve ücretsiz olarak sunulan açık kaynak kitaplıklara güvenmeleri alışılmadık bir durum değildir. Bu kütüphaneler genellikle yazılım mühendisleri, matematikçiler veya güvenli kod yazma konusunda yeterince bilgili olmayan akademisyenler tarafından tasarlanır. Hanif, “Yüksek performanslı veya son teknoloji makine öğrenimi yazılımı geliştirmek için gereken insanlar ve beceriler, güvenlik odaklı yazılım geliştirme ile her zaman kesişmeyebilir” diye ekliyor.

Rollins’e göre bu, ML modelleri için kullanılan açık kaynak kod kitaplıklarının sterilize edilmesinin öneminin altını çiziyor. Geliştiriciler, bilgi güvenliği politikasına rehberlik edecek bir çerçeve olarak gizliliği, bütünlüğü ve kullanılabilirliği dikkate almayı düşünmelidir. Gizlilik, veri varlıklarının yetkisiz erişime karşı korunması anlamına gelir; bütünlük, verilerin kalitesi ve güvenliği anlamına gelir; ve kullanılabilirlik, doğru yetkili kullanıcıların eldeki iş için gereken verilere kolayca erişmesini sağlar.

Ek olarak, bir modelden ödün vermek için ML giriş verileri manipüle edilebilir. Bir risk, çıkarım manipülasyonudur—esas olarak modeli kandırmak için verileri değiştirmek. ML modelleri verileri insan beyninden farklı yorumladığından, veriler insanlar tarafından algılanamayan ancak yine de sonuçları değiştiren şekillerde manipüle edilebilir. Örneğin, bir bilgisayarlı görme modelini tehlikeye atmak için gereken tek şey, o modelde kullanılan bir dur işaretinin görüntüsündeki bir veya iki pikseli değiştirmek olabilir. İnsan gözü yine de bir dur işareti görecektir, ancak ML modeli bunu bir dur işareti olarak sınıflandırmayabilir. Alternatif olarak, bir dizi değişken girdi verisi göndererek bir model araştırılabilir ve böylece modelin nasıl çalıştığı öğrenilebilir. Hanif, girdilerin sistemi nasıl etkilediğini gözlemleyerek, dışarıdaki aktörlerin kötü amaçlı bir dosyayı algılamadan kaçmak için nasıl gizleyeceğini çözebileceğini açıklıyor.

Risk için başka bir vektör, sistemi eğitmek için kullanılan verilerdir. Üçüncü bir taraf, makinenin bir şeyi yanlış öğrenmesi için eğitim verilerini “zehirleyebilir”. Sonuç olarak, eğitilen model hatalar yapacaktır – örneğin, tüm dur işaretlerini otomatik olarak verim işaretleri olarak tanımlayarak.