ETSI EN 304 223标准引入了企业必须纳入治理框架的AI基线安全要求。随着组织将机器学习嵌入核心运营,这一欧洲标准为保护AI模型和系统制定了具体规定。它作为首个全球适用的欧洲AI网络安全标准,已获得国家标准组织的正式批准,以增强其在国际市场的权威性。该标准与欧盟AI法案相辅相成,解决了AI系统特有的风险,如数据中毒、模型混淆和间接提示注入,这些风险传统软件安全措施常被忽视。标准覆盖从深度神经网络到生成式AI,直至基本预测系统,仅明确排除严格用于学术研究的系统。
ETSI标准澄清了AI安全的责任链。企业采用AI的一个持续障碍是确定风险归属。ETSI标准通过定义三个主要技术角色来解决这一问题:开发者、系统操作员和数据保管员。对于许多企业来说,这些界限模糊。例如,一家为欺诈检测微调开源模型的金融服务公司既是开发者又是系统操作员,这种双重身份触发严格义务,要求公司保护部署基础设施,同时记录训练数据来源和模型设计审计。将“数据保管员”作为独立利益相关者群体纳入,直接影响首席数据和分析官。这些实体控制数据权限和完整性,现在承担明确的安全责任。保管员必须确保系统使用意图与训练数据的敏感性一致,在数据管理工作流中有效设置安全守门员。
ETSI的AI标准明确表示,安全不能是在部署阶段追加的考虑。在设计阶段,组织必须进行威胁建模,以应对AI原生攻击,如成员推断和模型混淆。一项规定要求开发者限制功能以减少攻击面。例如,如果系统使用多模态模型但仅需要文本处理,未使用的模态(如图像或音频处理)代表必须管理的风险。这一要求迫使技术领导者重新考虑部署大规模通用基础模型的常见做法,而更小、更专业的模型可能足够。文档还强制执行严格的资产管理。开发者和系统操作员必须维护全面的资产清单,包括相互依赖性和连接性。这支持影子AI发现;IT领导者无法保护他们不知道存在的模型。标准还要求创建针对AI攻击的特定灾难恢复计划,确保如果模型受损,可以恢复“已知良好状态”。供应链安全对依赖第三方供应商或开源存储库的企业构成直接摩擦点。ETSI标准要求,如果系统操作员选择使用文档不全的AI模型或组件,他们必须证明该决定合理并记录相关安全风险。实际上,采购团队不能再接受“黑盒”解决方案。开发者被要求提供加密哈希值。