Merkittävänä askeleena tekoälyn tietoturvakäytäntöjen yhtenäistämiseksi CISA ja useat yhteistyöviranomaiset ovat julkaisseet uuden kehyksen, joka keskittyy erityisesti tekoälyjärjestelmien dataturvaan.
Yhteinen kyberturvallisuustietolehtinen, nimeltään "AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems", julkaistiin 22. toukokuuta 2025. Asiakirja on CISA:n, Kansallisen turvallisuusviraston (NSA), liittovaltion poliisin (FBI) sekä kansainvälisten kumppaneiden, kuten Australian, Uuden-Seelannin ja Yhdistyneen kuningaskunnan kyberturvallisuusviranomaisten, yhteistyön tulos.
Ohjeistus korostaa, että tietoturva on keskeistä tekoälyjärjestelmien eheyden kannalta koko elinkaaren ajan – kehityksestä ja testauksesta käyttöönottoon ja operointiin. Se on suunnattu erityisesti organisaatioille, jotka hyödyntävät tekoälyjärjestelmiä päivittäisessä toiminnassaan, kuten puolustusteollisuuden toimijoille, kansallisen turvallisuuden järjestelmien omistajille, valtion virastoille ja kriittisen infrastruktuurin ylläpitäjille.
Keskeisissä suosituksissa ohjeistus neuvoo organisaatioita hankkimaan luotettavaa dataa ja seuraamaan datan alkuperää, varmistamaan ja ylläpitämään datan eheyttä tallennuksen ja siirron aikana, käyttämään digitaalisia allekirjoituksia luotettujen datamuutosten todentamiseen, hyödyntämään luotettua infrastruktuuria ja Zero Trust -arkkitehtuuria sekä toteuttamaan asianmukaisen dataluokittelun ja käyttöoikeuksien hallinnan.
"Kun tekoälyjärjestelmät integroituvat yhä tiiviimmin kriittisiin toimintoihin, organisaatioiden on pysyttävä valppaina ja ryhdyttävä määrätietoisiin toimiin niiden käyttämän datan suojaamiseksi", CISA:n tiedotteessa todetaan. Suositellut riskienhallintatoimet sisältävät vahvojen tietosuojakäytäntöjen omaksumisen, riskien ennakoivan hallinnan sekä valvonnan, uhkien tunnistamisen ja verkkopuolustuksen vahvistamisen.
Tämä julkaisu täydentää CISA:n kasvavaa tekoälyn tietoturvaresurssien kokonaisuutta, johon kuuluu aiempia ohjeita turvallisesta tekoälyjärjestelmien kehityksestä ja käyttöönotosta. Se kuvastaa viraston sitoutumista vastaamaan sekä tekoälyteknologioiden tarjoamiin mahdollisuuksiin että niihin liittyviin kansallisen kyberturvallisuuden ja kriittisen infrastruktuurin suojelun riskeihin.