Controleer de data op manipulatie en ongewenste afhankelijkheden

dat-11Dataverkenning en datapreparatieMonitoring en beheerOntwikkelaarBeleid en adviesDataTechnische robuustheid en veiligheid

Maatregel

De dataset die gebruikt wordt om een model te (her)trainen moet periodiek gecontroleerd worden op manipulatie (data poisoning). Voorkom ongewenste afhankelijkheden.

Toelichting

Manipulatie van data wordt een “data poisoning” aanval genoemd ^{1 2 3}. Een kwaadwillende kan op verschillende manieren te werk gaan:

• Bewust verkeerde informatie aan de dataset toevoegen. Dit is bijvoorbeeld mogelijk door als aanvaller zelf een foutieve dataset beschikbaar te stellen. Controleer daarom goed of een afgenomen dataset de kenmerken heeft die je verwacht. Daarnaast kun je ook nog verifiëren of bijvoorbeeld het proces waarmee de dataset vergaard is op de juiste manier is uitgevoerd. Tot slot is het verstandig om te voorkomen dat de dataset afhankelijk is van een enkele bron.
• Een aanvaller kan een bestaande dataset aanpassen, door bijvoorbeeld labels om te draaien. In dit geval moet een aanvaller toegang krijgen tot de locatie van de dataset. Bescherming hiertegen begint met algemene beveiligingsmaatregelen, bijvoorbeeld zoals beschreven in de BIO. Daarnaast moet er ook gekeken worden naar het voorkomen van een insider aanval. Dit kan door selectief te zijn in het verlenen van toegang tot de locatie van de data en bijvoorbeeld het toepassen van een vier-ogen principe.
• In lijn met het aanpassen van de dataset kan een aanvaller ook een deel van de dataset verwijderen. Dit is naar verwachting makkelijker te realiseren dan het selectief aanpassen van de data. Door bijvoorbeeld alle data over een bepaalde groep personen uit de dataset te verwijderen functioneert het model minder goed voor die groep. Controleer daarom of de dataset waarmee uiteindelijk getraind wordt precies hetzelfde is als de origineel bedoelde data. Dit kan bijvoorbeeld door middel van een handtekening die geverifieerd kan worden.

Op deze manieren kan een aanvaller een model slecht laten functioneren, of alleen fouten laten maken op specifiek gekozen invoerwaarden. Een aanvaller kan de trainingsdata zo beïnvloeden dat nummerborden met een stip altijd foutief gelezen worden, waardoor criminelen kentekencontroles kunnen ontwijken. In dit geval wordt ook wel gesproken over een “backdoor” aanval.

Adversarial traning

Daarnaast kan het principe van adversarial training worden toegepast door zelf bewust foutieve invoerwaarden aan de trainingsdata toe te voegen. Door een algoritme hierop te laten trainen kan deze beter bestand gemaakt worden tegen aanvallen tijdens het gebruik.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
aia-10 - Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.
aia-22 - De werking van hoog-risico-AI-systemen wordt gemonitord.
aia-32 - AI-modellen voor algemene doeleinden met systeemrisico’s zijn voldoende beveiligd tegen cyberaanvallen.
bio-01 - Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
avg-12 - Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen.

Risico

Een aanvaller kan proberen om de trainingsdataset te manipuleren om het uiteindelijke model doelbewust fouten te laten maken. Dit kan leiden tot verkeerde antwoorden, vooroordelen of zelfs kwetsbaarheden in het model.

Bronnen

• Crowdstrike, Data Poisoning: The Exploitation of Generative AI
• TNO, Ministerie van Justitie en Veiligheid, Verkenning van het raakvlak van cybersecurity en AI
• AIVD, AI-systemen: ontwikkel ze veilig
• Kurakin, et al., Adversarial Machine Learning at Scale

---

1. Crowdstrike, Data Poisoning: The Exploitation of Generative AI ↩

2. Ministerie van Justitie en Veiligheid, Verkenning van het raakvlak van cybersecurity en AI ↩

3. AIVD, AI-systemen: ontwikkel ze veilig ↩