ІНТЕГРОВАНИЙ ПІДХІД ДО МОДЕЛЮВАННЯ ЗАГРОЗ У СИСТЕМАХ ШТУЧНОГО ІНТЕЛЕКТУ

Тарас Крет; Євгеній Марценюк

doi:10.28925/2663-4023.2025.30.993

Автор(и)

Тарас Крет Національний Університет «Львівська Політехніка» https://orcid.org/0000-0002-6333-3190
Євгеній Марценюк Національний Університет «Львівська Політехніка» https://orcid.org/0009-0009-2289-0968

DOI:

https://doi.org/10.28925/2663-4023.2025.30.993

Ключові слова:

штучний інтелект; моделювання загроз; ISO/IEC 42001; NIST AI RMF; MITRE ATLAS; CSA MAESTRO; OWASP GenAI; інтегрований підхід; управління ризиками; безпека ШІ.

Анотація

У роботі обґрунтовано актуальність моделювання загроз для систем штучного інтелекту в умовах зростання автономності моделей та появи нових векторів атак. Показано, що традиційні методи не враховують специфіку штучного інтелекту, що створює потребу у комплексному підході, здатному охопити весь життєвий цикл системи. Методологічну основу інтегрованого підходу становить поєднання міжнародних стандартів і галузевих практик: ISO/IEC 42001:2023 забезпечує керованість і аудит, NIST AI RMF 1.0 задає процесний цикл Govern–Map–Measure–Manage, MITRE ATLAS наповнює моделі реалістичними сценаріями атак, CSA MAESTRO додає багатошарову архітектурну декомпозицію, а OWASP GenAI Security Project пропонує операційні артефакти та інструменти пріоритезації. Такий синтез дозволяє інтегрувати стратегічні політики, технічні таксономії та практичні плейбуки в єдиний керований процес. Запропонований підхід робить моделювання загроз безперервним і доказовим, забезпечуючи трасовність від загрози до контролю та метрик ефективності. Він враховує технічні й соціотехнічні ризики, включаючи вплив на користувачів і суспільство, та підтримує профільну адаптацію для різних типів систем – від LLM до агентних платформ. Інтеграція з CI/CD-процесами та автоматизація перевірок підвищують швидкість реагування та знижують витрати на безпеку. Наукова новизна полягає у формуванні цілісного бачення, що поєднує керованість, процесну дисципліну, архітектурний аналіз і операційні інструменти. Практична значущість полягає у можливості застосування підходу для розробки комплексних стратегій захисту, сумісних із міжнародними нормами та придатних до сертифікаційної перевірки. Інтегрований підхід створює основу для масштабного впровадження ШІ з доведеним рівнем безпеки та довіри під час моделювання загроз. Він не лише підвищує стійкість систем, а й формує стандартизований контур управління ризиками, що відповідає сучасним викликам кіберзахисту.

Завантаження

Дані завантаження ще не доступні.

Посилання

Neretin, O., & Kharchenko, V. (2022). Ensuring cybersecurity of artificial intelligence systems: Analysis of vulnerabilities, attacks, and countermeasures. Bulletin of the National University “Lviv Polytechnic”. Information Systems and Networks, (12), 7–22. http://nbuv.gov.ua/UJRN/VNULPICM_2022_12_4

Dudykovych, V. B., Mykytyn, H. V., & Kret, T. B. (2015). Multilevel intelligent control systems: Guarantee capability and object security. Information Processing Systems, (4), 92–95. http://nbuv.gov.ua/j-pdf/soi_2015_4_21.pdf

Martseniuk, Ye. V., Partyka, A. I., & Kret, T. B. (2025). Study of artificial intelligence vulnerabilities and development of a comprehensive organizational security model. Modern Information Protection, 1(61), 206–218. https://doi.org/10.31673/2409-7292.2025.018929

National Institute of Standards and Technology (NIST). (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0) (NIST AI 100-1). https://doi.org/10.6028/NIST.AI.100-1

Cloud Security Alliance. (2025, February 6). Agentic AI Threat Modeling Framework: MAESTRO. https://cloudsecurityalliance.org/blog/2025/02/06/agentic-ai-threat-modeling-framework-maestro

MITRE Corporation. (n.d.). ATLAS Matrix. https://atlas.mitre.org/matrices/ATLAS

OWASP Foundation. (n.d.). Gen AI Security Project: Introduction and background. https://genai.owasp.org/introduction-genai-security-project

Amazon Web Services (AWS). (n.d.). How to approach threat modeling. https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling

Amazon Web Services (AWS). (n.d.). Threat modeling your generative AI workload to evaluate security risk. https://aws.amazon.com/blogs/security/threat-modeling-your-generative-ai-workload-to-evaluate-security-risk

Yevseiev, S. P., Shmatko, O. V., Akhiezer, O. B., Sokol, V. Ye., & Chernova, N. L. (2025). Attacks on artificial intelligence systems: Educational and practical manual (S. P. Yevseiev, Ed.). Kharkiv: NTU “KhPI”; Lviv: Novyi Svit-2000.

Straiker AI. (2025). Comparing AI security frameworks: OWASP, CSA, NIST, and MITRE. https://www.straiker.ai/blog/comparing-ai-security-frameworks-owasp-csa-nist-and-mitre

International Organization for Standardization (ISO). (2023). ISO/IEC 42001:2023 — Information technology – Artificial intelligence – Management system. https://www.iso.org/standard/42001

Microsoft. (n.d.). The STRIDE Threat Model. https://learn.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20)

Mauri, L., & Damiani, E. (2022). Modeling threats to AI-ML systems using STRIDE. Sensors, 22(17), 6662. https://doi.org/10.3390/s22176662

Khan, R., Sarkar, S., Mahata, S. K., & Jose, E. (2024). Security threats in agentic AI systems. arXiv preprint arXiv:2410.14728. https://doi.org/10.48550/arXiv.2410.14728