韩国金融委员会2日表示,金融机构为应对前沿AI安全威胁开展安全测试或实施紧急安全补丁时,即便引发轻微系统故障,在满足相关条件的情况下,也可适用免责措施。
金融委称,已于6月30日召开免责审议委员会,审议并通过了针对AI安全测试及安全补丁过程中发生系统故障的免责方案。同时,金融委还制定并下发《前沿AI安全威胁金融领域应对要领》,以提升金融机构的安全应对能力。
这项措施是5月22日“高性能AI安全威胁应对座谈会”后的后续举措。金融委联合韩国金融监管院、金融安全院等机构听取行业意见,并吸收由AI、安全、法律专家组成的民间技术咨询团建议,最终敲定具体方案。
根据方案,免责适用情形包括两类:一是出于安全目的,利用AI开展漏洞扫描、端口扫描、自动化渗透测试等安全测试;二是针对金融委、韩国金融监管院、金融安全院通报的安全漏洞实施紧急安全补丁。适用范围涵盖操作系统、软件补丁,以及性质相当的IT设备变更。
是否适用免责,将综合考量系统故障是否属于轻微情形、是否具备快速恢复手段、是否落实消费者保护措施等因素。
其中,“轻微系统故障”主要是指不存在故意行为、造成的经济损失不超过1亿韩元、系统中断时间不超过4小时等情形。在信息泄露方面,除个人信用信息外,泄露数量低于1万条可作为参考标准。
金融机构还需提前制定工作方案,内容应包括事前测试、防止损失扩散、保障服务连续性等。具备回滚、Kill Switch、服务模块隔离、故障切换(Failover)、人工处置等恢复或替代手段的,也可纳入相关考量。
在消费者保护方面,金融机构应通过官网、短信等渠道,提前告知安全测试或补丁实施的时间、对象、内容及替代服务路径等信息;如发生消费者损失,还需制定并落实相应救济措施。
免责范围涵盖对机构及员工的处分、制裁和罚款。但若发生个人信用信息泄露事故,则不适用此次免责措施,仍将依据《信用信息法》追责。
金融委表示,在推出免责措施的同时,也已向金融行业下发应对指引,并将推动建立行业联合应对体系。
相关工作将以金融AI安全研究所为中心推进,具体包括风险信息共享、联合制定检测规则、开展供应链联合检查等。针对入侵风险可能迅速向内网扩散的情况,指引还建议采用零信任安全体系,并实施网络分段。
金融委强调,该指引旨在为金融机构提供安全实务层面的行动要领和示范案例,即使未按指引执行,也不会因此受到处罚或其他不利后果。今后,金融委将结合安全用途AI测试结果等情况,持续更新相关指引。
金融委还表示,鉴于前沿AI安全威胁相关国内外形势变化迅速,此次方案意在缓解金融机构顾虑,鼓励其更积极推进安全强化措施,并呼吁行业进一步加强对算力资源管理、漏洞探测和安全补丁落实等环节的管理力度。