1 47 Table of Contents 49 102

EO_508

DIGITAL CYBERSECURITY BIBLIOGRAFIA [1] Eykholt, Kevin, et al. “Robust physical-world attacks on deep learning visual classification.” Proceedings of the IEEE conference on computer vision and pattern recognition. 2018. [2] Carlini, Nicholas, and David Wagner. “Audio adversarial examples: Targeted attacks on speech-to-text.” 2018 IEEE Security and Privacy Workshops (SPW). IEEE, 2018. settore industriale, incluse le applicazioni di intelligen- za artificiale alla periferia della rete (edge AI). Lo studio approfondito dei casi di studio forniti permette agli svi- luppatori/proprietari di prodotti una comprensione di come influenzerebbe il loro caso d’uso, valutare i rischi e adottare ulteriori misure di sicurezza precauzionali per attenuare le preoccupazioni dei clienti. I modelli di intel- ligenza artificiale dovrebbero essere considerati vulne- rabili a tali attacchi e un’attenta valutazione del rischio deve essere condotta dalle varie parti interessate. Per la fase di addestramento, garantire che i set di dati e i modelli provengano da fonti fidate (trusted) attenue- rebbe il rischio di avvelenamento dei dati/modelli. Tali modelli/dati dovrebbero solitamente essere rilasciati da fornitori di software affidabili. Un modello ML può an- che essere addestrato tenendo presente la sicurezza, ren- dendo il modello più robusto sfruttando ad esempio un approccio basato sulla “forza bruta” per l’addestramento contro un attacco ostile, dove il modello viene addestrato utilizzando un gran numero di esempi di attacco ostile e impara a difendersi da essi. Cleverhans , una libreria di addestramento open source impiegata per costruire tali esempi per attaccare, difendere e valutare un modello nell’eventualità in cui vengano condotti attacchi osti- li, è stata sviluppata e utilizzata nel mondo accademico. La distillazione della difesa è un altro metodo in cui un modello viene addestrato da un modello più grande per produrre probabilità di classi diverse piuttosto che deci- sioni definitive (hard decision) che rendono più diffici- le lo sfruttamento del modello da parte dell’avversario. Tuttavia, entrambi questi metodi possono essere violati disponendo di una potenza di calcolo sufficiente. Proteggere l’IP AI A volte, le aziende si preoccupano del fatto che la concor- renza potrebbe cercare di rubare l’IP/la funzionalità del modello archiviata su un dispositivo su cui l’azienda ha investito notevoli risorse di ricerca e sviluppo. Una volta che il modello è stato addestrato e perfezionato, diven- ta un eseguibile binario archiviato sull’MCU e può essere protetto sfruttando le misure di sicurezza IoT convenzio- nali, come la protezione delle interfacce fisiche del chip, la crittografia del software e l’utilizzo di TrustZone. Tut- tavia, è bene sottolineare un fatto: anche se l’eseguibile binario venisse rubato, è solo il modello finale rifinito progettato per un caso d’uso specifico che può essere fa- cilmente identificato come una violazione del copyright e le operazioni di “reverse engineering” richiederebbero uno sforzo maggiore rispetto a quello necessario parten- do da zero con un modello base. Inoltre, nello sviluppo di TinyML, i modelli AI tendono ad essere ben noti e open source, come ad esempioMobileNet, e possono quindi essere ottimizzati attraverso una varietà di iperparametri. I set di dati, invece, sono tenuti al sicuro, in quanto sono “tesori preziosi” sui quali le aziende hanno investito risorse e sono specifici per un determinato caso d’uso. Un esempio è l’aggiunta di riquadri di delimitazione alle regioni di interesse nelle immagini. I set di dati gene- ralizzati sono disponibili anche come open source (CIFAR, ImageNet e altri ancora). Sono utili per confrontare diversi modelli, ma i set di dati su misura dovrebbero essere uti- lizzati per lo sviluppo di casi d’uso specifici. Ad esempio, per un’applicazione di tipo “Visual Wake Word” (ovvero un’applicazione di visione che permette di identificare la presenza o meno di una persona in un’immagine) in un ambiente d’ufficio, un set di dati isolato produrrebbe il ri- sultato ottimale. In definitiva, poiché TinyML è un settore ancora in cresci- ta, è bene essere consapevoli della possibilità che si verifi- chino vari attacchi sui modelli di intelligenza artificiale, di come potrebbero influire sullo sviluppo di TinyML e di casi d’uso specifici. I modelli ML hanno ora raggiunto livelli di precisione elevati, ma per la loro distribuzione è impor- tante assicurarsi che anche i modelli siano robusti. Duran- te lo sviluppo, entrambe le parti coinvolte (esperti di ML e progettisti embedded) condividono la responsabilità per quanto riguarda la sicurezza informatica, intelligenza arti- ficiale inclusa. Mentre gli esperti di ML devono concentra- re la loro attenzione sugli attacchi durante l’apprendimen- to, i progettisti embedded devono garantire la protezione dagli attacchi che hanno per oggetto l’inferenza. Per il modello IP, un elemento cruciale è garantire che i set di dati di apprendimento siano protetti per evitare che aziende concorrenti possano sviluppare modelli analoghi per casi d’uso simili. Per quanto riguarda il binario ese- guibile, ovvero l’IP del modello sul dispositivo, può essere protetto utilizzando le più avanzatemisure di sicurezza IoT come quelle implementate sui componenti della famiglia RA di Renesas, rendendo molto difficile l’accesso da parte di eventuali hacker a informazioni protette. ELETTRONICA OGGI 508 - MARZO 2023 48

RkJQdWJsaXNoZXIy Mzg4NjYz