Более 70 ИБ-компаний подписали Хартию безопасного использования ИИ в кибербезопасности

изображение: grok
Организация CREST запустила Хартию искусственного интеллекта, к которой присоединились свыше 70 участников рынка кибербезопасности. Документ фиксирует общие правила ответственного применения ИИ и должен сформировать отраслевой стандарт до появления обязательных законодательных требований. Для российских пользователей и компаний тема имеет прямое значение, так как ИИ-инструменты западных вендоров активно применяются в SOC-центрах, антивирусных продуктах и облачных сервисах, доступных через партнёров и трансграничные каналы.
Основой Хартии стали девять принципов, представленных CREST весной. Они охватывают такие направления:
- подотчётность и корпоративное управление;
- прозрачность при работе с моделями;
- документирование и внутренний аудит;
- контроль качества выводов ИИ;
- обработка и хранение данных;
- защита моделей от атак и утечек;
- соблюдение приватности пользователей;
- безопасная разработка ИИ-инструментов;
- защита цепочки поставок и непрерывность бизнеса.
Компании, поставившие подпись, соглашаются заранее фиксировать цели внедрения ИИ, просчитывать влияние технологий на сервис, данные и уровень рисков, а также выстраивать систему управления под масштаб реального применения.
Стоит обратить внимание на пункт о прозрачности — по правилам Хартии клиент должен получать явное уведомление о том, что при оказании услуги задействован ИИ-инструмент, вместе с описанием ограничений и возможных рисков модели.
Отдельный блок закрывает вопрос аудита и человеческого надзора. Подписанты обязаны хранить документацию по применению моделей, вести журналы действий, давать возможность перепроверить результат работы алгоритма и оставлять окончательное решение за квалифицированным сотрудником. Даже при высоком уровне автоматизации специалист должен сохранять техническую возможность вмешаться в процесс, пересмотреть вывод модели или отменить её решение.
Защита данных прописана предельно жёстко. Компании обязаны заранее сообщать заказчику, попадают ли его данные в обучающие выборки, пересекают ли они границы юрисдикций и соответствует ли передача требованиям законов, договоров и внутренних политик безопасности. Для России этот пункт напрямую соприкасается с ФЗ ноль сто пятьдесят два «О персональных данных» и требованиями о локализации, поэтому применение зарубежных ИИ-сервисов у российских клиентов остаётся зоной повышенного риска.
Хартия требует также защищать пользовательские запросы, выходные данные моделей и связанные цифровые активы. К этому добавляются практики безопасной разработки, контроль сторонних ИИ-сервисов и заранее подготовленные резервные варианты работы на случай отказа технологии. Российским специалистам стоит держать в уме атаку класса prompt injection и утечку конфиденциальных данных через журналы облачных сервисов — по этим векторам зарубежные ИИ-инструменты уже становились источником инцидентов.
Требования Хартии касаются нескольких пластов рисков:
- утечка данных клиентов через обучение моделей;
- манипуляции с запросами и генерация вредоносных ответов;
- сбои в работе сторонних ИИ-провайдеров;
- несанкционированный доступ к цифровым активам;
- нарушение локального законодательства о данных.
По данным CREST, при подготовке документа проанализированы международные подходы к безопасному использованию ИИ, а также предложения участников организации, технических экспертов и представителей рынка.
Исследование CREST показало, что 69% поставщиков услуг в сфере кибербезопасности уже применяют ИИ в повседневной работе, а 76% компаний зафиксировали заметный рост его использования за последний год.
Уточняется, что подписи под Хартией на момент запуска поставили 73 организации — это около 10% от общего числа участников CREST.
Среди подписантов оказались фирмы, занимающиеся тестированием на проникновение, оценкой защищённости, анализом угроз, реагированием на инциденты и мониторингом информационной безопасности. География охватывает Европу, Северную Америку, Ближний Восток и Азиатско-Тихоокеанский регион. Российских участников в списке нет, но многие клиенты в РФ пользуются продуктами подписантов через дочерние структуры и региональных дистрибьюторов.
Генеральный директор CREST Ник Бенсон заявил, что Хартия становится отправной точкой для будущих отраслевых правил, а следующим шагом станет разработка полноценных стандартов, по которым можно будет проверять ИИ-решения на соответствие требованиям безопасности. Ник Бенсон рассчитывает на поддержку государственных регуляторов и на выработку единого международного подхода к безопасному применению ИИ в кибербезопасности.
Ранее сообщалось, что заместитель министра юстиции России Вадим Федоров на Петербургском международном юридическом форуме заявил о невозможности привлечения искусственного интеллекта к уголовной ответственности. По его словам, нейросетевые модели и другие алгоритмы не могут выступать в качестве обвиняемых по уголовным делам, поскольку не обладают сознанием, собственной волей и юридическим статусом, необходимыми для признания субъекта уголовной ответственности.
По мнению экспертной редакции CISOCLUB, хартия CREST задаёт направление, к которому российскому рынку придётся адаптироваться, даже находясь в отдельном регуляторном контуре. Наши компании уже сталкиваются с рисками теневого использования ChatGPT и подобных сервисов сотрудниками, и без внутренних правил такие практики превращаются в канал утечки корпоративных секретов.
Разумный шаг для отечественных CISO — не ждать появления обязательных норм от ФСТЭК и Роскомнадзора, а перенимать логику Хартии уже сейчас, адаптируя её под требования российского законодательства о персональных данных и КИИ. Отдельного внимания заслуживает пункт о человеческом контроле — автоматизация SOC на базе ИИ без права аналитика отменить решение модели создаёт риски, которые могут стоить дороже самих инцидентов. Российскому рынку нужен свой аналог такого документа, желательно с участием отраслевых ассоциаций и профильных вузов.



