Более 70 ИБ-компаний подписали Хартию безопасного использования ИИ в кибербезопасности

Более 70 ИБ-компаний подписали Хартию безопасного использования ИИ в кибербезопасности

изображение: grok

Организация CREST запустила Хартию искусственного интеллекта, к которой присоединились свыше 70 участников рынка кибербезопасности. Документ фиксирует общие правила ответственного применения ИИ и должен сформировать отраслевой стандарт до появления обязательных законодательных требований. Для российских пользователей и компаний тема имеет прямое значение, так как ИИ-инструменты западных вендоров активно применяются в SOC-центрах, антивирусных продуктах и облачных сервисах, доступных через партнёров и трансграничные каналы.

Основой Хартии стали девять принципов, представленных CREST весной. Они охватывают такие направления:

  • подотчётность и корпоративное управление;
  • прозрачность при работе с моделями;
  • документирование и внутренний аудит;
  • контроль качества выводов ИИ;
  • обработка и хранение данных;
  • защита моделей от атак и утечек;
  • соблюдение приватности пользователей;
  • безопасная разработка ИИ-инструментов;
  • защита цепочки поставок и непрерывность бизнеса.

Компании, поставившие подпись, соглашаются заранее фиксировать цели внедрения ИИ, просчитывать влияние технологий на сервис, данные и уровень рисков, а также выстраивать систему управления под масштаб реального применения.

Стоит обратить внимание на пункт о прозрачности — по правилам Хартии клиент должен получать явное уведомление о том, что при оказании услуги задействован ИИ-инструмент, вместе с описанием ограничений и возможных рисков модели.

Отдельный блок закрывает вопрос аудита и человеческого надзора. Подписанты обязаны хранить документацию по применению моделей, вести журналы действий, давать возможность перепроверить результат работы алгоритма и оставлять окончательное решение за квалифицированным сотрудником. Даже при высоком уровне автоматизации специалист должен сохранять техническую возможность вмешаться в процесс, пересмотреть вывод модели или отменить её решение.

Защита данных прописана предельно жёстко. Компании обязаны заранее сообщать заказчику, попадают ли его данные в обучающие выборки, пересекают ли они границы юрисдикций и соответствует ли передача требованиям законов, договоров и внутренних политик безопасности. Для России этот пункт напрямую соприкасается с ФЗ ноль сто пятьдесят два «О персональных данных» и требованиями о локализации, поэтому применение зарубежных ИИ-сервисов у российских клиентов остаётся зоной повышенного риска.

Хартия требует также защищать пользовательские запросы, выходные данные моделей и связанные цифровые активы. К этому добавляются практики безопасной разработки, контроль сторонних ИИ-сервисов и заранее подготовленные резервные варианты работы на случай отказа технологии. Российским специалистам стоит держать в уме атаку класса prompt injection и утечку конфиденциальных данных через журналы облачных сервисов — по этим векторам зарубежные ИИ-инструменты уже становились источником инцидентов.

Требования Хартии касаются нескольких пластов рисков:

  • утечка данных клиентов через обучение моделей;
  • манипуляции с запросами и генерация вредоносных ответов;
  • сбои в работе сторонних ИИ-провайдеров;
  • несанкционированный доступ к цифровым активам;
  • нарушение локального законодательства о данных.

По данным CREST, при подготовке документа проанализированы международные подходы к безопасному использованию ИИ, а также предложения участников организации, технических экспертов и представителей рынка.

Исследование CREST показало, что 69% поставщиков услуг в сфере кибербезопасности уже применяют ИИ в повседневной работе, а 76% компаний зафиксировали заметный рост его использования за последний год.

Уточняется, что подписи под Хартией на момент запуска поставили 73 организации — это около 10% от общего числа участников CREST.

Среди подписантов оказались фирмы, занимающиеся тестированием на проникновение, оценкой защищённости, анализом угроз, реагированием на инциденты и мониторингом информационной безопасности. География охватывает Европу, Северную Америку, Ближний Восток и Азиатско-Тихоокеанский регион. Российских участников в списке нет, но многие клиенты в РФ пользуются продуктами подписантов через дочерние структуры и региональных дистрибьюторов.

Генеральный директор CREST Ник Бенсон заявил, что Хартия становится отправной точкой для будущих отраслевых правил, а следующим шагом станет разработка полноценных стандартов, по которым можно будет проверять ИИ-решения на соответствие требованиям безопасности. Ник Бенсон рассчитывает на поддержку государственных регуляторов и на выработку единого международного подхода к безопасному применению ИИ в кибербезопасности.

Ранее сообщалось, что заместитель министра юстиции России Вадим Федоров на Петербургском международном юридическом форуме заявил о невозможности привлечения искусственного интеллекта к уголовной ответственности. По его словам, нейросетевые модели и другие алгоритмы не могут выступать в качестве обвиняемых по уголовным делам, поскольку не обладают сознанием, собственной волей и юридическим статусом, необходимыми для признания субъекта уголовной ответственности.

По мнению экспертной редакции CISOCLUB, хартия CREST задаёт направление, к которому российскому рынку придётся адаптироваться, даже находясь в отдельном регуляторном контуре. Наши компании уже сталкиваются с рисками теневого использования ChatGPT и подобных сервисов сотрудниками, и без внутренних правил такие практики превращаются в канал утечки корпоративных секретов.

Разумный шаг для отечественных CISO — не ждать появления обязательных норм от ФСТЭК и Роскомнадзора, а перенимать логику Хартии уже сейчас, адаптируя её под требования российского законодательства о персональных данных и КИИ. Отдельного внимания заслуживает пункт о человеческом контроле — автоматизация SOC на базе ИИ без права аналитика отменить решение модели создаёт риски, которые могут стоить дороже самих инцидентов. Российскому рынку нужен свой аналог такого документа, желательно с участием отраслевых ассоциаций и профильных вузов.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: