СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Новости
Артем
Вчера в 17:04
#ИБ#ИИ

ИИ уже работает в 9 из 10 компаний, но правил безопасности для него нет и у половины

ИИ уже работает в 9 из 10 компаний, но правил безопасности для него нет и у половины

изображение: grok

Искусственный интеллект массово вошёл в рабочие процессы, но правила его безопасного применения есть далеко не у всех. По данным нового исследования ISACA AI Pulse Poll, 90% специалистов по цифровому доверию уверены в использовании ИИ-инструментов сотрудниками их организаций, а полноценная формальная политика по ИИ есть лишь у 38% компаний. Ещё 25% организаций вообще не закрепили никаких правил, что открывает дорогу теневому ИИ, утечкам данных и новым киберрискам.

Исследование ISACA, опубликованное 5 мая, основано на ответах 3400 специалистов по цифровому доверию со всего мира. В опросе участвовали эксперты в области ИТ-аудита, управления, киберзащиты, конфиденциальности и новых технологий. Картина получилась показательная.

Распределение организаций по уровню зрелости политик ИИ выглядит так:

  • 38% компаний имеют формальную и комплексную политику;
  • 30% работают с ограниченными правилами или локальными запретами;
  • 25% организаций вообще не имеют документов по ИИ;
  • остальные находятся в процессе разработки регламентов.

90% специалистов уверены в применении ИИ сотрудниками, а четверть компаний даже не объяснила персоналу, какие данные нельзя загружать в нейросеть.

На таком фоне быстро растёт проблема теневого ИИ. Сотрудники используют LLM для ускорения работы без согласования с ИБ и ИТ-командами. В модели уходят внутренние документы, клиентские данные, фрагменты кода, коммерческие материалы и финансовые сведения. Защитные команды попросту не видят все инструменты, реально применяемые персоналом.

Отдельно исследование показывает слабую готовность компаний к аварийному управлению ИИ. 56% респондентов признались в незнании времени, нужного для остановки ИИ-системы при инциденте. Только 20% сообщили о наличии процесса отключения или переопределения ИИ-систем при проблемах.

Отсутствие плана аварийной остановки опасно для разных направлений с уже встроенным ИИ:

  • клиентские сервисы и службы поддержки;
  • финансовая аналитика и отчётность;
  • HR-процессы и обработка резюме;
  • разработка и автоматизация кода;
  • производственные процессы и логистика.

Член рабочей группы ISACA по новым тенденциям и главный специалист по вопросам конфиденциальности и этики данных Smarter Contracts Ульрика Деллруд считает проблему связанной с лидерством, а не только с технологиями. По словам Ульрики Деллруд, лишь 38% специалистов уверены в понимании рисков ИИ советом директоров. По оценке Ульрики Деллруд, успех ИИ зависит от дисциплинированного управления, компетентного руководства и зрелой работы с данными.

Респонденты ISACA отмечают усложнение угроз с применением ИИ. 71% опрошенных считают фишинг и социальную инженерию с применением ИИ труднее распознаваемыми. Генеративные модели помогают атакующим сразу в нескольких задачах:

  • написание убедительных писем под конкретного получателя;
  • адаптация стиля под корпоративную переписку;
  • имитация тона руководителя или коллеги жертвы;
  • перевод сообщений на разные языки без ошибок.

Ещё 58% участников опроса заявили о серьёзном усложнении проверки подлинности цифровой информации. Дипфейки, синтетические голоса, поддельные документы и сгенерированные изображения размывают привычные признаки доверия.

71% специалистов уже не доверяют классическим способам распознавания фишинга, потому что ИИ научился писать письма лучше живых сотрудников.

ИИ воспринимается не только как угроза. 43% респондентов считают, что внедрение ИИ-инструментов для защиты улучшило обнаружение угроз и реагирование на них. ИИ помогает анализировать события, искать аномалии и ускорять triage.

Ранее Cloudflare в отчёте Threat Report 2026 указывала на повышение эффективности сложных атак из-за ИИ и дипфейков. Cloudforce One отмечала применение LLM государственными группами, финансово мотивированными преступниками и хактивистами.

Бизнесу нужен набор управленческих инструментов под ИИ:

  • политики использования с понятными формулировками;
  • перечень разрешённых сервисов для разных задач;
  • запреты на загрузку чувствительных данных в модели;
  • процедуры оценки и допуска новых ИИ-инструментов;
  • обучение персонала и план отключения систем.

Эксперты редакции CISOCLUB отмечают, что разрыв между внедрением ИИ и политиками безопасности превращается в один из самых опасных управленческих рисков последних лет. По мнению редакции, компании активно пользуются нейросетями, но часто не знают, где именно и кто отвечает за последствия. Конкурентное преимущество получат не те организации, которые быстрее подключили ИИ, а те, кто встроил его в управляемый и безопасный рабочий контур с понятной зоной ответственности на уровне руководства.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: