Эксперт Арышев: российские компании сами создают новые каналы утечки данных через ИИ

Эксперт Арышев: российские компании сами создают новые каналы утечки данных через ИИ

изображение: grok

Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC, прокомментировал для CISOCLUB результаты исследования УЦСБ и ГК «Солар», согласно которым каждая вторая российская компания уже зафиксировала или подозревает утечки корпоративных данных через сервисы искусственного интеллекта. По мнению эксперта, подобная ситуация закономерна, поскольку ИИ стремительно вошёл в повседневную работу сотрудников, а процессы его безопасного использования пока остаются недостаточно зрелыми.

Он отметил, что сегодня нейросети применяются далеко не только для подготовки текстов, но и при работе с внутренними документами, программным кодом и клиентскими данными, при этом многие пользователи не воспринимают передачу такой информации в ИИ как нарушение требований информационной безопасности.

«Рост подобных подозрений на утечку вполне оправдан. Сотрудники используют нейросети не только для подготовки текстов, но и для анализа рабочих документов, работы с кодом, обработки клиентских данных и подготовки внутренних материалов. При этом они могут не воспринимать отправку корпоративной информации в ИИ как разглашение или утечку, хотя с точки зрения информационной безопасности именно это и происходит», — заявил Владимир Арышев.

По словам эксперта, внедрение искусственного интеллекта фактически сформировало новый класс каналов передачи информации, который не учитывался в традиционных моделях угроз.

«Главная проблема заключается в появлении нового класса каналов передачи информации, которые ранее отсутствовали в корпоративной модели угроз. Если традиционные системы контроля давно научились отслеживать электронную почту, внешние накопители или облачные хранилища, то взаимодействие с ИИ потребовало как изменения текущих ИБ-процессов, так и появления новых решений, как, например, системы класса AI firewall», — отметил он.

Владимир Арышев считает, что снижать подобные риски необходимо с комплексного анализа того, как сотрудники используют искусственный интеллект в повседневной работе.

«Для снижения рисков необходимо начать с аудита фактического использования ИИ: какие сервисы применяются сотрудниками, какие данные передаются, какие бизнес-процессы зависят от этих инструментов», — рассказал эксперт.

Он подчеркнул, что следующим этапом должно стать внедрение внутренних регламентов, технических средств контроля и корпоративных ИИ-платформ, позволяющих управлять доступом к данным и настройками моделей.

«Далее должны появиться внутренние регламенты, классификация информации, внедрение технических средств контроля, обязательное обучение пользователей безопасной работе с ИИ. Отдельное направление — внедрение корпоративных ИИ-платформ, где можно контролировать хранение данных, права доступа, настройки моделей и интеграцию с внутренними системами. Такой подход позволяет сохранить преимущества искусственного интеллекта, не превращая его в неконтролируемый канал утечки», — заявил Владимир Арышев.

В завершение эксперт отметил, что в ближайшие годы управление безопасностью ИИ станет такой же обязательной частью корпоративной защиты, как обеспечение безопасности электронной почты или веб-сервисов.

«В ближайшие годы безопасная работа с ИИ станет таким же стандартным направлением, как защита электронной почты, веб-сервисов или мобильных устройств, поэтому компании, которые уже сейчас выстроят процессы управления ИИ, получат возможность использовать технологию быстрее и безопаснее конкурентов», — заключил Владимир Арышев.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: