Эксперт Лысенко: темпы внедрения ИИ уже опережают зрелость процессов его защиты
изображение: recraft
Александр Лысенко, ведущий эксперт по безопасности разработки и ИИ в К2 Кибербезопасность, прокомментировал для CISOCLUB результаты исследования Cobalt AI and Pentesting Pulse Report 2026, согласно которому бизнес внедряет искусственный интеллект быстрее, чем успевает выстраивать его защиту. По мнению эксперта, ИИ уже стал фактором операционной устойчивости компаний, однако подходы к управлению связанными с ним рисками пока не успевают за скоростью внедрения технологии.
Он отметил, что всё больше организаций начинают воспринимать безопасность искусственного интеллекта как одно из стратегических направлений развития бизнеса, хотя отдельные бюджеты на эту задачу пока выделяют далеко не все.
«Искусственный интеллект уже влияет на непрерывность бизнеса (как минимум в корпорациях) и должен рассматриваться как компонент операционной устойчивости. Поэтому в ближайшие годы основным вызовом будет внедрение зрелых практик по управлению ИИ-рисками. Согласно нашему с «Лабораторией Касперского» исследованию, уже 25% компаний считают, что безопасность ИИ входит в ТОП-5 приоритетов бизнеса. Но пока только 22% выделили на это отдельный бюджет», — заявил Александр Лысенко.
По словам эксперта, количество инцидентов, связанных с использованием искусственного интеллекта, продолжает расти. Среди наиболее распространённых проблем — генерация нежелательного контента, загрузка сотрудниками конфиденциальной информации во внешние модели и использование вредоносных запросов.
«За последнее время участились инциденты с негативными последствиями от использования ИИ: генерация токсичного контента от имени компании, загрузка сотрудниками конфиденциальной информации и внутренних протоколов в публичные модели, внедрение вредоносных запросов и т.д.», — отметил он.
Александр Лысенко рассказал, что большинство организаций уже пытаются контролировать использование внешних ИИ-сервисов, однако полноценные механизмы управления внедрены лишь у небольшой части компаний.
«В 61% случаев руководство стремится контролировать использование сотрудниками сторонних ИИ-сервисов, однако испытывают технологические и организационные сложности. Реальный контроль и политики безопасности реализованы лишь в трети опрошенных компаний — 29%», — подчеркнул эксперт.
Он пояснил, что остальные организации либо ограничиваются наблюдением за использованием ИИ, либо полностью блокируют доступ к внешним сервисам. При этом практика показывает, что запретительный подход не решает проблему.
«Остальные организации либо ограничиваются пассивным мониторингом (47%), ссылаясь на технические сложности анализа передаваемого контента в модель и компенсируя это через обучение сотрудников, либо просто блокируют доступ к внешним сервисам (24%). Относительно низкая доля блокировок свидетельствует о том, что бизнес понял неэффективность исключительно запретительного подхода», — рассказал Александр Лысенко.
По его словам, многие крупные компании уже создают собственные ИИ-системы для внутренних процессов, однако вопросы их безопасности остаются недостаточно проработанными.
«Наше исследование также показало, что 38% корпораций уже разрабатывают собственные ИИ-сервисы для внутренних процессов. Это свидетельствует о том, что искусственный интеллект воспринимается как стратегический актив, который предпочитают развивать самостоятельно», — заявил эксперт.
При этом он отметил, что большинство подобных проектов пока не соответствует требованиям MLSecOps, а рынок только начинает формировать необходимые практики защиты.
«При этом в 75% случаев эти процессы полностью или частично не соответствуют стандарту управления безопасностью собственных ИИ-разработок — MLSecOps. С управленческой точки зрения эти результаты демонстрируют разрыв: темпы внедрения ИИ уже опережают зрелость процессов, необходимых для контроля связанных с ним рисков», — подчеркнул Александр Лысенко.
Эксперт также обратил внимание на распределение ответственности внутри организаций. По его словам, безопасность внешних ИИ-сервисов чаще всего относят к компетенции подразделений информационной безопасности, тогда как защитой собственных ИИ-разработок обычно занимаются только разработчики.
«В большинстве (78%) организаций безопасность использования внешних ИИ-сервисов рассматривается прежде всего как задача ИБ-подразделения, а не как процесс, объединяющий ИБ и ИТ», — отметил он.
«При этом безопасность собственных ИИ-разработок чаще всего (в 60% случаев) обеспечивается исключительно силами разработчиков, без привлечения ИБ-отдела. Это значительно повышает риски возникновения инцидентов», — рассказал Александр Лысенко.
По мнению эксперта, наиболее эффективным подходом станет совместная работа бизнеса, разработчиков и специалистов по информационной безопасности на всех этапах создания и эксплуатации ИИ-решений.
«Практическим подходом должна быть синергия бизнеса, ИБ и разработки: интеграция требований безопасности в дорожные карты продуктов, разработка политик безопасности с учетом обратной связи от бизнес-подразделений и регулярный аудит процессов», — заключил Александр Лысенко.
