Киберэксперт лаборатории стратегического развития аналитического центра кибербезопасности компании «Газинформсервис» Михаил Спицын прокомментировал для CISOCLUB снижение статистики утечек данных в России. Он подчеркнул, что, несмотря на положительную динамику, растёт тревога по поводу скрытых угроз, связанных с использованием искусственного интеллекта.
Эксперт отметил, что настоящая скрытая угроза — это не то, что прячется в даркнете, а «то, что стоит рядом и улыбается».
«Коллега, который кидает отчёт в ChatGPT, чтобы дать краткую выжимку, менеджер по продажам, который просит нейросеть составить письмо клиенту, вставляя туда реальные фамилии и условия сделки… Так что, несмотря на статистическое снижение количества зафиксированных утечек данных в России, растёт тревога по изощренности эволюции угроз с использованием ИИ», — подчеркнул Михаил Спицын.
Он указал, что в данном случае речь идёт не столько о классических утечках через электронную почту или взломы баз данных, сколько о ситуациях, когда сама модель ИИ может стать посредником или даже источником утечки, не оставляя привычных цифровых следов.
«Во-первых, опасность в потере прозрачности: сотрудник может неосознанно ввести в нейронку чувствительные данные для получения анализа. Сами по себе такие действия не выглядят как нарушение, но по сути являются неконтролируемой передачей информации третьей стороне, хостинг которой может физически находиться за пределами России и не подпадать под законы о защите данных. Зарубежные аналитики тоже подчёркивают эту проблему. Gartner прямо указывает, что уже к 2027 году более 40% всех ИИ-связанных утечек будут вызваны злоупотреблением трансграничным генеративным ИИ, особенно в тех случаях, когда инструменты встроены в корпоративные приложения без должного наложения ограничений», — пояснил эксперт.
Во-вторых, он обозначил угрозу jailbreak-атак, при которых злоумышленник с помощью тщательно подобранных промптов может заставить ИИ раскрыть конфиденциальную информацию или даже сгенерировать вредоносный код, обойдя установленные ограничения.
«Это создаёт угрозу утечки не только от пользователей, но и от самих ИИ-сервисов, особенно если они плохо изолированы и не проходят проверку отказоустойчивости», — отметил эксперт.
Михаил Спицын добавил, что парадигма классической информационной безопасности претерпевает серьёзные изменения. Он отметил важность создания в России Консорциума исследований безопасности технологий искусственного интеллекта, главная задача которого — внедрение ИИ-технологий с соблюдением принципов надёжности, прозрачности и этичности.
«Это в том числе и создание и развитие защищённых технологий ИИ, повышение уровня защищённости отечественного ПО с встроенным доверенным ИИ, а также усовершенствование средств разработки и тестирования технологии доверенного ИИ», — пояснил эксперт.
Он подчеркнул, что пока Консорциум активно ведёт свою работу, предприятиям рекомендуется уже сейчас внедрять собственные политики использования ИИ-технологий.
«Определить, какие ИИ можно использовать, какие нельзя, как и кем. Нужны фильтры промптов, мониторинг обращений к LLM, развёртывание собственной модели для нужд сотрудников», — заключил Михаил Спицын.
Оригинал публикации на сайте CISOCLUB: "Эксперт Спицын: угрозы утечек через ИИ требуют новых подходов к информационной безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.