В июле 2025 года McDonald’s столкнулся с проблемой в системе найма McHire на базе ИИ: уязвимость позволяла использовать «123456» как логин и пароль. Страховщики ужесточают условия из-за рисков ИИ. — csoonline.com
В июле 2025 года у McDonald’s возникла неожиданная проблема в меню, связанная с McHire — платформой на базе искусственного интеллекта, используемой для найма и отбора кандидатов на работу. Система, разработанная Paradox.ai, имела уязвимость безопасности начального уровня: бэкенд для операторов ресторанов принимал «123456» в качестве имени пользователя и пароля и не имела многофакторной аутентификации. В результате личные данные около 64 миллионов соискателей оказались под угрозой. К счастью, уязвимость была обнаружена исследователями безопасности Иэном Кэрроллом и Сэмом Карри, которые уведомили компанию.
Поскольку организации спешат внедрять инструменты ИИ, не проводя их полной аудиторской проверки, подобные инциденты не редкость. Согласно отчету IBM, темпы внедрения ИИ опережают развитие систем безопасности и управления ИИ. В прошлом году 13% организаций сообщили об утечках, связанных с моделями или приложениями ИИ, а еще 8% заявили, что даже не знают, были ли скомпрометированы эти системы.
Страховщики это знают. Многие ужесточили формулировки полисов, повысили премии и ввели явные исключения для определенных инцидентов, связанных с ИИ, стремясь ограничить подверженность рискам, которые плохо изучены. Опрос, проведенный Delinea, показал, что 42% респондентов заявили, что их полисы киберстрахования теперь включают исключения, связанные с неправомерным использованием ИИ и ответственностью.
Однако картина не является односторонней. Страховщики также поощряют более надежную защиту: 86% организаций сообщают, что получили скидки или кредиты на премии за использование инструментов безопасности на базе ИИ, которые укрепляют их защищенность.
«ИИ — это одновременно риск и возможность», — говорит Нейт Спюрриер, вице-президент по стратегии страхования и юридическим вопросам в GuidePoint Security.
Киберстраховщики меняют подход к оценке рисков
По мере того как ИИ все глубже интегрируется в бизнес-операции — и все чаще используется злоумышленниками — киберстраховщики пересматривают методы оценки рисков. Многие из них отходят от простых контрольных списков и самодеклараций, требуя доказательств того, что меры контроля безопасности активно отслеживаются, тестируются и применяются. Согласно отчету Delinea, 77% страховщиков теперь требуют официальных проверок со стороны внутренних команд и команд по ИТ-безопасности перед выпуском или продлением покрытия, по сравнению с 56% годом ранее.
Но даже этих проверок уже недостаточно. «Ведущие киберстраховщики отказались от форм заявлений, привязанных к конкретному моменту времени, в пользу непрерывной оценки поверхности атаки организации и мер контроля», — говорит Майкл Филлипс, руководитель отдела андеррайтинга глобального киберпортфеля в Coalition.
Помимо андеррайтинга и урегулирования претензий, Coalition также включает услуги кибербезопасности в свои предложения по киберстрахованию. Страхователи получают доступ к инструментам, которые непрерывно отслеживают уязвимости и оповещения в системах, доступных из интернета, а также к экспертным рекомендациям и разведывательным данным об угрозах. Идея состоит в том, чтобы снизить частоту и серьезность претензий, напрямую связывая уровень безопасности компании с ее страховым покрытием.
И поскольку ИИ затрагивает многие аспекты современных бизнес-операций, это усиленное внимание теперь распространяется и на то, как компании используют эту технологию и управляют ею. «Страховые компании хотят знать, как страхователи и заявители используют ИИ в своей организации: какие меры контроля существуют, как используется ИИ и для каких конкретных задач, кому разрешено его использовать, и является ли он просто инструментом повышения эффективности или основной частью конечного решения, предлагаемого клиентам», — говорит Спюрриер.
Изменения в покрытии и формулировках
Поскольку ИИ повсюду, страховщики переписывают свои контракты, чтобы сделать их гораздо более конкретными в отношении того, что покрывается, а что нет. Некоторые ввели утвердительные приложения об ИИ, другие добавили исключения, поскольку риски ИИ могут быть непредсказуемыми и потенциально масштабными, а страховщики не хотят нести ответственность за убытки, которые они не могут точно оценить.
Разработка правильных формулировок полиса для быстро развивающейся технологии — сложная задача. «В настоящее время у страховщиков недостаточно данных о претензиях, чтобы полностью понять, какие формулировки и компоненты риска ИИ следует учитывать, поэтому некоторые страховщики из предосторожности используют широкие исключения», — говорит Спюрриер.
Однако такая осторожность может быть пагубной для организаций. «ИИ теперь является ожидаемым компонентом успешной кибератаки, и не всегда легко различить, что создано с помощью ИИ, а что нет», — говорит Филлипс. «Если полис исключает любые убытки, связанные с ИИ, страховщик может заявить, что классичный случай вымогательства выходит за рамки, просто потому, что ИИ использовался в процессе атаки».
Проблема усугубляется тем, как развивались полисы. Многие были написаны до того, как генеративный ИИ стал мейнстримом. Позже страховщики добавили формулировки, связанные с ИИ, накладывая новые условия на старые контракты. Такой лоскутный подход может вызвать путаницу. «Если эти формулировки не объяснены четко, страхователи могут предположить, что у них та же защита, что и раньше, но это не так», — говорит Филлипс.
Бизнесу и их брокерам необходимо внимательно читать формулировки полисов и обсуждать, как они будут работать на практике. Это означает обсуждение конкретных сценариев, связанных с ИИ, со своими брокерами до продления и выяснение того, как они могут повлиять на различные виды страхового покрытия.
«Один сценарий может не затронуть некоторые виды страхования, а в другом виде страхования может быть исключен», — говорит Спюрриер. «Время для прояснения вашего покрытия ИИ — не во время претензии, а во время продления и других сценариев до инцидента».
Снижение затрат для компаний
Некоторые компании, которые доказывают, что у них хорошая защищенность, могут снизить свои страховые расходы. Для этого им необходимо продемонстрировать, что они используют инструменты на базе ИИ для раннего обнаружения аномалий или сокращения времени реагирования с часов до минут. «Для страховщиков это означает меньшее количество претензий и более быстрое восстановление», — говорит Спюрриер.
Скидки обычно предлагаются предприятиям, которые имеют надежную круглосуточную защиту. «Страховые компании теперь широко ожидают решений для обнаружения, таких как EDR (обнаружение и реагирование на конечных точках), и следующий шаг — непрерывный мониторинг генерируемых оповещений, чтобы можно было быстро принять меры», — добавляет Спюрриер.
В ближайшем будущем защита на базе ИИ может стать обязательной для получения покрытия, подобно тому, как сегодня обязательны многофакторная аутентификация и инструменты обнаружения и реагирования на конечных точках. Это означает, что компании, которые отстают, могут оказаться в невыгодном положении. «Если вы полагаетесь на устаревшие инструменты, ожидайте более высоких премий или ограниченного покрытия», — говорит он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Andrada Fiscutean