Банк России опубликовал методические рекомендации, которые призваны помочь финансовым организациям обеспечить информационную безопасность при использовании технологий искусственного интеллекта (ИИ). Об этом сообщается 16 июня на сайте регулятора.
В ЦБ отметили, что это первый подготовленный им документ, в котором систематизированы риски применения ИИ, описаны возможные тактики хакерских атак на системы ИИ и даны рекомендации по мерам защиты. Так, например, если финансовая организация использует ИИ в критически важных процессах с высокими рисками информационной безопасности, в частности в платежных операциях, то рекомендуется, чтобы операцию подтверждал сотрудник.
В целях определения актуальных угроз безопасности организациям рекомендуется разработать модель угроз безопасности информации системы ИИ. При этом при разработке таких моделей им нужно учитывать результаты оценки рисков информационной безопасности ИИ, этапы разработки и его применения, возможные угрозы безопасности информации, специфичные для технологий ИИ.
Также Центробанк рекомендовал организациям учитывать возможные способы реализации угроз безопасности информации, специфичные для технологий ИИ, а для определения возможных сценариев реализации угроз — использовать, в частности, тактики и соответствующие им техники, например такие, как поиск нарушителем известных уязвимостей модели ИИ в открытых источниках, получение нарушителем первоначального доступа к системе через компрометацию компонентов цепочки поставок и т. д.
Кроме того, чтобы свести к минимуму риски, связанные с разработкой и применением ИИ, регулятор призвал организации разработать или дополнить политику обеспечения информационной безопасности при разработке и применении ИИ.
Один из разделов документа касается информационной безопасности при использовании ИИ-сервисов, которые предоставляют поставщики услуг. Например, наличие у поставщика модели ИИ, которая участвует в программе обнаружения уязвимостей и повышает доверие к ней.