hashtelegraph.com
Российские компании отправляют в общедоступные ИИ-сервисы в 30 раз больше корпоративных данных, чем год назад. Такие данные содержит исследование ГК «Солар», проведенное среди 150 компаний из разных отраслей.
Сотрудники загружают в ChatGPT, Google Gemini и другие сервисы фрагменты исходного кода, финансовые отчеты, юридические документы, клиентские базы данных, презентации и аналитические таблицы. Через ChatGPT проходит 46% всех конфиденциальных файлов и промптов.
Кто использует ИИ на работе
Основная причина утечек — применение ИИ для упрощения рутинных задач при отсутствии инструментов контроля. Разработчики обращаются к языковым моделям за помощью в написании кода, инженеры и аналитики — для расчетов и технической документации, маркетологи — для обработки клиентских данных.
Инструменты ИИ применяются в 40% российских IT-компаний для разработки продуктов, поддержки клиентов и маркетинга. Почти 40% российских организаций уже внедрили ИИ-агентов для автоматизации документооборота, финансов и HR.
Масштаб рисков
Около 60% организаций не имеют политик регулирования работы с ИИ. В финансовом секторе утечки затрагивают персональные данные и банковскую тайну, в IT — исходный код и API-ключи, в промышленности — интеллектуальную собственность.
Киберпреступники используют ИИ для автоматизации фишинга, создания дипфейков и поиска уязвимостей. Время подготовки атак сокращается с часов до минут.
Среди громких инцидентов — загрузка секретных документов в ChatGPT сотрудником американского агентства кибербезопасности CISA и утечка кода инженерами Samsung в OpenAI. Риски публичного раскрытия данных возникают из-за индексации разговоров с чатботами поисковыми системами.
Как защититься
Эксперты ГК «Солар» рекомендуют создавать детальные правила безопасности для разрешения или запрета конкретных ИИ-сервисов. Необходим контроль трафика, блокировка передачи чувствительных данных и вредоносных ответов ИИ.
Требуется мониторинг взаимодействий с API, изоляция систем с критическими данными и контроль потоков информации. ИИ стал вторым «теневым IT» для специалистов по безопасности, а киберпреступники адаптируются к технологии быстрее защитников.
Проблема корпоративных утечек возникает не из-за самой технологии, а из-за отсутствия контроля. Компании должны найти баланс между полезностью ИИ и защитой данных.
Мнение ИИ
С точки зрения машинного анализа данных, ситуация с корпоративными утечками в ИИ-сервисы напоминает период массового перехода на облачные решения в 2010-х. Тогда компании также передавали чувствительную информацию внешним провайдерам, не имея четких протоколов безопасности. Разница в том, что облачные сервисы были пассивными хранилищами, а ИИ активно обучается на полученных данных.
Макроэкономический анализ показывает парадокс: страны, которые первыми решат проблему «ИИ-утечек», получат конкурентное преимущество. Их компании смогут безопасно использовать ИИ для инноваций, пока конкуренты будут ограничивать доступ к технологиям из-за рисков. Возможно, текущий хаос с корпоративными данными — это естественный этап цифровой эволюции, который приведет к созданию принципиально новых стандартов информационной безопасности.