Австрія 
Азербайджан 
Болгарія 
Боснія та Герцеговина 
Грузія 
Данія 
Естонія 
Казахстан 
Киргизстан 
Латвія 
Литва 
Молдова 
Німеччина 
Норвегія 
Північна Македонія 
Польща 
Румунія 
Сербія 
Словакія 
Словенія 
Таджикистан 
Туркменістан 
Угорщина 
Узбекистан 
Україна 
Фінляндія 
Хорватія 
Чехія 
Чорногорія 
Швейцарія 
Швеція 
Вже сьогодні більшість компаній стикається з проблемою витоку конфіденційної інформації за межі периметра організації. І все частіше це відбувається через недбале спілкування зі штучним інтелектом з боку співробітників. Люди прагнуть використовувати цю технологію лише як інструмент, який полегшує їхні рутинні задачі, повністю забуваючи про безпеку та конфіденційність даних.
Постає питання: Чи готовий бізнес ризикувати всім заради тренду та бажання все оптимізувати?
Ми підготували статтю, де Олександр Скрипнік, Sales Engineer у BAKOTECH, на прикладі вендора Skyhigh Security показав, як подбати про свій захист від ризиків, повʼязаних з використанням ШІ.
Як користувачі самі віддають дані мовним моделям?
Щоб втратити контроль над даними, сьогодні навіть не треба вдаватися до злому систем. Користувачі самі надають конфіденційні дані мовним моделям, не думаючи про потенційні наслідки.
Так, найчастішим випадком використання ШІ є надсилання файлу з ціллю отримати короткий опис його вмісту. Але користувач не враховує один момент: файл може містити конфіденційну інформацію. Виходить так, що ШІ генерує відповідь на запитання про вміст файлу, однак вся інформація залишається та використовується як матеріал для тренування мовної моделі.
Якщо говорити про великих гравців (OpenAI, Microsoft, X), вони частково можуть гарантувати безпеку даних, але «частково» не означає «повністю». А в інформаційній безпеці завжди заведено бути на крок попереду, щоб забезпечувати захист.
Уявімо, що в організації є політика, яка регламентує сервіси, погоджені з відділом Інформаційної безпеки. У цьому списку є Gemini як інструмент, який можуть використовувати співробітники компанії. Приблизно так працюють рішення Skyhigh Security. У вендора є кілька варіантів здійснення контролю під час користування такими сервісами. Розглянемо два з них, які містять функціональні можливості DLP (Data Loss Prevention): SWG (Secure Web Gateway) та PA (Privilege Access).
SWG (Secure Web Gateway)
Класичний proxy-сервер, який пропускає через себе трафік та здійснює контроль на основі політик, створених адміністратором рішення. Skyhigh Security спостерігає за тенденціями ринку та розуміє ризики з боку користування ШІ-ресурсами. Для цього вендор додав набір правил, який може вже з самого початку роботи реалізувати повноцінний захист у випадку використання штучного інтелекту.
Розглянемо пункт Service Category із класифікацією сервісу. Нас цікавить Artificial Intelligence — у нашому випадку вибрано блокування вивантаження будь-якої інформації. Також можна вибрати й інші дії з боку користувача, і вони теж будуть контролюватися.
А що як треба контролювати якийсь конкретний сервіс?
Це можна зробити через додавання персональних сервісів (Individual Service) з випадного списку. Самостійно вибираємо той сервіс, до якого слід вжити заходів безпеки.
Вендор Skyhigh Security постійно оновлює список сервісів та додає нові — наприклад, вже наявна нова мовна модель DeepSeek.
PA (Privilege Access)
Другий варіант — рішення PA (Privilege Access) — працює на основі технології ZTNA, тобто доступу з нульовою довірою. Його робота полягає в тому, що воно надає доступ до легітимних сервісів для певних користувачів згідно їхньої ролі в компанії. Контроль здійснюється на основі політик DLP, які спеціально створюються та прив’язуються до правил.
Ось що відбувається. Користувач заходить на портал зі списком сервісів, до яких він має доступ.
Адміністратор створює правило для контролю класифікації контенту, яким ділиться користувач (у нашому випадку це буде фінансова інформація).
При спробі користувача передати інформацію, яка класифікується як фінанси, висвічується повідомлення-відмова, а адміністратор бачить сповіщення в системі, яке можна використати для постінцидентного аналізу.
Висновок
Штучний інтелект зараз — це улюблений інструмент співробітників багатьох компаній. Його зручність та певна всемогутність затьмарюють такий важливий аспект як безпека даних. Користувачі фокусуються на отриманні результату — тобто, відповіді на своє запитання, мимоволі стаючи джерелом витоку конфіденційної інформації.
Щоб мінімізувати ризики, важливо розробляти внутрішні політики щодо дозволених ШІ-сервісів та контролювати обмін даними через рішення з DLP, SWG та PA. Ну і, авжеж, постійно оновлювати правила безпеки відповідно до нових сервісів і трендів ринку. Якщо вам вдасться правильно поєднати технології та політики безпеки, ви зможете повноцінно користуватись перевагами ШІ, водночас не підставляючи компанію під удар.
Якщо ви хочете дізнатись більше про рішення Skyhigh Security, будь ласка, напишіть нам: [email protected]
