Австрия 
Азербайджан 
Болгария 
Босния и Герцеговина 
Венгрия 
Германия 
Грузия 
Дания 
Казахстан 
Кыргызстан 
Латвия 
Литва 
Молдова 
Норвегия 
Польша 
Румыния 
Северная Македония 
Сербия 
Словакия 
Словения 
Таджикистан 
Туркменистан 
Узбекистан 
Украина 
Финляндия 
Хорватия 
Черногория 
Чехия 
Швейцария 
Швеция 
Эстония 
Уже сегодня большинство компаний сталкивается с проблемой утечки конфиденциальной информации за пределы периметра организации. И все чаще это происходит из-за небрежного общения с искусственным интеллектом со стороны сотрудников. Люди стремятся использовать данную технологию исключительно как инструмент, облегчающий их рутинные задачи, полностью забывая о безопасности и конфиденциальности данных.
Возникает вопрос: Готов ли бизнес рисковать всем ради тренда и желания все оптимизировать?
Мы подготовили статью, где Александр Скрыпник, Sales Engineer в BAKOTECH, на примере вендора Skyhigh Security показал, как позаботиться о своей защите от рисков, связанных с использованием ИИ.
Как пользователи сами отдают данные языковым моделям?
Чтобы потерять контроль над данными сегодня, даже не нужно прибегать к взлому систем. Пользователи сами предоставляют конфиденциальные данные языковым моделям, не думая о потенциальных последствиях.
Так, наиболее частым случаем использования ИИ является отправка файла с целью получить краткое описание его содержимого. Но пользователь не учитывает момент: файл может содержать конфиденциальную информацию. Получается, что ИИ генерирует ответ на вопрос о содержимом файла, однако вся информация остается и используется как материал для тренировки языковой модели.
Если говорить о крупных игроках (OpenAI, Microsoft, X), они могут частично гарантировать безопасность данных, но «частично» не означает «полностью». А в информационной безопасности всегда принято быть впереди, чтобы обеспечивать защиту.
Представим, что у организации есть политика, которая регламентирует сервисы, согласованные отделом по Информационной безопасности. В данном списке присутствует Gemini в качестве инструмента, который могут использовать сотрудники компании. Приблизительно так работают решения Skyhigh Security. У вендора есть несколько вариантов осуществления контроля при пользовании данными сервисами. Рассмотрим два из них, содержащие функциональные возможности DLP (Data Loss Prevention): SWG (Secure Web Gateway) и PA (Privilege Access).
SWG (Secure Web Gateway)
Классический proxy-сервер, пропускающий через себя трафик и осуществляющий контроль на основе политик, которые были созданы администратором решения. Skyhigh Security наблюдает за тенденциями рынка и понимает риски со стороны пользования ИИ-ресурсами. Для этого вендор добавил набор правил, который способен уже с самого начала работы реализовать полноценную защиту при использовании искусственного интеллекта.
Рассмотрим пункт Service Category с классификацией сервиса. Нас интересует Artificial Intelligence — в нашем случае выбрана блокировка выгрузки любой информации. Также можно выбрать и другие действия со стороны пользователя, и они тоже будут контролироваться.
А что если нужно контролировать какой-то конкретный сервис?
Это можно сделать через добавление персональных сервисов (Individual Service) из выпадающего списка. Самостоятельно выбираем тот сервис, к которому следует принять меры безопасности.
Вендор Skyhigh Security постоянно обновляет список сервисов и добавляет новые — например, уже присутствует новая языковая модель DeepSeek.
PA (Privilege Access)
Второй вариант — решение PA (Privilege Access) — работает на основе технологии ZTNA, то есть доступа с нулевым доверием. Его работа заключается в том, что он предоставляет доступ к легитимным сервисам для определенных пользователей согласно их роли в компании. Контроль осуществляется на основе политик DLP, которые специально создаются и привязываются к правилам.
Происходит следующее. Пользователь заходит на портал со списком сервисов, к которым он имеет доступ.
Администратор создает правило контроля классификации контента, которым делится пользователь (в нашем случае это будет финансовая информация).
При попытке пользователя передать информацию, которая классифицируется как финансы, высвечивается сообщение-отказ, а администратор видит уведомление в системе, которое можно использовать для постинцидентного анализа.
Вывод
Искусственный интеллект сейчас — это любимый инструмент сотрудников многих компаний. Его удобство и определенное всемогущество затмевают такой важный аспект, как безопасность данных. Пользователи фокусируются на получении результата — то есть, на ответе на свой вопрос, невольно становясь источником утечки конфиденциальной информации.
Чтобы минимизировать риски, важно разрабатывать внутренние политики в отношении разрешенных сервисов и контролировать обмен данными через решения с DLP, SWG и PA. Ну и, конечно, постоянно обновлять правила безопасности в соответствии с новыми сервисами и трендами рынка. Если вам удастся правильно соединить технологии и политики безопасности, вы сможете полноценно пользоваться преимуществами ИИ, не подставляя при этом компанию под удар.
Если вы хотите узнать больше о решениях Skyhigh Security, пожалуйста, напишите нам: [email protected]
