Использование GenAI создает новые риски безопасности из-за своей распространенности (например, ChatGPT достиг около 100 млн. пользователей за два месяца – это быстрее, чем любая другая технология), простоты использования, высокого ценностного предложения и огромной потенциальной ценности для бизнеса. Сегодня руководство компаний, в том числе директора по информационной безопасности, не успевают контролировать внедрение технологий генеративного ИИ (GenAI) сотрудниками и бизнес-подразделениями, что влечет за собой дополнительные риски ИБ, такой вывод сделали аналитики «Информзащиты».
Среди наиболее серьезных рисков внедрения генеративного ИИ на предприятии эксперты назвали следующие: нарушение конфиденциальности (высокий уровень риска), компрометация безопасности предприятия, SaaS и сторонних организаций (высокий уровень риска), уязвимости ИИ (высокий уровень риска), юридический и регуляторный риски (высокий уровень риска), эволюция методов атак злоумышленников (средний уровень риска), нарушение авторского права и прав на интеллектуальную собственность (средний уровень риска), создание небезопасного кода (средний уровень риска), необъективные данные и дискриминация (средний уровень риска), снижение доверия и угроза репутации (средний уровень риска), уязвимости безопасности ПО (низкий уровень риска), доступность, производительность и стоимость (низкий уровень риска).
Однако данными рисками можно управлять, если руководители компании совместно с ИБ-департаментом разработают новые индивидуальные политики, которые базируются на представлении о широком распространении GenAI в организации, в том числе и нетехническим персоналом. Контролировать риски предлагается посредством следующих шагов:
- определение релевантных рисков GenAI и их влияния на организацию;
- установление организационных политик в отношении того, как и кто может использовать инструменты GenAI таким образом, чтобы митигировать обозначенные риски до приемлемого уровня;
- выбор подходящих поставщиков GenAI на основе их безопасности и возможностей настройки политик, доступных для клиентов, например, в части хранения данных;
- изучение возможных альтернатив реализации GenAI в контуре предприятия.
Стоит отметить, что в России пока нет специфического регулирования в части генеративного ИИ. Однако в апреле появилась информация, что по поручению вице-премьера Дмитрия Чернышенко Минэкономразвития совместно с Центром компетенций по реализации федерального проекта «Искусственный интеллект» (Сбербанк) и НИУ ВШЭ исследуют вопрос наличия законов, которые препятствуют внедрению искусственного интеллекта. В итоге будет подготовлен «план нормативного регулирования ИИ».
Пока технологии генеративного ИИ только начинают развиваться, но уже ожидается, что в перспективе в ИБ выделится отдельное направление по обеспечению безопасного использования ИИ. В рамках данных услуг будет сильна экспертно-консультационная составляющая. Потребуются не только услуги по защите от атак на системы ИИ, но и комплекс услуг по аудиту использования ИИ в организации, разработке регламентов по использованию ИИ, контролю их исполнения, юридическим услугам в части сопровождения использования ИИ, а также расширение инструментария Digital Risk Protection на технологии генеративного ИИ.