Поделиться
Большинство компаний не оценивают безопасность ИИ-инструментов перед внедрением
67% компаний, внедряющих ИИ-инструменты в бизнес-процессы, не проводят предварительную оценку их защищенности и влияния на безопасность информационной инфраструктуры. Эксперты «Информзащиты» указывают, что компании приоретизируют скорость внедрения, из-за чего обеспечение защищенности использования искусственного интеллекта происходит только тогда, когда он уже внедрен в систему. Об этом CNews сообщили представители «Информзащиты».
Самым распространенным инцидентом ИБ, связанным с внедрением ИИ-инструментов, является утечка данных. С такими проблемами сталкивались около 80% компаний. Пренебрежение оценкой рисков информационной безопасности ведет к тому, что решение на основе искусственного интеллекта может получить доступ к конфиденциальной информации, которая не требуется модели для работы, передавать информацию через API или хранить ее в ненадежных базах данных. Все это повышает риски взлома, усложняет контроль за информацией, а в отдельных случаях ведет к прямому сливу данных.
По данным «Информзащиты», компании также часто сталкиваются с prompt injection – атаками, когда промпт сформулирован таким образом, чтобы изменить поведение ИИ-модели и получить результат, который необходим злоумышленникам. Это может быть использовано для получения конфиденциальной информации, размещения вредоносного ПО в информационной инфраструктуре, изменения тех или иных настроек безопасности. С такими инцидентами столкнулись свыше 40% компаний, внедряющих ИИ-инструменты без предварительной проверки.
Специалисты интегратора отмечают, что чаще всего целями атак через уязвимости решений на основе искусственного интеллекта становятся предприятия малого и среднего бизнеса. Они используют ИИ для оптимизации бизнес-процессов и замены части сотрудников, что ведет к необходимости оперативно внедрять технологию зачастую в ущерб информационной безопасности. Согласно статистике, более 90% атак через уязвимости в ИИ-инструментах приходится на малые и средние предприятия.
Эксперты «Информзащиты» рекомендуют проводить предварительную оценку защищенности ИИ-инструментов и их влияния на информационную безопасность всей инфраструктуры. Эффективными инструментами станут проведение аудита информационной безопасности и пентестов.
Короткая ссылка
