Навколо ШІ у кібербезпеці: загрози, захист та автоматизація. Перший блок

Сергій одразу окреслив головну дилему: штучний інтелект вже став звичним інструментом для співробітників, але контроль його використання тільки формується. 

Сергій Кулик, Regional Manager іIT Distribution:

«Якщо потрібно зацікавити людей будь-якою публікацією, достатньо додати слова “AI” і “кібербезпека”. Але за цією популярністю стоїть реальний виклик для бізнесу – неконтрольоване використання штучного інтелекту співробітниками».

Олег Полігенько, CISO Nova Group, звернув увагу, що сьогодні найбільший ризик для компаній пов’язаний не з хакерами, а з неконтрольованим використанням ШІ працівниками. Nova Group активно впроваджує штучний інтелект у логістиці, клієнтській підтримці та автоматизації процесів. Проте це призводить до нових викликів: співробітники починають автоматизувати листування, відповіді клієнтам або аналітичні задачі за допомогою публічних ШІ-сервісів. 

Щоб зменшити ризики, у компанії впроваджено кілька рівнів контролю. Перший – це політики інформаційної безпеки, які регламентують використання ШІ. Другий – використання корпоративних ШІ-рішень у контрольованому середовищі. Третій – технічні інструменти запобігання витокам даних і фільтрації запитів до ШІ-систем. 

Ключовий принцип підходу Nova Group полягає в тому, щоб не забороняти технологію, а забезпечити її контрольоване використання. 

Юрій Шатило, CISO ПрАТ МХП, зазначив, що у промисловому секторі впровадження ШІ потребує балансу між інноваціями та безпекою. 

У МХП частково вирішили проблему тіньового ШІ через розвиток власних моделей. Це дозволяє співробітникам працювати з такими інструментами у контрольованому корпоративному середовищі. 

Компанія також контролює запити користувачів до публічних сервісів на базі штучного інтелекту і ізолює внутрішні системи в окремих сегментах мережі. 

Втім, Юрій визнає, що повністю виключити використання сторонніх сервісів неможливо, адже співробітники можуть працювати з ними зі своїх особистих пристроїв. 

Максим Ященко, CISO Ukrsibbank (BNP Paribas Group) наголосив, що загрози штучного інтелекту подібні для всіх галузей. Головна відмінність для фінансового сектору полягає у масштабі можливих втрат. За його словами, основна проблема сьогодні полягає у тому, що користувачі почали активно застосовувати інструменти ШІ, не маючи достатнього розуміння їхніх обмежень.

Водночас банки активно використовують такі технології для автоматизації роботи співробітників, підтримки контакт-центрів і швидкого пошуку інформації у великій кількості внутрішніх політик і процедур.

У міжнародних фінансових групах уже впроваджено чіткі правила використання ШІ. Наприклад, у BNP Paribas передбачено навіть резервні сценарії на випадок, якщо відповідні системи стануть недоступними.

Окремим ризиком Максим назвав використання генеративного ШІ для написання програмного коду, що може створювати нові вразливості або бекдори у корпоративних системах.

Тарас Лобода, CISO Universal Bank / monobank, звернув увагу, що штучний інтелект вже активно використовується як у кіберзахисті, так і у кіберзлочинності.

У банку використання ШІ співробітниками дозволено лише через корпоративні інструменти, зокрема власні рішення та MS Copilot.

Водночас штучний інтелект значно підвищив якість фішингових атак і дозволив хакерським групам автоматизувати частину кібероперацій.

Ще однією проблемою Тарас назвав недостатній обмін інформацією між компаніями про кіберінциденти. Через небажання публічно говорити про атаки, бізнес часто не ділиться важливою інформацією, яка могла б допомогти іншим організаціям підготуватися до нових загроз.

Євгеній Кудревич, CISO Дія, підкреслив, що використання ШІ у державних цифрових сервісах базується на міжнародних стандартах управління ризиками.

За його словами, платформа Дія не зберігає персональні дані, а лише забезпечує доступ до державних реєстрів. У роботі застосовуються стандарти ISO 42001 та NIST AI Risk Management Framework, які регулюють оцінку ризиків та етичне використання ШІ. Євгеній також запропонував розділяти ШІ-системи на публічні та корпоративні. У першому випадку існує ризик передачі даних за межі організації, тоді як корпоративні рішення дозволяють зберігати дані всередині інфраструктури.

Окремим викликом майбутнього він назвав появу AI-агентів, які можуть отримувати доступ до систем, працювати з API і взаємодіяти з критичною інфраструктурою.

Євгеній Кудревич, CISO Дія:

«У 2023 році Gartner випустив дуже гарну статтю, яка звучала так: бізнес прийме AI, незважаючи на обмеження безпеки. І насправді, якщо ми оцінюємо вплив на бізнес, використання великих мовних моделей здешевить бізнес-процеси і буде приносити більше revenue, то безпека не зможе це заборонити. На жаль, завжди у гонці за AI безпека буде позаду.»

Обговорення показало, що незалежно від галузі компанії стикаються з подібними викликами. Штучний інтелект швидко стає стандартним інструментом роботи, і заборонити його використання практично неможливо. 

Натомість організації переходять до іншої моделі:
• створюють внутрішні ШІ-платформи
• впроваджують політики використання ШІ
• контролюють передачу даних у публічні сервіси
• навчають співробітників працювати з новими інструментами 

Саме в цьому контексті з’являється потреба в інструментах, які дають змогу не лише формалізувати правила, а й забезпечити реальний контроль їх виконання. Наприклад, рішення класу AI Detection and Response (AIDR) дозволяють отримувати видимість використання ШІ, аналізувати взаємодії користувачів і застосовувати політики для зниження ризиків витоку даних.

Тому головне завдання для бізнесу і держави сьогодні – не стримувати розвиток технології, а навчитися керувати її ризиками, зберігаючи баланс між інноваціями, безпекою та ефективністю.