Сотрудники российских компаний массово сливают корпоративные секреты в ИИ

Российские компании отправляют в общедоступные ИИ-сервисы в 30 раз больше корпоративных данных, чем год назад. Такие данные содержит исследование ГК «Солар», проведенное среди 150 компаний из разных отраслей.

Сотрудники загружают в ChatGPT, Google Gemini и другие сервисы фрагменты исходного кода, финансовые отчеты, юридические документы, клиентские базы данных, презентации и аналитические таблицы. Через ChatGPT проходит 46% всех конфиденциальных файлов и промптов.

Кто использует ИИ на работе

Основная причина утечек — применение ИИ для упрощения рутинных задач при отсутствии инструментов контроля. Разработчики обращаются к языковым моделям за помощью в написании кода, инженеры и аналитики — для расчетов и технической документации, маркетологи — для обработки клиентских данных.

Инструменты ИИ применяются в 40% российских IT-компаний для разработки продуктов, поддержки клиентов и маркетинга. Почти 40% российских организаций уже внедрили ИИ-агентов для автоматизации документооборота, финансов и HR.

Масштаб рисков

Около 60% организаций не имеют политик регулирования работы с ИИ. В финансовом секторе утечки затрагивают персональные данные и банковскую тайну, в IT — исходный код и API-ключи, в промышленности — интеллектуальную собственность.

Киберпреступники используют ИИ для автоматизации фишинга, создания дипфейков и поиска уязвимостей. Время подготовки атак сокращается с часов до минут.

Среди громких инцидентов — загрузка секретных документов в ChatGPT сотрудником американского агентства кибербезопасности CISA и утечка кода инженерами Samsung в OpenAI. Риски публичного раскрытия данных возникают из-за индексации разговоров с чатботами поисковыми системами.

Как защититься

Эксперты ГК «Солар» рекомендуют создавать детальные правила безопасности для разрешения или запрета конкретных ИИ-сервисов. Необходим контроль трафика, блокировка передачи чувствительных данных и вредоносных ответов ИИ.

Требуется мониторинг взаимодействий с API, изоляция систем с критическими данными и контроль потоков информации. ИИ стал вторым «теневым IT» для специалистов по безопасности, а киберпреступники адаптируются к технологии быстрее защитников.

Проблема корпоративных утечек возникает не из-за самой технологии, а из-за отсутствия контроля. Компании должны найти баланс между полезностью ИИ и защитой данных.

Мнение ИИ

С точки зрения машинного анализа данных, ситуация с корпоративными утечками в ИИ-сервисы напоминает период массового перехода на облачные решения в 2010-х. Тогда компании также передавали чувствительную информацию внешним провайдерам, не имея четких протоколов безопасности. Разница в том, что облачные сервисы были пассивными хранилищами, а ИИ активно обучается на полученных данных.

Макроэкономический анализ показывает парадокс: страны, которые первыми решат проблему «ИИ-утечек», получат конкурентное преимущество. Их компании смогут безопасно использовать ИИ для инноваций, пока конкуренты будут ограничивать доступ к технологиям из-за рисков. Возможно, текущий хаос с корпоративными данными — это естественный этап цифровой эволюции, который приведет к созданию принципиально новых стандартов информационной безопасности.