Скрытые киберриски при использовании генеративного ИИ

Организации все чаще считают, что интеграция искусственного интеллекта в их деятельность — это отличная идея и даже абсолютная необходимость. И это действительно так. Но многие организации не осознают риски для кибербезопасности, связанные с ИИ, и не понимают, насколько они не готовы к защите своих систем ИИ.

ИИ — особенно генеративный ИИ — может произвести революцию в бизнесе, будь то повышение внутренней производительности или внедрение инноваций для привлечения клиентов.

Но если они не защищены, внедрение ИИ может принести больше проблем, чем пользы. Без надлежащих мер безопасности ИИ может создавать уязвимости, которые открывают двери для киберпреступников, вместо того чтобы укреплять защиту.

Внедрение ИИ опережает развитие систем безопасности

Интерес к искусственному интеллекту очевиден. По данным EY, 92% технологических лидеров (https://www.ey.com/en_us/newsroom/2025/05/ey-survey-reveals-that-technology-companies-are-setting-the-pace-of-agentic-ai-will-others-follow-suit) планируют увеличить расходы на ИИ в 2025 году, что на 10% больше, чем в 2024 году. Агентный ИИ становится особенно перспективным направлением: 69% технологических лидеров заявили, что их организациям он необходим для сохранения конкурентоспособности.

К сожалению, организации уделяют недостаточно внимания безопасности. По данным Всемирного экономического форума (ВЭФ), 66% организаций (https://reports.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2025.pdf) считают, что ИИ существенно повлияет на кибербезопасность в ближайшие 12 месяцев, но только у 37% есть процессы для оценки безопасности ИИ перед внедрением. Малые предприятия находятся в ещё более уязвимом положении: у 69% из них нет средств защиты для безопасного внедрения ИИ, таких как мониторинг обучающих данных или инвентаризация ИИ-ресурсов.

Компания Accenture обнаружила аналогичные пробелы (https://www.accenture.com/us-en/insights/security/state-cybersecurity-2025): 77 % организаций не имеют базовых данных и методов обеспечения безопасности ИИ, и только 20 % уверены в своей способности защитить модели генеративного ИИ.

На практике это означает, что большинство предприятий внедряют ИИ, не будучи уверенными в том, что их системы и данные действительно защищены.

Почему небезопасное использование ИИ может быть опасным

Внедрение ИИ без обеспечения безопасности может стать серьёзной угрозой с точки зрения соответствия нормативным требованиям. Кроме того, это активно расширяет возможности киберпреступников, которые могут использовать генеративный ИИ несколькими способами:

• Фишинг и мошенничество с использованием ИИ. По данным ВЭФ, 47 % организаций считают кибератаки с использованием ИИ своей главной проблемой. И на то есть причина: в прошлом году 42 % организаций подверглись атакам с использованием методов социальной инженерии.
• Манипуляции с моделью. Компания Accenture обращает внимание на то, что ИИ-черви, такие как Morris II, могут внедрять вредоносные запросы в модели, перехватывая управление ИИ-помощниками для кражи данных или распространения спама.
• Мошенничество с использованием дипфейков. Преступники всё чаще используют сгенерированные искусственным интеллектом голоса, изображения и видео для совершения мошеннических действий. В ходе одной из атак был выдан за министра обороны Италии с помощью убедительных дипфейков (https://www.euronews.com/2025/02/10/scammers-clone-italian-defence-ministers-voice-with-ai-in-ransom-scheme), что позволило известным бизнесменам перевести средства за границу.

ИИ снижает порог вхождения для злоумышленников, делая мошенничество более быстрым, дешёвым и сложным для обнаружения.

Обеспечение безопасности ИИ с самого начала

Если организации хотят в полной мере воспользоваться преимуществами ИИ и при этом обеспечить безопасность, им необходимо в первую очередь сосредоточиться на вопросах безопасности. Вместо того чтобы модернизировать системы защиты после инцидентов или собирать воедино разрозненные инструменты, компаниям следует с самого начала искать интегрированные решения в области кибербезопасности. Благодаря решениям, которыми легко управлять с помощью центральной консоли и которые работают вместе без ручной интеграции, организации могут:

• Внедрите меры безопасности в процесс разработки ИИ. Безопасное кодирование, шифрование данных и состязательное тестирование должны стать стандартом на каждом этапе.
• Постоянно отслеживайте и проверяйте модели. Организациям необходимо тестировать системы искусственного интеллекта на предмет манипуляций, искажения данных и других возникающих рисков.
• Объедините стратегии обеспечения киберустойчивости. Безопасность не может быть изолированной. Средства защиты должны быть изначально интегрированы в конечные устройства, сети, облачные среды и рабочие нагрузки ИИ. Такая стратегия упрощает работу и не позволяет злоумышленникам использовать слабые места.

И ВЭФ, и Accenture подчеркивают, что лучше всего к эпохе ИИ подготовлены организации с комплексными стратегиями и надежными системами кибербезопасности.

Исследование Accenture показало, что только 10 % компаний достигли так называемой «зоны готовности к обновлению», которая сочетает в себе продуманные киберстратегии с интегрированными возможностями мониторинга, обнаружения и реагирования. Компании из этой категории на 69 % реже подвергаются кибератакам с использованием искусственного интеллекта, чем менее подготовленные организации.

Роль малых и средних предприятий

Для поставщиков управляемых услуг (Managed Service Providers, MSP) развитие ИИ — это одновременно и проблема, и возможность. Клиенты будут все чаще запрашивать инструменты на базе ИИ, но при этом они будут полагаться на своих MSP в вопросах безопасности.

Согласно отчёту Acronis о киберугрозах за первое полугодие 2025 года (https://www.acronis.com/en/blog/posts/acronis-cyberthreats-report-h1-2025-some-good-news-and-a-lot-of-bad-news/), киберпреступники усилили атаки на поставщиков управляемых услуг с использованием искусственного интеллекта. Более половины всех атак на поставщиков управляемых услуг в первом полугодии 2025 года были фишинговыми и в значительной степени осуществлялись с помощью искусственного интеллекта.

Таким образом, поставщики управляемых услуг должны обеспечивать комплексную защиту облачных сред, конечных устройств и ИИ-сред, чтобы защитить себя и своих клиентов.

Для предприятий путь вперёд лежит через поиск баланса между амбициями и осторожностью. ИИ может повысить эффективность, креативность и конкурентоспособность, но только при условии ответственного подхода к его использованию.

Организации должны сделать обеспечение безопасности ИИ приоритетной задачей на уровне совета директоров, создать чёткую систему управления и обеспечить подготовку своих специалистов по кибербезопасности для борьбы с возникающими угрозами, связанными с ИИ.

Будущее внедрения ИИ связано с вопросами безопасности

Генеративный ИИ никуда не денется, и он будет всё глубже проникать в бизнес-процессы. Но торопиться с внедрением этих систем без обеспечения их безопасности — всё равно что строить небоскрёб на песке: фундамент слишком слаб, чтобы выдержать конструкцию.

Внедряя комплексные превентивные меры и решения по обеспечению безопасности, организации могут использовать потенциал ИИ, не подвергая себя риску заражения программами-вымогателями, мошенничества и других новых угроз.

Редактор: AndreyEx