Бесплатная методика оценки уровня развития организаций, использующих технологии искусственного интеллекта, станет доступной для команд информационной безопасности. Это решение специалистов по кибербезопасности направлено на насыщение формирующегося сегмента ИИ-защиты профессиональными знаниями. Такие данные были предоставлены CNews представителями ГК Swordfish Security.
Карта рисков и превентивных мер разрабатывалась с ориентацией на российский рынок, принимая во внимание нормативы отечественных регуляторов и особенности местных ИИ-решений. В рамках фреймворка «Swordfish: SAIMM» систематизированы ключевые аспекты анализа ИИ, охватывающие интеллектуальных агентов, параметры риск-оценки и стратегию минимизации угроз. Фактически это инструмент самоаудита для предприятий, внедряющих ИИ-технологии и стремящихся определить текущий уровень развития, а также сформировать план его повышения.
«На отечественном рынке практически ежедневно появляются новые ИИ-агенты, а коммерческие структуры активно интегрируют решения на основе языковых моделей для оптимизации рабочих процессов. Без надлежащих мер защиты нынешние масштабы и сложность кибератак на бизнес могут показаться незначительными, поскольку ИИ-системы обладают специфической архитектурой, устроены сложнее, а обойти их защиту зачастую легче, чем в случае с традиционным программным обеспечением», – отметил Юрий Шабалин, директор по развитию ИИ-технологий Swordfish Security.
Значимым компонентом фреймворка стала классификация угроз для ИИ-систем. Методология акцентирует внимание на специфических ИИ-рисках, расширяя традиционные подходы AppSec. При создании учтены международные стандарты классификации уязвимостей: OWASP Top-10, NIST AI, RMF, ENISA, MITRE ATLAS. Разработчики консолидировали примерно 80 фундаментальных уязвимостей систем с элементами искусственного интеллекта. В таксономию вошли, в частности, компрометация моделей, обход защитных механизмов, утечка конфиденциальных данных в ответах системы, конфликт инструкций и другие. Для каждой угрозы указано соответствие международным классификациям, а также меры защиты и контроля.
Процедура оценки уровня зрелости применима к любым организациям, использующим ИИ, включая финтех, электронную коммерцию или государственные структуры. Создатели фреймворка безопасности ИИ являются участниками Консорциума по безопасности искусственного интеллекта, а в основу разработки легли результаты общероссийского исследования.
«При создании фреймворка мы также руководствовались положениями нацпроекта «Искусственный интеллект в критической информационной инфраструктуре» – оба документа разрабатывались синхронно, и домены нашей методологии органично вписываются в его структуру. Мы предлагаем практическую детализацию нормативов: распределение зон ответственности, перечень формируемых артефактов, области автоматизации контроля и процедуры внедрения/эксплуатации/реагирования», – пояснила Альбина Аскерова, руководитель регуляторного направления Swordfish Security.
Каждая четвертая из ведущих финансовых организаций уже сталкивалась с инцидентами безопасности, связанными с искусственным интеллектом – такие данные были получены в ходе исследования, проведенного Финтех Ассоциацией в партнерстве с Swordfish Security. Это служит серьезным предупреждением для делового сообщества, свидетельствуя о том, что новая цифровая эра уже наступила, однако средства защиты данных для нее находятся лишь на стадии формирования.
