Сотрудники российских компаний продолжают сливать секреты в ChatGPT

aspnews Новости IT
изображение сделано с помощью chatgpt
изображение сделано с помощью chatgpt

В 2025 году утечка чувствительных данных российских компаний в общедоступные ИИ-сервисы, такие как ChatGPT и Gemini, выросла в 30 раз по сравнению с 2024-м.

Сотрудники в погоне за эффективностью массово загружают в чат-боты исходный код, финансовые отчёты и клиентские базы, создавая критические риски для бизнеса и национальной безопасности. Таковы шокирующие выводы исследования компании «Солар».

Согласно анализу трафика 150 организаций — клиентов «Солар», включая госсектор, финансы, промышленность и IT, через один только ChatGPT проходит 46% всех загружаемых конфиденциальных файлов и промптов. Это означает, что почти каждый второй документ, отправляемый в ИИ, содержит информацию, представляющую коммерческую или иную ценность.

Сотрудники используют нейросети для, казалось бы, безобидных задач:

  • Анализ финансовых отчётов для подготовки презентаций.

  • Оптимизация фрагментов кода или написание его с нуля.

  • Составление саммари длинных юридических договоров.

  • Генерация отчётов на основе внутренних данных и клиентских баз.

Проблема в том, что, упрощая рутину, они безвозвратно передают эти данные на серверы зарубежных компаний. Загруженная информация становится частью обучающей выборки модели, может сохраняться для модерации, а в худшем случае — попадать в результаты ответов другим пользователям или становиться уязвимой при хакерских атаках на сервисы ИИ.

Главная причина катастрофического роста утечек — не злой умысел, а системная некомпетентность, поощряемая отсутствием правил.

  • Нормативный провал: Около 60% российских организаций до сих пор не имеют формализованных политик, регулирующих использование ИИ-сервисов сотрудниками. Нет чётких запретов, регламентов, списков разрешённых и запрещённых к передаче данных.

  • Культура тотальной эффективности: Во многих компаниях действует установка «решай задачи любыми средствами и быстрее». ИИ воспринимается как волшебный инструмент, а вопросы конфиденциальности отходят на второй план. Ответственность за результат начинает превалировать над ответственностью за средства его достижения.

  • Отсутствие осведомлённости: Многие сотрудники искренне не понимают, как работают ИИ-сервисы. Они считают диалог с ChatGPT приватным чатом «на два лица», а не процессом передачи данных третьей стороне с неопределёнными условиями хранения и использования.

Утечки в ИИ имеют качественно иной характер по сравнению с классическими инцидентами.

  1. Невозвратная потеря конкурентного преимущества. Переданный исходный код или стратегический отчёт нельзя «отозвать» или сменить, как пароль после утечки. Эта информация навсегда становится потенциальным активом иностранных технологических гигантов и их алгоритмов.

  2. Риски для клиентов и партнёров. Утечка клиентских баз или персональных данных через ИИ может привести к многомиллионным штрафам со стороны Роскомнадзора и потере репутации.

  3. Угроза технологическому суверенитету. Массированный перевод чувствительных данных, в том числе из госсектора и промышленности, в зарубежные ИИ-сервисы ставит под вопрос независимость и безопасность национальной цифровой экосистемы. Фактически происходит добровольная передача критически важной «интеллектуальной сырьевой базы».

  4. Непредсказуемые правовые риски. Юридический статус информации, переданной ИИ, размыт. Неясно, кто и в какой мере несёт ответственность.

Рецепты защиты:

Для решения проблемы необходимы срочные и комплексные меры на трёх уровнях:

1. Корпоративный уровень:

  • Разработка и внедрение политик ИИ-безопасности. Чёткие инструкции: какие сервисы использовать; что можно, что нельзя размещать в них.

  • Обязательное обучение сотрудников цифровой гигиене. Необходимо объяснять механику работы ИИ и последствия утечек на понятных примерах.

  • Технические ограничения: блокировка публичных ИИ-сервисов на корпоративных устройствах, внедрение DLP-систем (Data Loss Prevention), настроенных на отслеживание передачи данных на подобные платформы.

2. Отраслевой и государственный уровень:

  • Развитие и популяризация отечественных безопасных ИИ-решений, развёрнутых внутри защищённого периметра (например, на основе GigaChat, Kandinsky или корпоративных версий open-source моделей).

  • Разработка отраслевых стандартов и методических рекомендаций по работе с ИИ для госсектора и компаний, имеющих критическую информационную инфраструктуру (КИИ).

3. Культурный сдвиг:

  • Пересмотр KPI и корпоративной культуры. Поощрение не просто результата, а безопасного и ответственного пути к его достижению.

  • Формирование осознанности: ИИ-инструмент — это не коллега, а потенциальный канал утечки. Такая установка должна стать новой нормой.

Тридцатикратный рост утечек в ИИ дал четко понять, что необходимо выстраивать новую архитектуру работы с искусственным интеллектом, где инновации будут неразрывно связаны с контролем и безопасностью.

С уважением к Вашему делу, Ника Виноградова

Источник: New Retail

Поделиться:

Добавить комментарий