Риск утечки данных: 77% сотрудников вводят конфиденциальные данные в ИИ
45% сотрудников крупных компаний используют генеративные ИИ-инструменты, из них 77% вставляют в запросы конфиденциальные данные, такие как персональная информация и данные платежных карт. 82% утечек происходят через личные аккаунты, не привязанные к корпоративным системам, что ограничивает возможности контроля и мониторинга.
По данным компании LayerX, 45% сотрудников крупных компаний используют генеративные ИИ-инструменты. Среди них 77% вставляют в запросы чат-боту конфиденциальные данные, включая персональную информацию (PII) и данные платежных карт (PCI). В 22% случаев такие вставки содержат именно PII/PCI.
Особый риск представляет использование ИИ-сервисов через личные, неподписанные корпоративным аккаунтом учетные записи. В 82% случаев именно такие аккаунты становятся источником утечки. Это создает серьезные слепые зоны в системе мониторинга и контроля данных.
Согласно исследованию, 40% загрузок файлов на платформы генеративных ИИ содержат PII/PCI. При этом 39% этих загрузок происходят с непрофильных, личных аккаунтов. LayerX использует расширение браузера для наблюдения за взаимодействием с веб-ИИ, что позволяет отслеживать только веб-запросы, а не API-вызовы из приложений.
Предпочтения пользователей и риски для бизнеса
Согласно данным, ChatGPT стал фактическим стандартом среди ИИ-инструментов в корпоративной среде. 90% пользователей предпочитают именно этот сервис. Альтернативы, такие как Google Gemini (15%), Claude (5%) и Microsoft Copilot (~2–3%), остаются значительно менее популярными.
В то же время Microsoft заявила, что планирует поддерживать использование личных аккаунтов Copilot в корпоративных версиях Microsoft 365. Эта позиция может быть связана с тем, что компания столкнулась с растущей популярностью ChatGPT. По оценке LayerX, уровень внедрения ChatGPT в бизнесе достигает 43%, что приближается к популярности Zoom (75%) и Google-сервисов (65%), но превышает уровень проникновения таких сервисов, как Slack (22%), Salesforce (18%) и Atlassian (15%).
Растущая доля ИИ в корпоративной среде
Общий объем использования ИИ-сервисов в бизнесе составляет 11% от всех приложений, что делает его четвертым по популярности после электронной почты (20%), онлайн-встреч (20%) и офисных приложений (14%).
Растущая популярность генеративных ИИ требует от руководителей информационной безопасности (CISO) более строгого подхода к внедрению систем однократного входа (SSO) на всех ключевых приложениях. Это позволит обеспечить прозрачность и контроль за потоками данных.
Клиентская база LayerX включает десятки глобальных компаний с численностью сотрудников от 1 000 до 100 000 человек. Основные отрасли — финансовые услуги, здравоохранение, IT-услуги и полупроводники. Большинство клиентов расположены в Северной Америке, но сотрудничество распространяется на все континенты.
Риски и реальность генеративного ИИ в корпоративной среде
Скрытые мотивы пользователей и слабые места корпоративной политики
Сотрудники всё чаще используют генеративный ИИ для решения рабочих задач, но делают это через личные аккаунты, обходя корпоративные системы. Это не случайность — пользователи ищут удобство и скорость, а не соблюдение политики безопасности. При этом 77% из них вводят в запросы конфиденциальные данные, что создает угрозу утечки информации. Компаниям не хватает не технологий, а стратегии управления поведением сотрудников в цифровом пространстве. Даже при наличии SSO и других инструментов, если сотрудник чувствует, что корпоративный ИИ слишком медленный или ограничен, он будет использовать сторонние сервисы, не задумываясь о рисках.
Важный нюанс: По данным исследования, более 89% использования ИИ в организациях остаётся вне контроля ИТ- и безопасных команд. Это особенно актуально для сервисов вроде ChatGPT, который используется в 43% компаний. Иногда данные, включая конфиденциальную информацию, передаются в личные аккаунты ChatGPT, что создаёт риски утечки и нарушения норм. Это происходит вне поля зрения ИТ- и безопасных команд, усложняя отслеживание и контроль.
Microsoft и борьба за корпоративный ИИ-рынок
Microsoft, несмотря на официальную позицию в пользу SSO, допускает использование личных аккаунтов Copilot в корпоративных системах. Это не только уступка удобству пользователей — это стратегический шаг. Компания пытается сдержать доминирование ChatGPT, который уже используется в 43% компаний.
Важный нюанс: Microsoft ставит на баланс между безопасностью и пользовательским опытом. Если этот баланс нарушится, бизнес может столкнуться с ростом альтернативных решений, включая иностранные сервисы, что усугубит риски утечки данных.
Недавно Microsoft начала массовую доставку обновления Windows 11 версии 25H2, включающего улучшения безопасности и оптимизацию системы. Обновление содержит технологии искусственного интеллекта для анализа кода, а также усиливает обнаружение уязвимостей на этапах разработки и выполнения. Оно удаляет устаревшие компоненты, такие как PowerShell 2.0 и WMIC, делая систему более лёгкой. Microsoft позиционирует 25H2 как часть регулярного цикла обновлений, позволяющего компаниям внедрять новые функции безопасно и оперативно.
Генеративный ИИ как часть корпоративной инфраструктуры
Сейчас ИИ-сервисы занимают 11% от всех приложений, используемых в бизнесе. Это четвертое место после электронной почты, онлайн-встреч и офисных приложений. Растущая популярность генеративного ИИ требует пересмотра подхода к управлению доступом и контролю данных.
Важный нюанс: Компании должны перейти от реактивной к проактивной стратегии безопасности. Это включает в себя не только внедрение SSO, но и обучение сотрудников, а также интеграцию ИИ-инструментов в корпоративные системы таким образом, чтобы они были удобнее и безопаснее, чем сторонние.
В рамках масштабирования ИИ-инфраструктуры, OpenAI, Oracle и SoftBank планируют построить пять новых центров обработки данных в США в рамках совместного проекта Stargate, что увеличит мощность платформы до почти 7 гигаватт. Инвестиции в проект оцениваются свыше 400 млрд долларов, а расширение охватывает четыре штата, включая Техас, Нью-Мексико, Огайо и неуказанную область Среднего Запада. Эти усилия позволяют создавать автономные функции, такие как Pulse, которые работают вне самого приложения. Однако из-за ограниченных вычислительных мощностей такие функции пока доступны только для платных пользователей.
Утечка данных через ИИ становится не следствием технических слабостей, а результатом разрыва между удобством и безопасностью. Компаниям, которые не смогут объединить эти два аспекта, угрожает не только риском утечек данных, но и потеря доверия клиентов и регуляторов.
Рост популярности ChatGPT в корпоративной среде показывает, что пользователи готовы перейти на неподдерживаемые системы ради функциональности. Это заставляет компании пересматривать не только политику безопасности, но и подход к цифровизации.
