ИИ-сервисы ускоряют утечки данных: почему 60% компаний остаются без защиты

Резкий рост утечек данных через ИИ-сервисы: угроза российскому бизнесу

По данным CNews, за 2025 год объем конфиденциальной информации, попавшей в общедоступные нейронные сети, вырос в 30 раз по сравнению с предыдущим периодом. Основной причиной указано использование сотрудниками ИИ-сервисов для анализа рабочих документов. Эксперты отмечают, что около 60% российских организаций до сих пор не разработали формализованные политики, регулирующие работу с искусственным интеллектом.

Рост утечек и угрозы изнутри

Группа компаний «Солар», занимающаяся комплексной кибербезопасностью, провела исследование, охватившее трафик 150 российских компаний из различных отраслей. В ходе анализа было установлено, что сотрудники загружают в ИИ-сервисы, такие как ChatGPT и Gemini, материалы, включая презентации, стратегические планы, аналитические отчеты, фрагменты кода, переписку и техническую документацию. Такие действия создают значительные риски для корпоративной безопасности.

Исследования подтверждают, что искусственный интеллект стал новым каналом утечек информации. Руководитель ИТ-продукта Solar webProxy в ГК «Солар» Анастасия Хвещеник подчеркнула, что контроль за взаимодействием с ИИ-сервисами позволяет снизить угрозы на уровне трафика, блокируя как утечки, так и поддельные ответы от нейронных сетей.

Технологии угроз опережают защиту

Современные инструменты генеративного ИИ значительно сократили время, необходимое для модификации атак. Если ранее адаптация DDoS-атак под защитные меры могла занимать несколько часов, то теперь этот процесс занимает от одной до двух минут. Эксперты прогнозируют, что к 2027 году искусственный интеллект будет использоваться не только вспомогательно, но и как самостоятельный элемент кибератак — от фишинга до создания самообучающихся вредоносных программ.

Растущее влияние ИИ в ИТ-секторе

По данным исследования «СберАналитики» и «Сбер Бизнес Софт», 40% российских ИТ-компаний уже внедрили проекты на базе генеративного ИИ. Это указывает на то, что технология перестала быть экспериментальной и стала частью повседневной практики. В 45% таких компаний созданы специализированные центры компетенций по искусственному интеллекту. Наибольшую пользу ИИ приносит в разработке продуктов, поддержке клиентов, маркетинге и продажах. Чаще всего используются умные ассистенты, чат-боты и генеративные модели для создания текстов и изображений.

Риски и необходимость адаптации

Для минимизации рисков ключевым становится внедрение специализированных политик предотвращения утечек данных (DLP) для генеративных моделей. Также требуется ускорить разработку и внедрение средств обнаружения утечек через внешние онлайн-сервисы. Компании вынуждены проактивно управлять потоком данных, чтобы защитить корпоративную информацию от непреднамеренных утечек.

i

Создано специально для ASECTOR

Концептуальное изображение

Искусственный интеллект как инструмент и угроза

Внедрение ИИ в бизнес-процессы открывает широкие возможности, но требует ответственного подхода. Ситуация усугубляется тем, что разработчики решений по кибербезопасности не всегда успевают за темпом технологических изменений. Это подчеркивает необходимость системного подхода к управлению рисками, связанными с использованием ИИ-сервисов.

Когда ИИ становится воротами утечек: новые правила для старой проблемы

Рост утечек и угрозы изнутри

Искусственный интеллект, который обещал повысить эффективность бизнеса, теперь выступает в роли скрытого канала утечки данных. Сотрудники, загружая внутренние документы в популярные ИИ-сервисы, не осознают, что эти данные становятся частью общей базы знаний модели. Это может привести к тому, что конфиденциальная информация окажется в руках конкурентов, хакеров или в открытом доступе.

Ключевая проблема — отсутствие внутренних правил. В 60% российских компаний до сих пор нет четких инструкций, как взаимодействовать с ИИ. Это не только пробел в политике, а уязвимость, которую можно использовать. Работники, действуя добросовестно, создают риски, которые сложно контролировать.

Важный нюанс: ИИ-сервисы не только анализируют данные — они их запоминают. То, что загружено в модель, может быть использовано в будущем для генерации поддельных документов, прогнозов или даже отчетов, которые будут выглядеть как реальные. Это подтверждается исследованиями, показывающими, что 22% файлов, загружаемых в GenAI, содержат конфиденциальную информацию [!].

Рост угроз из-за несанкционированных агентов

Новый формат утечек связан с ростом так называемого «теневого ИИ» — агентов, созданных сотрудниками без одобрения ИТ-отдела. Эти агенты получают доступ к конфиденциальным ресурсам через учетные записи и токены, что усложняет отслеживание и управление. В 2026 году использование таких агентов вышло за рамки контроля, создавая серьезные риски для безопасности [!].

Примером могут служить агенты, созданные на основе сервисов вроде ChatGPT. Они могут взаимодействовать с корпоративными приложениями и данными, что приводит к увеличению уязвимостей. Агенты могут быть заражены или использованы для атак, что делает их неотъемлемой частью угрозы. Компании сталкиваются с проблемой, поскольку не всегда осознают, сколько агентов уже работают в их системах.

Скорость угроз опережает защиту

Технологии атак развивались экспоненциально. Если раньше хакеры тратили часы на адаптацию атак под защитные меры, то теперь это занимает минуты. Генеративный ИИ позволяет автоматизировать не только ответы, но и атаки — от фишинга до создания вредоносного ПО, которое обучается на лету.

Это означает, что традиционные методы защиты, основанные на блокировке IP-адресов или анализе трафика, становятся недостаточными. Нужны новые подходы, которые учитывают поведение, а не только источники угроз. Например, системы, способные анализировать, что именно отправляется в ИИ, и в каком контексте.

Важный нюанс: Защита от ИИ-атак требует не только технологических решений, но и изменений в поведении сотрудников. Без осознанности в работе с данными даже самые продвинутые системы будут не в состоянии предотвратить утечку. Это подтверждается анализом, показывающим, что 22% файлов содержат конфиденциальные данные [!].

ИИ как часть бизнеса: возможности и ответственность

40% российских ИТ-компаний уже используют генеративный ИИ в повседневной работе. Это говорит о том, что технология вышла из стадии экспериментов и стала частью бизнес-процессов. Однако внедрение ИИ не должно происходить без системы управления рисками.

Важный нюанс: Особенно важно внедрять политики предотвращения утечек данных (DLP) для ИИ-сервисов. Это включает в себя блокировку загрузки конфиденциальных документов, мониторинг трафика и обучение сотрудников. В противном случае, даже самые перспективные ИИ-проекты могут стать источником угроз.

Сравнение ИИ-сервисов: безопасность как выбор

Не все ИИ-сервисы одинаково уязвимы. Например, ChatGPT избежал утечек благодаря защищённой архитектуре, в отличие от большинства AI-приложений, где жёсткое кодирование секретов в коде привело к утечке 730 ТБ данных [!]. Это подчеркивает важность выбора надежных решений, особенно в корпоративной среде.

Компании, которые внедряют ИИ, должны учитывать не только функциональность, но и уровень безопасности. Сервисы, такие как Google Gemini, не используют пользовательские данные для обучения модели, что делает их более безопасными для обсуждения конфиденциальной информации [!].

Выводы

• Рост утечек данных через ИИ-сервисы требует немедленного внимания. Сотрудники, не осознавая рисков, становятся неосознанными участниками утечек.
• Технологии атак развиваются быстрее, чем защита. Это требует адаптации не только систем безопасности, но и поведенческих норм.
• ИИ уже в бизнесе, но без управления рисками он может стать угрозой. Внедрение должно сопровождаться стратегией, политиками и обучением персонала.

Важный нюанс: Каждая загрузка документа в ИИ-сервис — это шаг в сторону утечки. Даже если данные не утекли сегодня, они могут стать частью модели, которая в будущем сгенерирует их снова — но уже в чужих руках.