Данные сотрудников утекают в ИИ: 77% корпоративной информации уже в чужих моделях

По данным исследования, опубликованного Cybersecurity-Insiders, значительная часть корпоративной информации передаётся сотрудниками в платформы искусственного интеллекта. Согласно отчёту LayerX Security, 77% данных компаний уже сейчас попадают в ИИ-сервисы, включая крупные языковые модели, такие как ChatGPT. При этом большинство сотрудников не осознают, какие риски несёт такая практика.

Специалисты подчёркивают, что данные, вводимые в ИИ-инструменты, могут храниться или использоваться вне контроля компании. Особенно остро стоит вопрос с конфиденциальной информацией, включая данные о разработках, клиентской базе и стратегических решениях. Такие утечки могут привести к утрате интеллектуальной собственности, нарушениям законодательства и повреждению репутации.

Сотрудники продолжают использовать ИИ, несмотря на риски

Несмотря на выявленные угрозы, 45% сотрудников продолжают использовать ИИ-инструменты для оптимизации рабочих процессов. В этой группе почти половина применяет ChatGPT, что подтверждает высокую популярность платформы в корпоративной среде. Однако при этом 50% опрошенных признавались в том, что вводили в ИИ-сервисы данные, которые по своей природе нельзя считать публичными. В 18% случаев речь шла о конфиденциальной информации, включая данные о внутренних разработках.

Эксперты отмечают, что рост зависимости от ИИ-инструментов создаёт новую проблему: компании сталкиваются с кризисом управления данными. Утечка информации может происходить не только из-за действий злоумышленников, но и вследствие неосознанной активности сотрудников. Особенно это касается среднего звена, где уровень осведомлённости о рисках ИИ остаётся низким.

Необходимость усиления мер безопасности

Результаты исследования демонстрируют необходимость внедрения строгих правил использования ИИ-инструментов. Компаниям рекомендуется разработать чёткие политики, в которых будут прописаны границы допустимого использования ИИ-сервисов. Для этого важно предусмотреть обучение сотрудников, включая обучение распознаванию конфиденциальной информации и правил её обработки.

Важной частью стратегии становится внедрение систем аудита и мониторинга данных. Эти инструменты позволяют отслеживать, какие данные попадают в ИИ, и блокировать потенциально опасные действия. Такие меры помогут снизить вероятность утечек и укрепить общую систему защиты информации.

i

Создано специально для ASECTOR

Концептуальное изображение

Когда удобство становится риском: утечки данных через ИИ-сервисы

Утечка данных: масштаб и причины

Более 77% корпоративных данных уже сейчас передаются сотрудниками в ИИ-сервисы. Это не только статистика — это реальный вызов для безопасности. В 60% компаний до сих пор отсутствуют формализованные правила использования ИИ, что означает отсутствие стратегического подхода к управлению рисками [!]. Особенно критично то, что 50% сотрудников вводят в ИИ-сервисы непубличные данные, а 18% — информацию, которая может считаться конфиденциальной. Это может включать данные о разработках, стратегиях, клиентской базе и внутренних процессах.

Важный нюанс: Опасность не только в том, что данные могут быть украдены — она в том, что сотрудники часто не осознают, куда они отправляются. Даже если ИИ-сервис не хранит данные, их обработка происходит в облаке, где доступ могут получить третьи стороны. Это создаёт риски утечки, которые могут повлиять на интеллектуальную собственность, нарушить законодательные нормы и повредить репутацию компании.

Новые векторы угроз: от поддельных расширений до агентов ИИ

Кроме утечек, связанных с действиями сотрудников, риски усиливаются из-за вредоносных инструментов. Так, 30 вредоносных расширений для Chrome, имитирующих ИИ-инструменты вроде ChatGPT, украли данные свыше 260 000 пользователей. Злоумышленники запрашивали широкие разрешения, включая доступ к содержимому вкладок, что позволяло копировать пароли и конфиденциальную информацию [!]. Эти примеры показывают, что угрозы не ограничиваются только действиями сотрудников — они могут приходить извне, в форме вредоносного ПО, маскирующегося под легитимные ИИ-сервисы.

Ещё один важный тренд — рост числа агентов ИИ, созданных сотрудниками без одобрения ИТ-отдела. Такие агенты могут быть связаны с популярными платформами и имеют доступ к корпоративным ресурсам. Это создаёт уязвимости, особенно если агенты заражены или используются для атак. Проблема «теневого ИИ» становится всё более актуальной, поскольку компании часто не осознают, сколько агентов уже работают в их системах [!].

Чат-боты как канал для кибератак

Совсем недавно стало известно, что чат-боты с функцией браузера могут использоваться как канал для передачи команд вредоносному ПО. Злоумышленники запрашивают у чат-бота загрузку URL, анализируют возвращённый текст и извлекают инструкции. Такой метод позволяет не только получать команды, но и выгружать данные с инфицированного устройства, используя встроенные веб-компоненты. Поскольку трафик на крупные ИИ-платформы часто воспринимается как легитимный, атаки становятся трудноразличимыми для систем безопасности [!].

Решения: политики, обучение и технические меры

Внедрение строгих правил использования ИИ — не только формальность, но и необходимость. Это требует не только политики, но и инфраструктуры. Компаниям нужно внедрять системы мониторинга и аудита, чтобы отслеживать, какие данные попадают в ИИ, и при необходимости блокировать рискованные действия. Такие меры помогут снизить вероятность утечек и укрепить общую систему защиты информации.

Важный нюанс: Технические меры недостаточны без обучения. Сотрудники должны понимать, какие данные нельзя вводить в ИИ, и зачем это важно. Важно не только объяснять, а показывать, как именно утечка может повредить бизнесу. Примеры вроде утечек через поддельные расширения [!] и атаки на агентов ИИ [!] подтверждают, что без обучения даже самые продвинутые системы безопасности могут быть обойдены.

Выводы

Утечка данных через ИИ — это не гипотетическая угроза, а реальная проблема, которая уже сейчас влияет на бизнес. Компании, которые не начнут срочно пересматривать подходы к управлению информацией, рискуют столкнуться с последствиями, которые трудно будет контролировать. Безопасность ИИ не начинается с кода — она начинается с осознанности сотрудников и стратегического подхода к управлению данными.