Полный запрет ИИ не сработает: эксперт Сергей Полунин об инциденте с CISA США и ChatGPT

Исполняющий обязанности Агентства по кибербезопасности и защите инфраструктуры (CISA) США Мадху Готтумуккала ещё летом загрузил в общедоступную версию ChatGPT файлы, помеченные как «только для служебного пользования». Сработали внутренние системы кибербезопасности, начался процесс оценки ущерба на уровне Министерства внутренней безопасности США, чтобы предотвратить кражу или непреднамеренное разглашение информации.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», прокомментировал ситуацию:

«Я очень люблю такие новости, но даже не потому, что они вызывают резонанс и улыбку у читателей, а потому что специалистам в области ИБ они напоминают, что без работы мы не останется. Что, собственно, случилось — высокопоставленный чиновник, отвечающий за кибербезопасность в мировой супердержаве, сделал то, что при наличии специализированных средств защиты вообще не должно происходить. Он отправил в ChatGPT документ ограниченного доступа, имеющий соответствующею маркировку. И никакая DLP-система не возмутилась, никакая политика доступа к веб-ресурсам не сработала, да и сам CIO не подумал, что делает что-то не то».

Примечательно, что Мадху Готтумуккала запрашивал разрешение у Управления главного информационного директора CISA на использование ChatGPT, в то время как это приложение было заблокировано для остальных сотрудников Министерства. Он получил разрешение на короткий срок и с соблюдением мер контроля Министерства внутренней безопасности. Отмечается, что агентство привержено «использованию ИИ и других передовых технологий для модернизации правительства и выполнения» указа Трампа, устраняющего барьеры на пути к лидерству Америки в области ИИ.

Другие инструменты ИИ, одобренные для использования сотрудниками Министерства, такие как разработанный DHS чат-бот на базе ИИ, DHSChat, не допускают распространения запросов или документов за пределы федеральных сетей.

Сергей Полунин отмечает, что если речь идёт о национальной безопасности, то политики обработки информации должны быть крайне строги: «Но одновременно с этим ИБ-специалисты в нашей стране могут сказать — да, у нас утечки персональных данных происходят каждый год, но у них-то вон что делается. Это не обнадёживает, но мы понимаем, что чем больше таких инцидентов, тем быстрее будут приняты стандарты обращения с ИИ в компаниях, потому что сейчас это абсолютный хаос. С помощью ИИ сотрудники решают свои производственные задачи, не понимая, куда именно они отправляют свои данные. Технически эту задачу можно решить только полным запретом, но такие меры не работают в 21 веке».