Доцент УНЦ «Искусственный интеллект» УрФУ, руководитель исследовательского центра UDV Group Юрий Чернышов дал комментарий изданию Comnews о том, что срочное формирование «цифровой гигиены» и просвещение разных групп пользователей необходимы для снижения рисков при работе с ИИ и чат-ботами, а конфиденциальные данные нельзя передавать недоверенным сервисам.
- Как вы оцениваете такие рекомендации?
- Любое действие по повышению грамотности организаций и населения в области информационной безопасности я оцениваю позитивно, считаю это очень нужным и правильным. Особенно для инновационных технологий, к которым многие оказались не готовы с точки зрения безопасного поведения. Правила «медицинской» гигиены вырабатывались годами и десятилетиями, но на формирование «цифровой» гигиены у нас такого времени нет, слишком быстро появляются новые непонятные населению технологии и слишком масштабные последствия нарушения элементарных правил самозащиты в цифровом мире. Последствия ошибок часто относятся не к одному человеку, а затрагивают большие коллективы, а материальный ущерб может многократно превышать посильный для человека уровень, поскольку опять же срабатывает «технологический рычаг», позволяющий злоумышленникам выманивать значительные суммы. У людей медленно формируются защитные паттерны безопасного поведения, поэтому любая просветительская деятельность в любой форме очень важна. Я также считаю правильным и необходимым расширять перечень подобных информационных материалов, ориентируя их на конкретные сегменты пользователей: школьники младшего возраста, молодежь, работающее население, пенсионеры. Все эти категории по-разному воспринимают информацию, для них необходимо по-разному формировать правила безопасного поведения. Известно, что формирование и поддержание в актуальном состоянии правил пользовательского поведения существенно снижает риск и уменьшает объем инцидентов. Важно, что эта информация доводится из доверенных источников: официальных сайтов государственных организаций, учебных заведений, надежных коммерческих компаний.
- Как расценивать банковских чат-ботов исходя из рекомендаций министерства государственного управления, информационных технологий и связи Подмосковья и Минцифры, когда чат-боты знают данные карт, сведения о счетах и сбережениях? Или робота Макса на Госуслугах, знающего ФИО, СНИЛС, ИНН, адреса, телефоны, паспортные данные?
- Важно понимать, что официальный банковский чат-бот является частью инфраструктуры банка. Официальные организации, работающие с пользователями, использующие их персональные данные, обязаны позаботиться об информационной безопасности этих данных, обеспечить их конфиденциальность, целостность и доступность, независимо от того – используется чат-бот или нет.
Но вот что действительно представляет опасность для пользователя, так это мошеннические копии подобных банковских чат-ботов, так называемые скаминговые ресурсы. Они внешне очень похожи на официальные ресурсы. Пользователей заманивают в эти мошеннические системы ссылками в фишинговых письмах или в мессенджерах. Эти ссылки, как правило, незначительно отличаются от официальных ссылок на ресурсы организаций. В таких случаях часто помогает простая проверка, полезно запомнить путь в браузере к официальному сайту организации, чтобы вовремя увидеть разницу между gosuslugi.ru (официальный портал государственных услуг РФ) и g0suslugi.org (символ “o” заменен на цифру «0», получается похожий адрес, но он отличается от официального, это обычное поведение для скамингового ресурса). В подобные скаминговые сервисы, имитаторы чат-ботов, категорически нельзя отдавать никакие данные, это может привести как к их утере, так и к продолжению персонализированных действий злоумышленников, направленных на попавшегося на «удочку» фишинговой рассылки человека.
- Какую информацию точно не следует сообщать искусственному интеллекту и почему?
- Если вы не знаете архитектуру и логику работы системы ИИ, которая использует ваши данные, если не имеете договорные отношения с зафиксированным SLA с поставщиком таких сервисов, если ИИ система не является частью официального сервиса, либо надежной организации, то надо понимать, что передавать данные в такую систему небезопасно.
Для наглядности я бы привел несколько примеров опасного применения недоверенного ИИ сервиса в Интернет, относящийся как к предприятиям, так и обычным пользователям. Сейчас существует множество ИИ сервисов в Интернет, которые помогают сделать презентацию, проанализировать договор, сделать поздравительную открытку, автоматизировать рабочие задачи, оптимизировать настройки. При этом, как правило, такие сервисы запрашивают информацию, в том числе и являющуюся конфиденциальной: личную информацию и персональные данные, изображения, схемы, информацию о предприятии. Важно помнить, что при загрузке текста договора в недоверенную систему вы раскрываете информацию – реквизиты, суммы, предмет сделки. Загружая персональные данные (фотографии, личную информацию, контактные данные) в недоверенный сервис вы можете передать злоумышленникам данные для организации таргетированной фишинговой рассылки. Создавая с помощью недоверенных облачных LLM правила конфигурации внутренних маршрутизаторов предприятия, вы раскрываете данные об инфраструктуре, которые можно будет использовать при проведении атаки. Думаю, что этих нескольких примеров достаточно для того, чтобы понять схему действий злоумышленников и сформировать правила безопасного поведения.
Комментариев пока нет.
