Согласно исследованию UDV Group, 42% российских компаний столкнулись с тем, что их сотрудники передавали конфиденциальные или чувствительные данные в публичные ИИ-сервисы. Большинство специалистов по информационной безопасности оценивают риск утечки через чат-боты как высокий или средний. При этом полностью запрещают использование нейросетей только 8% организаций, а 36% вообще не контролируют такие сервисы. Еще 28% ИБ-специалистов отметили, что им не хватает инструментов для мониторинга передачи данных во внешние сервисы.

Чаще всего сотрудники загружают в чат-боты фрагменты договоров, клиентские базы, внутренние документы, коммерческие предложения, технические описания, исходный код и переписку с партнерами. По мнению экспертов UDV Group, это происходит не из-за злого умысла, а из-за желания быстрее подготовить текст или проанализировать документ. Однако с точки зрения информационной безопасности такой сценарий эквивалентен неконтролируемой передаче данных во внешний сервис: компания не видит, какие сведения были отправлены, кто это сделал, с какого устройства и попали ли данные в дальнейшую обработку. В результате ИИ-чат-боты становятся новым теневым каналом обмена информацией.

ПараметрЗначение
Доля компаний, где сотрудники передавали данные42%
Доля компаний, полностью запрещающих ИИ8%
Доля компаний, не контролирующих ИИ36%
Доля ИБ-специалистов, которым не хватает инструментов28%

Владислав Ганжа, руководитель лаборатории информационной безопасности UDV Group, отметил: «Главный риск сейчас не в том, что сотрудники используют ИИ, а в том, что компании часто не понимают, какие данные уходят в такие сервисы. Запретить ИИ полностью в большинстве компаний уже сложно, поэтому задача бизнеса — ввести понятные правила: какие данные нельзя передавать, какие сервисы разрешены, как контролируется доступ и как фиксируются подозрительные действия». Эксперт добавил, что использование нейросетей в работе должно рассматриваться так же, как подключение любого другого внешнего сервиса, и компания должна заранее определить допустимые сценарии, ограничить передачу чувствительной информации и обеспечить мониторинг.

Только 8% компаний полностью запрещают нейросети, 36% не контролируют их использование.

В UDV Group считают, что в ближайшее время корпоративная политика по ИИ станет частью общей системы защиты данных. Компании будут вынуждены сочетать обучение сотрудников, технический контроль, классификацию информации и настройку правил работы с внешними сервисами. Иначе рост использования ИИ в повседневных задачах будет увеличивать риск утечек быстрее, чем бизнес успеет выстроить процессы защиты.