ФСТЭК признал ИИ угрозой безопасности и обязал компании учитывать это по закону

9 часов назад

© freepik.com / DC Studio on Freepik / AI-контент

Федеральная служба по техническому и экспортному контролю (ФСТЭК) впервые включила компоненты систем искусственного интеллекта в перечень источников угроз информационной безопасности. Как сообщают «Ведомости», теперь любая организация, обязанная по закону защищать свои информационные системы (в соответствии с 152-ФЗ и требованиями ФСТЭК), должна использовать этот банк данных угроз (БДУ) для разработки модели угроз. Требование затрагивает большинство систем, обрабатывающих персональные данные.

В перечне объектов угроз теперь значатся модели машинного обучения, наборы обучающих данных (датасеты), а также RAG и LoRA-адаптеры. В документе описаны и возможные векторы атак, включая эксплуатацию уязвимостей в ИИ-фреймворках, модификацию промптов и DoS-атаки на квоты запросов.

Важно, что разработанный ФСТЭК документ адресован, в первую очередь, субъектам критической информационной инфраструктуры (КИИ) и органам государственной власти. Он не предписывает конкретное программное обеспечение, но указывает, от каких именно векторов угроз должна быть предусмотрена защита.

Игорь Бедеров, директор департамента расследований T.Hunter, заявил, что документ определяет критерии для выбора защиты. Новый раздел БДУ становится официальным и актуальным источником для такого моделирования в части ИИ.

Юлия Липатникова, бизнес-партнер по кибербезопасности Cloud.ru добавила, что компаниям следует учитывать нововведение, особенно на этапе внедрения новых процессов разработки. Организации, изменившие подходы к моделированию угроз, получат конкурентное преимущество.

Сообщается также, что  новый перечень угроз имеет стратегическое значение, на его основе будет разработан уже готовящийся стандарт по безопасной разработке ИИ-систем. Этот стандарт дополнит существующие «Требования по безопасной разработке ПО» мерами для всего жизненного цикла систем искусственного интеллекта.

Ранее в колонке экспертов портала RUБЕЖ опубликована авторская статья Владислава Кокунцыкова, руководителя компании «Кибербастион» «Число атак на объекты КИИ транспортного комплекса выросло более чем на 60%».