Киберугрозы ИИ: новые риски для бизнеса и методы защиты

Угрозы, связанные с искусственным интеллектом, — уже не фантастика, а обыденность: бизнес-дипфейки, отравление данных, SQL-инъекции стали новыми инструментами в руках злоумышленников. О защите корпоративных систем в эпоху ИИ рассказывают директор департамента кибербезопасности IBS Олег Босенко и начальник отдела разработки сервисов кибербезопасности Владимир Мукасеев.

Новые вызовы информационной безопасности

• Уязвимость для манипуляций. Внедрение ИИ в государственных и бизнес-структурах создает уязвимости для широкого спектра манипуляций. Основных причин две. Во-первых, спешка в выводе ИИ-продуктов на рынок и недостаточное внимание к вопросам безопасности в процессе внедрения. Во-вторых, слабая проработка механизмов блокировки в самих ИИ-моделях. Как показывает практика, пользователи могут обходить этические ограничения нейросетей, получая доступ к опасной информации.
• Количественный и качественный рост кибератак. Количество атак растет, но главное изменение — их сложность. Вымогательские атаки становятся более изощренными: в 2023 году отмечен переход от традиционного шифрования данных к шантажу публикацией украденных данных.
• Возможность реализации всех видов кибератак. Принципиальные технологические особенности функционирования ИИ позволяют применять все возможные векторы атак. Поэтому необходимо закрыть все потенциальные уязвимости в безопасности программного обеспечения, чтобы не допустить расширения поверхности атаки в случае ее успеха.
• Риск повреждения или уничтожения баз данных за счет взлома механизмов ИИ. Если защита внутри алгоритмов недостаточна, злоумышленники могут изменить данные, на которых обучается модель, или внедрить ложную информацию. Из-за этого искажаются результаты обучения моделей, а базы данных могут быть полностью уничтожены.
• Повышение информированности нарушителей. В интернете остаются цифровые следы не только отдельных людей, но и компаний — в документации, новостях и т.д. ИИ позволяет быстро анализировать эту информацию, поэтому важно контролировать открытые данные, чтобы злоумышленники не могли получить доступ к критичной информации. По данным отчета «Security: Кибербезопасность 2023–2024», в 2023 году в 45% всех кибератак в России использовались программы-шпионы.
• Рост возможностей внутреннего нарушителя в несанкционированном доступе к информации. Технологии ИИ расширяют возможности и внутренних нарушителей. Например, с помощью таких решений они могут анализировать электронную переписку сотрудников, выявлять слабые места в безопасности и получать доступ к конфиденциальным данным.
• Появление новых классов атак на имидж. Использование ИИ для создания поддельных фото и видео (дипфейков) становится все более доступным. Теперь негативную информацию об организации и ее сотрудниках злоумышленники могут распространять автоматически, при этом она оказывает влияние не только на репутацию, но и на капитализацию компании.

Особенности киберугроз на базе ИИ

Искусственный интеллект может работать круглосуточно и без перерывов, у него нет необходимости отвлекаться на личные дела, но самое главное — в отличие от человека ИИ действует без эмоций и моральных ограничений. Он просто выполняет заложенные в него алгоритмы.

ИИ повышает систематичность атак и позволяет корректировать их сценарии в реальном времени, адаптируя к ситуации. Это делает атаки более продуманными и комплексными. Например, первая атака может использоваться как маскировка для более сложных действий.

В то же время атаки с использованием ИИ требуют значительных вычислительных и энергозатратных ресурсов, что пока затрудняет их реализацию. Кроме того, сейчас они в основном сосредоточены на внешнем периметре. Лишь в редких случаях ИИ используется внутри системы, например, для сбора информации с помощью роботов.

Положительным моментом является и то, что атаки на основе ИИ пока имеют определенную повторяемость и шаблонность. Это дает возможность предсказать развитие атаки. Алгоритмы ИИ действуют согласно заранее заданному сценарию и только в случае изменения ситуации начинают адаптироваться и обучаться. У ИИ нет человеческой интуиции, которая подсказывала бы, когда нужно изменить порядок действий.

Выстраивание системы защиты от угроз ИИ всегда начинается с аудита. Необходимо понять, что именно нужно защищать, от чего и как.

Можно выделить пять ключевых задач, которую решаются в рамках аудита. Первая задача — обследование ИТ- и ИБ-инфраструктуры, включая оценку влияния ИИ как извне, так и изнутри. Для этого проводится исследование защищаемой инфраструктуры, которое включает в себя тестирование на проникновение и интервью с разработчиками и инженерами, отвечающими за безопасность системы. Оно позволяет выявить уязвимости и оценить реальную защищенность системы. Вторая задача — определение критичных информационных активов и обеспечиваемых ими критичных процессов. Третья — анализ этих активов и процессов на наличие актуальных угроз, связанных с применением ИИ. Четвертая — оценка рисков ИБ, связанных с использованием ИИ. Пятая — составление отчета с перечнем угроз и рисков для инфраструктуры и процессов компании.

Защита от типовых атак с применением ИИ

Типовые атаки основаны на известных уязвимостях, но теперь для их реализации используется ИИ.

Из-за доступности технологий количество и качество типовых атак растет. Раньше при создании вредоносных программ много времени уходило на разработку и тестирование. С появлением больших языковых моделей этот процесс стал проще, а сами разработки — более сложными. Например, такие программы могут скрывать свою сигнатуру от антивирусов. Другой пример — ПО через фишинг проникает в корпоративную систему, проводит ее обследование и за счет этого начинает обходить средства защиты.

Благодаря ИИ злоумышленники могут использовать в своих целях любую уязвимость, поэтому нужно максимально защищать информационные системы компании, как с технической, так и с организационной стороны.

Защита ML, LLM, баз данных

Использование технологий машинного обучения (ML), языковых моделей (LLM) и баз данных может повышать уязвимость корпоративных систем. Одна из главных проблем заключается в трудностях аудита безопасности таких технологий, т.к. они функционируют по принципу «черного ящика»: как модели принимают решения, понять сложно. Помимо этого, уязвимость в одном компоненте (например, отравление данных в базе) может распространиться на другие компоненты.

Злоумышленники могут совершать атаки:

• на базы данных (перехват данных, SQL-инъекции, несанкционированный доступ, атаки с требованием выкупа и т. д.);
• на пайплайн (отравление данных, внедрение предвзятости, кража модели, состязательные атаки, враждебные входные данные и т. д.);
• на языковые модели (внедрение вредоносного контекста, извлечение обучающих данных, систематическая предвзятость данных, токсичные комментарии, атаки на цепочку поставок ИИ и т. д.).

Согласно исследованиям, достаточно контролировать 0,01% набора данных, чтобы «отравить» модель и заставить ее принимать неверные решения.

Атаки на ML-модели могут привести к значительным финансовым, репутационным, операционным и юридическим ущербам. Например, из-за искажения прогнозов или нарушения законодательства о защите персональных данных.

Потенциальные риски MLOps и их компенсация методологией MLSecOps

Методология MLOps объединяет практики машинного обучения и разработки программного обеспечения (DevOps) для автоматизации и упрощения жизненного цикла моделей. Однако с этим подходом связаны и определенные риски: снижение точности моделей из-за изменений данных (data drift и concept drift), атаки на CI/CD-конвейеры, уязвимости API-интерфейсов, отсутствие полного мониторинга и др.

Поэтому следующим логичным шагом становится практика MLSecOps — интеграция в MLOps мер информационной безопасности по аналогии с DevSecOps. Основное внимание при этом уделяется предотвращению атак на данные, модели и их окружение, а также соответствию нормативным требованиям. Например, при разработке модели может использоваться обфускация — изменение кода или структуры модели таким образом, чтобы сохранить исходную функциональность, но сделать код или алгоритмы сложнее для понимания и анализа. Также может применяться маскирование данных.

Для защиты ML, LLM и баз данных команда департамента кибербезопасности IBS предлагает следующие меры:

• создание внутренней методологии безопасной работы с ML-моделями,
• мониторинг изменений моделей и их проверка на безопасность,
• защита данных, используемых для обучения моделей,
• внедрение автоматизированных проверок безопасности в MLOps-конвейер,
• интеграция подходов и практик MLSecOps,
• автоматизация мониторинга моделей с использованием MLSecOps-фреймворков,
• регулярная проверка данных на аномалии, инъекции или некорректные значения,
• соблюдение требований законодательства по защите данных.

Защита от дипфейков

Дипфейки (deepfake) — это созданные при помощи ИИ правдоподобные поддельные изображения, видео или звук.

Противодействие им также начинается с аудита и выявления возможных каналов проникновения в компанию. По результатам этого анализа разрабатываются инструкции и внедряются автоматизированные решения для защиты внутреннего контура. Например, встроенные инструменты для выявления дипфейков. Не менее важным является регулярное обучение сотрудников, чтобы они знали, как действовать при получении подозрительных сообщений. Кроме того, необходимо постоянно проводить мониторинг информационного пространства и оперативно адаптировать защитные механизмы в ответ на изменения в технологиях.

Защита от угроз искусственного интеллекта в корпоративном секторе требует комплексного подхода, а не отдельных мер, связанных исключительно с ИИ-технологиями. Не стоит ждать, пока появятся специализированные средства защиты и начнется их массовое внедрение. Существующие инструменты и подходы позволяют вполне эффективно решать задачи кибербезопасности.