8,5% подсказок ИИ сливают ключи доступа и финансовые данные компаний

Татьяна Никитина 20 Января 2025 - 17:49

Малый и средний бизнес

Корпорации

Утечки информации

Случайные утечки

Случайное разглашение данных

...

8,5% подсказок ИИ сливают ключи доступа и финансовые данные компаний

Проведенное в Harmonic Security исследование показало, что при вводе подсказок корпоративные пользователи ИИ-сервисов могут случайно слить конфиденциальные данные, в том числе финансовую информацию, ключи доступа и код проприетарного программного обеспечения.

В IV квартале 2024 года эксперты тщательно мониторили использование бизнесом Microsoft Copilot, ChatGPT, Google Gemini, Claude от Anthropic и Perplexity. За этот период были изучены тысячи посказок-стимулов, которыми сотрудники предприятий пользовались в ходе работы с инструментами на основе генеративного ИИ.

В подавляющем большинстве случаев юзеры решали простые задачи: резюмировали текст, редактировали блог-записи, оформляли документацию по кодам. Тем не менее 8,5% зафиксированных подсказок исследователи идентифицировали как угрозу утечки важных данных.

В 45,8% случаев такой ввод содержал клиентские данные — сведения об оплате счетов, идентификаторы для доступа к сервисам. Более четверти потенциально опасных подсказок (26,8%) раскрывали информацию о сотрудниках, в том числе расходы по зарплатам, послужные списки, персональные данные.

Умному бизнес-помощнику также могут неумышленно слить юридическую и финансовую информацию (процесс продаж, портфель инвестиций, сделки M&A), связанные с безопасностью сведения (результаты пентестов, конфигурация сети, отчеты об инцидентах), критические важные коды (ключи доступа, исходники проприетарного ПО).

«В большинстве случаев организации справляются с подобным сливом, блокируя запросы либо предупреждая пользователей о потенциальной опасности совершаемых действий, — комментирует гендиректор Harmonic Аластер Патерсон (Alastair Paterson). — Однако не все пока располагают такими возможностями. Беспокоит также большое количество бесплатных подписок».

Бесплатные ИИ-инструменты обычно хуже защищены, чем корпоративные версии. К тому же их пользовательское соглашение обычно предусматривает использование пользовательского ввода для тренинга, и риск утечки конфиденциальных данных для бизнеса в этом случае очевиден.

Согласно результатам исследования, сотрудники предприятий отдают предпочтение бесплатным подпискам на ИИ-услуги.

Эксперты не советуют прибегать к блокировкам, чтобы снизить риски. По их мнению, лучше управлять использованием ИИ, придерживаясь следующих рекомендаций:

мониторинг ввода данных в реальном времени;
использование платного доступа либо сервисов, не обучающих свои модели на пользовательском вводе;
визуальный контроль данных, которыми юзеры делятся с ИИ-инструментами, со стороны ИБ-служб;
ранжирование конфиденциальных данных по степени ущерба в случае потери;
создание правил использования ИИ с дифференциацией департаментов и групп;
обучение персонала ответственному использованию ИИ, с объяснением рисков.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Июля 2025 - 16:24

Брутфорс Целевые атаки Таргетированные атаки Государство Парольная защита (пароли)

Почти половина веб-атак на госорганизации — это попытки подбора паролей

С начала 2025 года самой распространённой веб-угрозой для госсектора стал брутфорс — атаки на учётные записи путём подбора паролей. По данным компании «Вебмониторэкс», такие попытки взлома составили почти 50% всех веб-атак на госструктуры за первые шесть месяцев года.

Госсектор — единственная отрасль, где подобные атаки стабильно занимают первое место.

Причём речь идёт в основном не о простом переборе паролей из словаря, а о credential stuffing — когда злоумышленники используют уже скомпрометированные логины и пароли, утекшие с других сайтов и сервисов. Эти данные загружаются в специальные программы и массово прогоняются через форму авторизации. Такие атаки часто идут с тысяч разных IP-адресов.

Всего за первое полугодие 2025 года было зафиксировано почти 600 миллионов веб-атак на российские организации. В среднем на одну госструктуру приходилось около миллиона атак.

В исследовании проанализированы данные более 170 крупных организаций из разных отраслей — от госсектора и ИТ до ритейла, финансов, здравоохранения и промышленности.

Как поясняет генеральный директор компании Анастасия Афонина, у большинства граждан есть аккаунты на госпорталах, но лишь немногие всерьёз задумываются о безопасности. Многие используют одни и те же пароли на разных сайтах и годами не меняют их. Учитывая частые утечки данных в последние годы, это серьёзно повышает риски. Взлом аккаунта может привести не только к краже личных данных, но и к более серьёзным последствиям — например, оформлению кредита или проведению сделки от имени пользователя.

Кроме того, целью атак могут быть и служебные учётные записи — в этом случае под угрозой оказывается уже не личная, а конфиденциальная или даже секретная информация. А если удастся получить доступ к аккаунту администратора, последствия могут быть критическими.

Чтобы защититься от таких атак, эксперты советуют:

включать двухфакторную аутентификацию;
ограничивать число попыток входа;
использовать сложные пароли и регулярно их менять;
не хранить рабочие пароли на личных устройствах;
использовать защитные решения на уровне веб-приложений, способные отфильтровывать подозрительный трафик и массовые попытки подбора пароля.

Обычным пользователям также рекомендуют пользоваться менеджерами паролей — так проще хранить и использовать сложные комбинации, не запоминая их.