Облачные ИИ-сервисы: ChatGPT, Claude, Gemini и другие, уже стали инструментами повседневной работы. Вместе с выгодами они приносят риски утечки коммерческой тайны и персональных данных. Ниже — сжатая стратегия, как использовать ИИ безопасно и соответствовать требованиям регулирования.

Реальные инциденты

• Samsung (2023) Разработчики загрузили фрагменты кода и записи совещаний во внешний чат-бот. Данные попали в тренировочные наборы и всплывали в ответах другим пользователям.
• Copilot/LLM-подсказки В подсказках появлялись ссылки и фрагменты из закрытых корпоративных систем — индикатор утечки обучающих данных.
• Azure OpenAI (2025) ФСТЭК предупредила о критической уязвимости в Microsoft Azure OpenAI Service, которая может позволить злоумышленникам перехватить управление сервисом (источник).

Пошаговая стратегия защиты

1. Классифицируйте и минимизируйте данные

Обезличивайте данные: используйте псевдонимы вместо ФИО, агрегируйте числовые данные, удаляйте уникальные идентификаторы и маскируйте конфиденциальные поля.

Нельзя отправлять в ChatGPT и иные публичные LLM:

• Ключи, пароли, токены доступа
• Персональные данные клиентов/сотрудников без обезличивания
• Финансовую и коммерчески чувствительную информацию
• Исходный код, закрытые алгоритмы
• Внутренние документы и переписку

2. Выбирайте безопасные варианты ИИ

• Корпоративные версии ChatGPT Enterprise, Claude Enterprise — с контрактными гарантиями приватности.
• Отечественные решения GigaChat, YandexGPT — соответствие ФЗ‑152 и локализация данных.
• Локальные/оn‑prem LLM LLaMA, Mistral, Gemma — максимальный контроль над данными.

3. Технические меры

• HTTPS/TLS для всех интеграций,
  шифрование (AES‑256)
• Технология единого входа (SSO)/многофакторная аутентификация (MFA) и принцип Zero Trust
• Предотвращение утечек: мониторинг трафика, контроль содержимого, блокировка отправки чувствительных данных

4. Модерация и контент‑фильтры

• Фильтрация ответов на предмет разглашения
• Проверка соблюдения авторских прав
• Ограничение объема и детализации выдачи

5. Мониторинг и аудит

• Журналирование всех обращений к ИИ‑сервисам
• Брокеры безопасного доступа в облако (CASB) и SIEM для контроля доступа и инцидентов
• Периодический аудит, тесты на утечки

Политика и обучение

• Реестр разрешенных/запрещенных ИИ‑сервисов
• Правила обработки типов данных и ответственность за нарушения
• Регулярные тренинги по кибербезопасности и использованию генеративных моделей

Правовые требования в РФ (2025)

• ФЗ‑152 «О персональных данных», локализация данных в РФ
• Новые правила обезличивания ПДн с 1 сентября 2025 — обязательная деперсонализация перед обработкой ИИ

Практические кейсы

• Аналитика обращений клиентов Обезличивание диалогов, контроль доступа, рост качества сервиса без утечек.
• Импортозамещение GigaChat/YandexGPT или локальные LLM для соответствия требованиям и сохранения контроля.

Итоги: 5 принципов безопасности

1. Корпоративные версии или изолированные (локальные) ИИ‑решения
2. Шифрование и Zero Trust
3. Промежуточные слои маскирование, DLP
4. Контент‑фильтры и проверки
5. Культура и обучение сотрудников

Нужна помощь с безопасной интеграцией ИИ? Напишите нам: hello@codesmirnov.ru

Поможем выбрать архитектуру, настроить локальные модели и соблюсти требования регуляторов.