4 статьи
“Скрытая революция происходит прямо у вас в офисе, и руководители подразделений об этом не знают”
Исследования 2024–2025 годов в России показывают: несанкционированное использование ИИ - это уже массовая практика и риск для информационной безопасности компании.
Рынок инструментов:
Пример Samsung: инженеры загрузили фрагменты конфиденциальных исходников в чат-бот, и часть ИС могла попасть в обучающую выборку модели и стать потенциально доступной через похожие запросы.
По исследованию GetPayAll в России:
| Тип риска | Описание | Финансовое воздействие (РФ) | Регуляторные последствия |
|---|---|---|---|
| 💸 Утечки данных | Корпоративная информация попадает в обучающие выборки AI-сервисов и становится потенциально доступной другим пользователям | • Средний ущерб: 11,5 млн ₽ • Максимальный: до 140 млн ₽ • Структура: сорванные сделки (5 млн ₽), аудит ИБ (5 млн ₽), обучение (5 млн ₽) | Уведомление Роскомнадзора, расследование |
| ⚖️ Нарушение 152-ФЗ | Обработка персональных данных без согласия субъектов или нарушение принципов обработки | Штрафы с 30.05.2025: • Базовые: до 300 тыс. ₽ (компании) • Без согласия: до 700 тыс. ₽ • Спец. категории: 10-15 млн ₽ • Биометрия: 15-20 млн ₽ | Статьи КоАП РФ 13.11 (ч.1, ч.2, ч.15, ч.17) |
| 🧨 Масштаб инцидентов | В 2024 году: 135 случаев утечек, 710+ млн записей о гражданах РФ | 17% всех скомпрометированных аккаунтов в мире приходится на Россию | Массовые проверки Роскомнадзора |
| 🏭 Операционные риски | • Галлюцинации ИИ • Решения на основе неточных данных • Потеря контроля над процессами | Косвенные потери от неверных решений, репутационные издержки | Нарушение корпоративного управления |
🔐 Особая опасность: ~30% внешних AI-сервисов используют пользовательские данные для обучения моделей.
| Метод обнаружения | Инструменты/подходы | Что отслеживать | Эффективность |
|---|---|---|---|
| 🛡️ Сетевой мониторинг | • NGFW/шлюзы • Анализ DNS-запросов • Deep Packet Inspection | • Трафик к ChatGPT, Claude, Gemini • Подозрительные домены AI-сервисов • Загрузка больших объемов данных | Высокая для корпоративных сетей |
| 📡 DLP-системы | • Symantec DLP • Microsoft Purview • Zecurion DLP | • Передача ПДн в веб-формы • Копирование конфиденциальных документов • API-вызовы к внешним ИИ | Высокая для структурированных данных |
| 🔄 OAuth/SAML контроль | • Azure AD • Okta • Системы IDM | • «Sign in with Google/Microsoft/Яндекс» • Неавторизованные приложения • Подозрительные разрешения | Средняя, требует настройки |
| 🧠 UEBA (поведенческая аналитика) | • Splunk UEBA • Microsoft Sentinel • Exabeam | • Необычная активность пользователей • Аномальные паттерны доступа к данным • Пиковые нагрузки в нерабочее время | Средняя, много ложных срабатываний |
| 🏢 Организационный аудит | • Опросы сотрудников • Интервью с командами • Анализ процессов | • Самостоятельное признание использования • Неформальные каналы передачи данных • «Серые зоны» в процедурах | Низкая, зависит от честности |
| 📊 Анализ логов доступа | • SIEM-системы • Корреляционные движки • Аудиторские инструменты | • Корреляция прав доступа с активностью • Скачивание больших массивов данных • Необычные временные паттерны | Средняя, требует экспертизы |
| Этап | Действие | Ответственный | Периодичность |
|---|---|---|---|
| 1. Baseline | Инвентаризация текущих AI-инструментов в компании | IT + Информационная безопасность | Однократно |
| 2. Мониторинг | Настройка технических средств контроля | Информационная безопасность | Постоянно |
| 3. Awareness | Создание каналов «безопасного признания» | HR + Информационная безопасность | Постоянно |
| 4. Аудит | Регулярные проверки подразделений | Внутренний аудит | Ежеквартально |
| 5. Анализ | Корреляция данных из разных источников | Аналитики данных | Еженедельно |
Директора по информационным технологиям, инфраструктуре, безопасности совместно с юридической службой, HR и бизнес-заказчиками.
Теневой AI в российских компаниях - это не просто головная боль для бизнеса, а серьезный сигнал о том, что ваши сотрудники уже живут в будущем, а корпоративные процессы застряли в прошлом. Вместо бесконечной борьбы с ветряными мельницами в виде запретов на ChatGPT и DeepSeek, умные руководители понимают: людям нужны эти инструменты, потому что они реально работают. И если компания не предоставит безопасную альтернативу, сотрудники найдут свою, со всеми вытекающими рисками для данных и репутации.
Время играть в страуса прошло. Российский рынок уже показал, что 67% людей регулярно используют ИИ, причем пятая часть - каждый день. При этом штрафы по 152-ФЗ выросли до 20 миллионов рублей, а средний ущерб от утечки данных составляет 11,5 млн рублей. Математика простая: либо вы управляете процессом, либо процесс управляет вами. И во втором случае цена ошибки может оказаться критической для бизнеса.
Успешные компании уже поняли формулу: прозрачная политика + технический контроль + обучение команды = конкурентное преимущество без потери безопасности. Не нужно изобретать велосипед, а возьмите готовые решения от экспертов среди партнеров Neweracompass.ru, адаптируйте под свои процессы и получите результат. Ваши сотрудники будут благодарны за легальные инструменты, руководители - за контролируемые процессы, а бизнес — за скорость и качество решений. Win-win-win, как любят говорить в стартапах. Только теперь это про корпоративный мир.
Хотите сократить масштаб теневого AI в вашей организации? Свяжитесь с экспертами Neweracompass для проведения аудита AI-готовности и разработки стратегии управления.
