«Теневой AI» в корпорациях: как 57% россиян используют ChatGPT втайне от руководства
Михаил Никишин
4 статьи
“Скрытая революция происходит прямо у вас в офисе, и руководители подразделений об этом не знают”
📊 Масштаб проблемы: российские реалии
Исследования 2024–2025 годов в России показывают: несанкционированное использование ИИ - это уже массовая практика и риск для информационной безопасности компании.
- 57% россиян хотя бы раз использовали ChatGPT или другие нейросети для общения в рабочих чатах (исследование «Контур.Толк»)
- 67% россиян регулярно используют ChatGPT, 20% - ежедневно (исследование GetPayAll)
- 24% россиян активно пользуются нейросетями именно в работе (опрос Level Group)
- 48% российских организаций формально заявляют, что «не нуждаются в ИИ», - что указывает на разрыв между реальным использованием и официальной политикой (исследование НИУ ВШЭ)
Рынок инструментов:
- Доля ChatGPT на рынке AI-чат-ботов в РФ - 46,4%; Perplexity - 34,61%; DeepSeek - 17,94% (Statcounter)
- Более 20% крупных российских компаний уже внедрили генеративный ИИ; большинство комбинируют решения OpenAI и YandexGPT (отраслевые отчеты)
🧪 Анатомия теневого AI: что происходит внутри компании
Типовые сценарии (кейсы из практики)
- Маркетинг: менеджер копирует квартальные планы в ChatGPT для переписывания под анонс — данные уходят на внешние сервера.
- Юристы: анализ M&A-документов с помощью ИИ — риск раскрытия стратегии и сделок.
- Разработчики: вставляют проприетарный код в ChatGPT для отладки.
Пример Samsung: инженеры загрузили фрагменты конфиденциальных исходников в чат-бот, и часть ИС могла попасть в обучающую выборку модели и стать потенциально доступной через похожие запросы.
- HR: обработка персональных данных в внешних ИИ-сервисах - потенциальное нарушение 152-ФЗ.
Задачи, ради которых сотрудники идут в «тень»
По исследованию GetPayAll в России:
- Ответы на общие вопросы - 42%
- Обучение и помощь с заданиями - 35%
- Генерация текстов - 29%
- Программирование - 25%
- Планирование - 18%
⚠️ Риски: почему это важнее, чем «нарушение правил»
| Тип риска | Описание | Финансовое воздействие (РФ) | Регуляторные последствия |
|---|---|---|---|
| 💸 Утечки данных | Корпоративная информация попадает в обучающие выборки AI-сервисов и становится потенциально доступной другим пользователям | • Средний ущерб: 11,5 млн ₽ • Максимальный: до 140 млн ₽ • Структура: сорванные сделки (5 млн ₽), аудит ИБ (5 млн ₽), обучение (5 млн ₽) | Уведомление Роскомнадзора, расследование |
| ⚖️ Нарушение 152-ФЗ | Обработка персональных данных без согласия субъектов или нарушение принципов обработки | Штрафы с 30.05.2025: • Базовые: до 300 тыс. ₽ (компании) • Без согласия: до 700 тыс. ₽ • Спец. категории: 10-15 млн ₽ • Биометрия: 15-20 млн ₽ | Статьи КоАП РФ 13.11 (ч.1, ч.2, ч.15, ч.17) |
| 🧨 Масштаб инцидентов | В 2024 году: 135 случаев утечек, 710+ млн записей о гражданах РФ | 17% всех скомпрометированных аккаунтов в мире приходится на Россию | Массовые проверки Роскомнадзора |
| 🏭 Операционные риски | • Галлюцинации ИИ • Решения на основе неточных данных • Потеря контроля над процессами | Косвенные потери от неверных решений, репутационные издержки | Нарушение корпоративного управления |
🔐 Особая опасность: ~30% внешних AI-сервисов используют пользовательские данные для обучения моделей.
🛰️ Как обнаружить «теневой AI»
| Метод обнаружения | Инструменты/подходы | Что отслеживать | Эффективность |
|---|---|---|---|
| 🛡️ Сетевой мониторинг | • NGFW/шлюзы • Анализ DNS-запросов • Deep Packet Inspection | • Трафик к ChatGPT, Claude, Gemini • Подозрительные домены AI-сервисов • Загрузка больших объемов данных | Высокая для корпоративных сетей |
| 📡 DLP-системы | • Symantec DLP • Microsoft Purview • Zecurion DLP | • Передача ПДн в веб-формы • Копирование конфиденциальных документов • API-вызовы к внешним ИИ | Высокая для структурированных данных |
| 🔄 OAuth/SAML контроль | • Azure AD • Okta • Системы IDM | • «Sign in with Google/Microsoft/Яндекс» • Неавторизованные приложения • Подозрительные разрешения | Средняя, требует настройки |
| 🧠 UEBA (поведенческая аналитика) | • Splunk UEBA • Microsoft Sentinel • Exabeam | • Необычная активность пользователей • Аномальные паттерны доступа к данным • Пиковые нагрузки в нерабочее время | Средняя, много ложных срабатываний |
| 🏢 Организационный аудит | • Опросы сотрудников • Интервью с командами • Анализ процессов | • Самостоятельное признание использования • Неформальные каналы передачи данных • «Серые зоны» в процедурах | Низкая, зависит от честности |
| 📊 Анализ логов доступа | • SIEM-системы • Корреляционные движки • Аудиторские инструменты | • Корреляция прав доступа с активностью • Скачивание больших массивов данных • Необычные временные паттерны | Средняя, требует экспертизы |
🎯 Комплексная стратегия обнаружения
| Этап | Действие | Ответственный | Периодичность |
|---|---|---|---|
| 1. Baseline | Инвентаризация текущих AI-инструментов в компании | IT + Информационная безопасность | Однократно |
| 2. Мониторинг | Настройка технических средств контроля | Информационная безопасность | Постоянно |
| 3. Awareness | Создание каналов «безопасного признания» | HR + Информационная безопасность | Постоянно |
| 4. Аудит | Регулярные проверки подразделений | Внутренний аудит | Ежеквартально |
| 5. Анализ | Корреляция данных из разных источников | Аналитики данных | Еженедельно |
🧩 Управление и политика: что внедрить в первую очередь
Политика AI
- Допустимые сценарии и запреты
- Человеческий надзор для решений с высоким влиянием
- Документация (карточки моделей, ограничения, журналы изменений)
Комитет по AI
Директора по информационным технологиям, инфраструктуре, безопасности совместно с юридической службой, HR и бизнес-заказчиками.
Технический контроль
- Блокировка несанкционированных AI-сервисов (черные/белые списки)
- DLP-политики на формы/апи внешних ИИ
- Корпоративные альтернативы (частные инстансы, on-prem, отечественные ИИ)
Обучение и культура
- Риски и кейсы
- Практикумы безопасного использования
- Геймификация и регулярное тестирование
🧭 Рекомендации по ролям
Для CEO/ТОП-менеджмента
- Признать факт существования теневого AI
- Создать межфункциональный AI-комитет
- Сбалансировать запреты с предоставлением безопасных альтернатив
Для команд информационной безопасности
- Провести аудит теневого AI и каналов утечек
- Внедрить DLP/UEBA/SIEM практики
- Подготовить playbook реагирования на инциденты AI
Для HR/Обучение
- Включить AI-политику в onboard/повторное обучение
- Создать механизмы обратной связи и «безопасного признания»
- Учитывать AI-компетенции при найме
✅ Вывод для бизнеса
Теневой AI в российских компаниях - это не просто головная боль для бизнеса, а серьезный сигнал о том, что ваши сотрудники уже живут в будущем, а корпоративные процессы застряли в прошлом. Вместо бесконечной борьбы с ветряными мельницами в виде запретов на ChatGPT и DeepSeek, умные руководители понимают: людям нужны эти инструменты, потому что они реально работают. И если компания не предоставит безопасную альтернативу, сотрудники найдут свою, со всеми вытекающими рисками для данных и репутации.
Время играть в страуса прошло. Российский рынок уже показал, что 67% людей регулярно используют ИИ, причем пятая часть - каждый день. При этом штрафы по 152-ФЗ выросли до 20 миллионов рублей, а средний ущерб от утечки данных составляет 11,5 млн рублей. Математика простая: либо вы управляете процессом, либо процесс управляет вами. И во втором случае цена ошибки может оказаться критической для бизнеса.
Успешные компании уже поняли формулу: прозрачная политика + технический контроль + обучение команды = конкурентное преимущество без потери безопасности. Не нужно изобретать велосипед, а возьмите готовые решения от экспертов среди партнеров Neweracompass.ru, адаптируйте под свои процессы и получите результат. Ваши сотрудники будут благодарны за легальные инструменты, руководители - за контролируемые процессы, а бизнес — за скорость и качество решений. Win-win-win, как любят говорить в стартапах. Только теперь это про корпоративный мир.
Что делать?
Хотите сократить масштаб теневого AI в вашей организации? Свяжитесь с экспертами Neweracompass для проведения аудита AI-готовности и разработки стратегии управления.