Какие вопросы задать поставщикам ИИ перед подписанием договора: чек-лист для управляющих партнеров

В этом интервью для Help Net Security Кумар Рави, главный специалист по безопасности и устойчивости в TMF Group, утверждает, что избыточные права доступа и слабый контроль рабочих процессов представляют большую опасность, чем атаки вымогателей, именно потому, что они накапливаются незаметно и остаются без внимания.

Он затрагивает противоречие между юридической привилегированностью информации и необходимостью своевременного обмена данными об угрозах, проблему управления рисками от поставщиков четвёртого уровня и вопросы, которые компании должны задать перед внедрением инструментов на основе искусственного интеллекта. Его главный тезис: вопросы безопасности должны решаться на уровне совета директоров, оцениваться последовательно и подкрепляться независимыми проверками.

Два наиболее недооценённых вектора угроз являются постепенными и малозаметными. Это избыточные права доступа, когда пользователи имеют больше разрешений, чем требуется для их ролей, и слабый контроль в повседневных рабочих процессах.

Это медленно и незаметно ведёт к потере конфиденциальности и защищённости данных. Не требуется единовременного «громкого» утечки данных — эти мелкие ежедневные нарушения в доступе и правах ещё опаснее. Их можно обнаружить в доступе к приложениям, общих учётных записях служб в системах документооборота и т.д.

Это часто упускается из виду, поскольку редко превращается в немедленный кризис. Вместо этого это воспринимается как внешне безобидное нарушение внутренних правил.

Однако эти незначительные ошибки контроля накапливаются в множестве процессов, команд, систем и приложений. В совокупности они могут создать возможность для атаки и горизонтального перемещения как для внутренних, так и для внешних угроз.

Это особенно опасно, если управление не налажено. Если никто не отвечает за надзор, у этого нет реального владельца. Таким образом, ключом к предотвращению рисков и готовности к их смягчению является централизация управления данными и фокус на управлении идентификацией и доступом по умолчанию.

Юридическая привилегия и конфиденциальность необходимы, но проблема в том, что под давлением компании всё чаще склонны считать все данные привилегированными. Это может быть контрпродуктивно, так как замедляет и ставит под угрозу своевременный обмен информацией.

Это серьёзная проблема, поскольку регуляторы и коллеги требуют быстрых, конкретных и практических сведений.

Организациям необходимо найти равновесие между привилегиями и защитой конфиденциальности, а также выработать стратегию обмена информацией об угрозах. Грамотный подход способствует повышению устойчивости всей экосистемы, не подрывая правовую культуру.

Поставщиков не следует рассматривать как внешних третьих лиц. Они должны стать частью интегрированной цепочки поставок компании, со всеми вытекающими обязанностями, ответственностью и доверием.

На практике ответственность компании заключается в понимании сквозной цепочки поставок и роли каждого вендора в ней. Это подразумевает, например, ведение актуального реестра всех партнеров, работающих с конфиденциальными данными, их классификацию и даже требование к поставщикам раскрывать своих субподрядчиков.

При заключении контракта необходимо устанавливать обязательства по безопасности, сроки уведомления об инцидентах и право знать, кто и на каких условиях получает доступ к данным. Кроме того, должная осмотрительность не должна ограничиваться разовой анкетой; её необходимо оценивать периодически. Важно установить минимальные стандарты и обеспечить их соблюдение вашими поставщиками.

Работу можно делегировать, но нельзя переложить ответственность за защиту ваших данных и данных ваших клиентов. Поэтому необходимо приложить все усилия для соблюдения ваших стандартов.

Внедрение инструментов на основе ИИ следует рассматривать как предоставление новым сотрудникам доступа к наиболее чувствительной информации компании. Это должно происходить с выдачей конкретных инструкций, без каких-либо допущений.

Необходимо задавать конкретные вопросы: Какие данные принимает инструмент, где он базируется и законодательство какой страны к нему применяется? Используется ли информация для обучения моделей в интересах других клиентов или строго ограничена средой этой компании? Каковы правила хранения, процедуры запроса на удаление и какие журналы аудита ведётся?

Помимо этого, требуются независимые оценки для контроля этих аспектов. Это могут быть отчёты аудита, сертификаты, резюме пентестов, записи об инцидентах…

При заключении контрактов компаниям также необходимо предельно чётко определять ответственность. Следует ясно обозначать, какие обязательства они берут на себя в отношении мер безопасности, сроков уведомления об утечках и ответственности, если сбой приведёт к финансовому, регуляторному или репутационному ущербу.

Если бы я мог внести структурные изменения, я бы сделал безопасность основным бизнес-контролем, находящимся в ведении совета директоров, измеряемым последовательно и подтверждаемым независимым аудитом. Цель — движение к предсказуемой устойчивости. Это означает меньше точек отказа, более быстрое сдерживание при возникновении проблем и большую прозрачность.

Скачать: Обновление эталонных показателей CIS за март 2026 года