27 Апреля 2026 15:18 | 27 Апр 2026 15:18 | |

Поделиться

Разумная безопасность: границы применимости ИИ в ИБ, и где без него не обойтись

Ожидания и реальность

Главные задачи ИИ — снять нагрузку с человека и сократить путь при решении задач. В идеале пользователь ожидает получить универсального цифрового ассистента, который понимает любой запрос и сам решает, какие инструменты следует использовать для его выполнения. В информационной безопасности цена ошибки критична, поэтому на вопрос смотрят чуть прозаичней и, по крайней мере, не готовы доверять машине принятие решений.

Давайте разберемся, где ИИ полезнее всего? Там, где требуется:

• Проанализировать данные — выявить тенденции и аномалии, особенно в больших массивах данных.
• Автоматизировать трудозатратные/рутинные процессы — например, работу с нетекстовыми форматами: аудио, картинками, видео, а также с текстом на иностранных языках.
• Упростить принятие решений — например, собрать в кратком представлении все нужные детали и выводы по инциденту.

Главное — применять его там, где не справляются классические алгоритмы. Например, проще и дешевле искать сливы паспортных данных регулярными выражениями, а не ИИ, который затребует в разы больше вычислительных мощностей и будет «думать» дольше. А вот обнаружить инцидент на ранней стадии — скажем, завуалированные договоренности на пробив тех же паспортных данных — будет эффективнее с ИИ. Мы убедились в этом, когда интегрировали ИИ-модуль в нашу систему предотвращения утечек «СёрчИнформ КИБ». Расскажу, как это работает и какие задачи решает.

Найти то, что скрыто

Часто признаки нарушений могут крыться в диалоге, который по формальным критериям очень похож на легитимный. Сравните:

• «Отправляем заказ после предоплаты 30% по выставленному счету».
• «Отправлю инфу по нужному тебе человечку, но сначала аванс на счет».

С точки зрения классических методов анализа текста — например, по словарям и синонимам, семантике ключевых слов — эти сообщения практически одинаковые. Но человеку интуитивно понятно, что в первом случае это нормальная рабочая переписка, а во втором — как минимум подозрительная. Чтобы чувствовать эту разницу, алгоритмам необходимо понимание контекста ситуации. Такой анализ может быть выполнен только с помощью ИИ, потому что он учитывает особенности бизнес-процессов и тональность общения.

Контекст важно учитывать и при поиске других нарушений внутренней безопасности: мошеннических схем, откатов, саботажа и др. Ведь когда слово «премия» звучит в письме от HR/руководителя — это норма, но в переписке между закупщиком и поставщиком — высокий риск.

В обычной политике безопасности пришлось бы настраивать массу исключений, чтобы отделить одни письма от других, учесть максимум синонимов, в том числе сленговых, к ключевым словам, и так далее. Получится либо тяжеловесная, слишком узкая политика с множеством условий, которая может пропустить инцидент — либо слишком широкая, которая допустит большое количество ложноположительных срабатываний. Больше того: обычная политика будет анализировать каждое письмо в цепочке по отдельности. Стоит нарушителям начать «дробить» данные — например, отправлять номер кошелька для перевода «премии» по паре цифр в сообщении, — полную картину политика просто не соберет.

ИИ оперирует не набором конкретных «ключевиков», а целыми смысловыми категориями, и исследует всю переписку, а не отдельные реплики участников. Затем оценивает, насколько ситуация похожа на инцидент — с высокой точностью, если предварительно дать ему примеры.

Мы встроили в КИБ модуль «ИИ Ассистент КиберЗащиты», заранее натренированный на распознавание инцидентов внутренней безопасности. Работали совместно с разработчиком ИИ-модели — компанией «Системные технологии». Для обучения модели мы предоставили «фактуру», опираясь на опыт и запросы клиентов из разных отраслей. Далее ее систематизировали и создали промпты, по которым модель наиболее точно обнаруживает инциденты. В результате получились готовые ИИ-политики безопасности.

Сейчас модуль «ИИ Ассистент КиберЗащиты» умеет обнаруживать около десятка видов внутренних нарушений:

• Раскрытие тайны: например, попытки получить доступ к «закрытым» данным через коллег, кражу интеллектуальной собственности, пробивы данных за вознаграждение.
• Корпоративное мошенничество: откаты, просьбы переводов «на карту» или в криптовалюте за сомнительные услуги, работу «налево», попытки скрыть переписку.
• Группы риска среди пользователей: опасные зависимости и нарушения закона.
• Проблемы в коллективе: конфликты и оскорбления, сплетни.

Это только начало пути. В планах — расширить число ИИ-политик в КИБ, чтобы обнаруживать больше типов нарушений. ИИ-ассистент фокусируется на распознавании неявных инцидентов: завуалированных обсуждений, попыток замаскировать данные или скрыть проблемы.

Перейти к сути

Расследование инцидента состоит из множества этапов и занимает немало времени. Собирая «фактуру», ИБ-аналитики вынуждены читать «километровые» переписки — если компания крупная, только на разбор инцидентов приходится нанимать целый штат. При этом в отрасли — дефицит кадров. А нужно найти
не просто специалиста, а человека, которому можно доверить корпоративные секреты.

ИИ-ассистент в КИБ решает эту проблему: он собирает краткую выжимку из цепочек писем, чатов и вложенных документов. ИБ-специалист получит готовую сводку о сути обсуждения, даже если подробности разбросаны в разных сообщениях в долгом диалоге. Резюме переписки — готовая база для докладной записки по инциденту, это экономит время и силы. Больше того: модуль сразу «подсвечивает» подозрительные детали переписки. То есть аргументирует, по каким признакам выявил нарушение. Это страхует от галлюцинаций ИИ и помогает ИБ-специалисту проверить результаты, если инцидент неоднозначный. Главная экспертиза — у человека, ИИ помогает взвешенно принять решение по дальнейшему реагированию.

Система предоставит понятное резюме, даже если исследуемая переписка велась на иностранном языке. Это особенно актуально для компаний, у которых есть филиалы за рубежом или иностранные партнеры, клиенты и контрагенты — ИБ-специалист не пропустит инцидент, потому что не понял, о чем общаются сотрудники. ИИ-ассистент переводит переписки и документы со 120 разных языков на русский, английский, испанский, французский, немецкий, арабский и турецкий, этот список расширяется. Автоперевод происходит в реальном времени и без подключения ко внешним сервисам, что также соответствует задачам безопасности.

Вывод

Мы вывели для себя 4 главных принципа при внедрении ИИ в системы безопасности:

• Не применять ИИ там, где он не нужен. Есть масса задач, где обычные алгоритмы справляются быстрее, дешевле и надежнее.
• Не доверять ИИ принятие решений. Главный эксперт — это ИБ-специалист, у него должна быть возможность перепроверить выводы ИИ, прежде чем действовать.
• Затачивать ИИ «под задачу». Заранее обученная ИИ-модель, погруженная в специфику ИБ, справляется точнее, чем открытая «всезнающая» — и лучше, когда обучением занимаются ИБ-разработчики.
• Разворачивать ИИ локально. Иначе это противоречило бы самой идее безопасности.

При соблюдении всех условий получается достичь того самого ожидаемого эффекта, когда ИИ выводит возможности системы на новый уровень. В результате заказчик получает ИИ в системе защиты от утечек как реально работающий инструмент, а не модную дорогую игрушку.

Новый модуль в «СёрчИнформ КИБ» уже в релизе, его можно бесплатно испытать в течение месяца. Оставьте заявку по ссылке. Пробуйте и делитесь обратной связью — мы открыты предложениям, какие еще ИИ-политики реализовать и как еще улучшить их работу.

Поделиться

Короткая ссылка