ФСТЭК официально включил угрозы ИИ в реестр. Как бизнесу и госсектору действовать уже сейчас? ⚠️ В декабре 2025 года ФСТЭК России совершила знаковый шаг: впервые в истории искусственный интеллект был выделен как отдельный источник угроз в официальном Банке данных угроз безопасности информации (БДУ). Фактически ФСТЭК определил новые «правила игры»: теперь государственные ведомства, субъекты КИИ и коммерческий сектор (в первую очередь — операторы ПДн) обязаны учитывать эти угрозы в своих системах защиты. ❓ Почему эта новость касается именно вас? 👉 Для руководителей и собственников: Это сигнал о новых правовых и репутационных рисках. Внедрение ИИ без учёта этих угроз может привести к нарушениям требований ФСТЭК (особенно в свете приказа №117, вступающего в силу 01.03.2026), финансовым потерям от инцидентов и утрате конкурентного преимущества. 👉 Для специалистов по ИБ и ИТ: БДУ — обязательный исходный документ для актуализации моделей угроз и проектирования систем защиты. Традиционные средства кибербезопасности «вслепую» неэффективны против специфичных ИИ-атак. Вы получаете перечень векторов для тестирования и закрытия уязвимостей. 👉 Для договорных отделов и юристов: Появляется основание для пересмотра соглашений с поставщиками ИИ-решений. В договоры необходимо включать требования, обязывающие вендора обеспечивать безопасность на всех этапах — от «обучения» модели до её эксплуатации, учитывая новый раздел БДУ. В фокусе регулятора: что именно признано угрозой? ФСТЭК структурировал угрозы по жизненному циклу ИИ-системы, выделив две ключевые зоны риска: 1. Угрозы на этапе разработки и обучения: ✅ «Отравление» обучающих данных и несанкционированная модификация моделей машинного обучения (включая параметры и LoRA-адаптеры). ✅ Использование уязвимостей в фреймворках, библиотеках и коде самой ИИ-модели. ✅ Компрометация среды разработки. 2. Угрозы на этапе эксплуатации: ✅ Целенаправленные атаки на интерфейсы (включая RAG): Специальные промпты для кражи конфиденциальных данных, нарушения логики работы или хищения самой ИИ-модели. ✅ Атаки на доступность: DoS-атаки, направленные на исчерпание квот запросов (токенов) и вывод системы из строя. ✅ Манипуляции с конфигурацией: Изменение системных промптов и параметров ИИ-агентов для дестабилизации работы. 📌 Практические последствия и перспективы 🛡 Конкурентное преимущество: Организации, которые первыми актуализируют свои процессы моделирования угроз и защиты в соответствии с новым разделом БДУ, получат преимущество на рынке и снизят риски. Для поставщиков услуг это также повод пересмотреть договоры с пользователями. 🛡 Подготовка к новому стандарту: Как отмечал первый замдиректора ФСТЭК Виталий Лютиков, этот перечень ляжет в основу готовящегося отраслевого стандарта по безопасной разработке ИИ-систем, который дополнит требования приказа №117 конкретными мерами защиты. 🛡 Ответ на реальную угрозу: Статистика (например, от SlashNext) показывает, что после появления ChatGPT-4 количество фишинговых атак в мире выросло на 1265% за счёт генерации писем ИИ. Новый раздел БДУ — это формализованный ответ регулятора на технологический вызов. Конкретные шаги для вашей организации в ближайшее время: 🔒 Инвентаризация и аудит: Выявите все используемые или внедряемые системы с компонентами ИИ (чат-боты, аналитические платформы, системы поддержки решений). 🔒 Оценка разрыва: Проверьте, покрывают ли ваши текущие меры защиты векторы атак из нового раздела БДУ. Особое внимание — целям аутсорсинга ИИ-разработки. 🔒 Актуализация документов: Внесите ИИ-риски в модель угроз, политики и регламенты информационной безопасности. 🔒 Работа с поставщиками: Сформулируйте и включите в договоры с вендорами ИИ требования по соответствию их процессов разработки и продукта новому разделу БДУ ФСТЭК. Внедрение ИИ должно быть драйвером роста, а не источником угроз. Начните адаптацию сейчас, чтобы завтра не столкнуться с необходимостью срочных и затратных изменений. #ИТКонсалтинг #ФСТЭК #БДУ #ИИ #Кибербезопасность #Ин