Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Безопасность ИИ
Вы внедряете ИИ – мы его защищаем:
- Комплексный аудит кибербезопасности ИИ
- Оценка рисков применения ИИ
- Тестирование устойчивости LLM-приложений
- Разработка корпоративного фреймворка по безопасности ИИ
- Внедрение процессов безопасной разработки ИИ-систем
Более 700 проектов
реализовано
реализовано
Более 250 инженеров
в команде
в команде
Более 15 лет
на рынке ИБ
на рынке ИБ
Что такое безопасность систем ИИ?
Активное внедрение ИИ в Компаниях сопровождается не только повышением эффективности бизнес-процессов, но и появлением новых классов рисков, которые сложно контролировать в рамках традиционных подходов ИБ. Отсутствие системного управления ИИ и регулярной оценки его безопасности приводит к накоплению уязвимостей, снижению прозрачности принимаемых решений и, в конечном итоге, может стать причиной серьёзных инцидентов.
Безопасность систем искусственного интеллекта представляет собой комплекс подходов, практик и решений, направленных на защиту ИИ-систем от специфичных угроз и интегрируемых в существующие процессы информационной безопасности Компании.
Безопасность систем искусственного интеллекта представляет собой комплекс подходов, практик и решений, направленных на защиту ИИ-систем от специфичных угроз и интегрируемых в существующие процессы информационной безопасности Компании.
Для чего необходимо выстраивать кибербезопасность систем ИИ
-
Компаний уже используют ИИ как минимум
в одной функции бизнеса -
Сотрудников используют ИИ без согласования
с ИТ/ИБ отделом (Shadow AI | Теневой ИИ) -
Компаний сталкивались с утечками корпоративных данных из-за использования ИИ-сервисов -
Специалистов считают, что их организации
не готовы к ИИ-угрозам
По данным исследований McKinsey, Сбер, Gartner, Darktrace
Ключевые вызовы при использовании ИИ
Большое количество ИИ-систем с различным функционалом, интеграциями, критичностью
Недостаточное понимание специфических угроз, характерных для ИИ-систем
Множество степеней свободы, высокий уровень неопределенности
Размытые зоны ответственности между CIO, CDTO, CISO и Бизнесом
Разнообразие технологий ИИ, моделей и используемого стека
Отсутствие процессов управления ИИ в Компании
Построение кибербезопасности ИИ позволяет контролировать следующие угрозы для систем с искусственным интеллектом:
-
Неконтролируемая обработка чувствительных данныхИИ работает с конфиденциальной информацией, что повышает риски утечек -
Уязвимость чат-ботов
к промпт-инъекциямЗлоумышленники манипулируют ответами ИИ, внедряя вредоносные запросы -
Галлюцинации
моделиИИ может генерировать правдоподобную,
но некорректную информацию -
Чрезмерная агентностьПредоставление системе чрезмерной автономии приводит к действиям системы вне рамок ожидаемой бизнес-логики -
Data Poisoning (Отравление данных)Искажение обучающих данных приводит к неверным или вредоносным результатам работы ИИ -
Уязвимость цепочки поставокИспользование уязвимых моделей, данных или библиотек приводит к компрометации системы
Преимущества от построения кибербезопасности систем ИИ
Поможем выстроить единый подход
к управлению и защите большого количества ИИ-систем с разной архитектурой, технологиями и стэком
к управлению и защите большого количества ИИ-систем с разной архитектурой, технологиями и стэком
Управляемость вместо хаоса
Снижение реальных рисков
Превратим разрозненные меры защиты в системный подход, который помогает устранять реальные угрозы безопасности ии, а не просто закрывать формальные требования
Поможем инвестировать в действительно эффективные меры защиты систем ИИ, исключив расходы на избыточные решения
Оптимизация затрат
Определим роли и ответственность на уровне Компании, чтобы вопросы безопасности и управления ИИ не оставались в «серой зоне»
Распределение ответственности
Безопасное масштабирование ИИ
Создадим основу, при которой Компания сможет быстро внедрять новые ИИ-решения без пропорционального роста рисков
Поможем продемонстрировать клиентам, партнерам и регулирующим органам зрелый подход к управлению ИИ и его безопасностью
Доверие клиентов и партнеров
Мы помогаем Компаниям внедрить системный подход к управлению
искусственным интеллектом, «синхронизируя» требования Бизнеса
и информационной безопасности систем искусственного интеллекта
искусственным интеллектом, «синхронизируя» требования Бизнеса
и информационной безопасности систем искусственного интеллекта
Услуги по безопасности ИИ-систем
Оценка зрелости практик защиты ИИ
Комплексный аудит текущего уровня кибербезопасности применения ИИ в компании
Срок реализации: от 2 недель
Стоимость проекта: от 0.7 млн. рублей
Стоимость проекта: от 0.7 млн. рублей
Разработка корпоративного фреймворка по безопасности ИИ
Единая модель управления ИИ
в Компании: роли, процессы, требования, ВНД, инструментарий
в Компании: роли, процессы, требования, ВНД, инструментарий
Срок реализации: от 1 месяца
Стоимость проекта: от 0.5 млн. рублей
Стоимость проекта: от 0.5 млн. рублей
LLMSecOps
Оценка зрелости, проектирование
и внедрение процессов безопасной разработки ИИ-систем
и внедрение процессов безопасной разработки ИИ-систем
Срок реализации: от 1 месяца
Стоимость проекта: от 0.8 млн. рублей
Стоимость проекта: от 0.8 млн. рублей
Подготовка к сертификации по требованиям стандарта ISO/IEC 42001
Комплексный аудит текущего уровня кибербезопасности применения ИИ в компании
Срок реализации: от 3 месяцев
Стоимость проекта: от 1.5 млн. рублей
Стоимость проекта: от 1.5 млн. рублей
Системный подход к управлению
и обеспечению безопасности ИИ – не от формальных требований, а от архитектуры и окружения ИИ-систем
и обеспечению безопасности ИИ – не от формальных требований, а от архитектуры и окружения ИИ-систем
Срок реализации: от 1 месяца
Стоимость проекта: от 1 млн. рублей
Стоимость проекта: от 1 млн. рублей
Оценка рисков безопасности
ИИ-систем
Тестирование на устойчивость
к специфичным для LLM-приложений угрозам (OWASP TOP10 LLM)
к специфичным для LLM-приложений угрозам (OWASP TOP10 LLM)
Срок реализации: от 2 недель
Стоимость проекта: от 0.4 млн. рублей
Стоимость проекта: от 0.4 млн. рублей
Red Teaming
LLM-приложений
Срок реализации проекта: от 2 недель
Стоимость проекта: от 0.7 млн. рублей
Стоимость проекта: от 0.7 млн. рублей
Что мы делаем:
○ анализа проектной, эксплуатационной и нормативной документации по ИИ-системам и процессам управления ИИ;
○ выборочной проверки свидетельств реализации контролей.
- Выполняем сбор данных о процессах управления и обеспечения кибербезопасности ИИ-систем путем:
○ анализа проектной, эксплуатационной и нормативной документации по ИИ-системам и процессам управления ИИ;
○ выборочной проверки свидетельств реализации контролей.
- Проводим анализ и оценку зрелости;
- Формируем отчет по результатам оценки зрелости;
- Презентуем результаты высшему руководствую Компании
Артефакты на выходе:
- Отчет по результатам оценки зрелости с рекомендациями по приведению процессов к целевому уровню;
- Дорожная карта развития практик кибербезопасности ИИ-систем с учетом результатов оценки зрелости;
- Презентация с результатами оценки для высшего руководства Компании.
Результат оценки текущего состояния процессов управления ИИ (пример)
Оценка зрелости практик защиты ИИ-систем
Профиль угроз для ИИ-системы (пример)
Перечень требований по защите ИИ-систем (пример)
Срок реализации проекта: от 1 месяца
Стоимость проекта: от 1 млн. рублей
Стоимость проекта: от 1 млн. рублей
Что мы делаем:
○ «Внутри»: доверительные границы, зоны безопасности и точки входа, критичные компоненты и взаимосвязи между ними, ключевые потоки данных.
- Анализируем ИИ-системы:
○ «Внутри»: доверительные границы, зоны безопасности и точки входа, критичные компоненты и взаимосвязи между ними, ключевые потоки данных.
- Идентифицируем факторы риска, позволяющие определить актуальные угрозы для любой ИИ-системы Компании;
- Определяем сценарии реализации рисков (с учетом фреймворков OWASP, Сбер, DASF, MITRE);
- Ранжируем рисковые сценарии (в т.ч. на основе количественных методов оценки);
- Определяем актуальные для ИИ-систем требования по защите (с учетом фреймворков OWASP, NIST, MITRE, Google SAIF);
- Приоритизируем требования по защите ИИ-систем.
Артефакты на выходе:
- Отчет по результатам оценки зрелости с рекомендациями по приведению процессов к целевому уровню;
- Дорожная карта развития практик кибербезопасности ИИ-систем с учетом результатов оценки зрелости;
- Презентация с результатами оценки для высшего руководства Компании.
Оценка рисков безопасности ИИ-систем
Пример киллчейна для угрозы «Промпт-инъекция»
по MITRE ATLAS
по MITRE ATLAS
Артефакты на выходе:
- Отчет по результатам тестирования с рекомендациями по повышению уровня безопасности ИИ-системы.
Что мы делаем:
- Планируем пентест с учетом архитектуры реальной ИИ-системы;
- Подтверждаем техническую реализуемость угроз для компонентов ИИ-системы;
- Декомпозируем угрозы по техникам MITRE ATLAS, MITRE ATT&CK;
- Проверяем на практике ручным тестированием на основе методологии OWASP Top 10 for LLM Applications и автоматизированными средствами (Garak, Prompt Fuzzer и т.д.) методом черного ящика;
- Строим киллчейны для оценки рисков и разработки детектов.
Срок реализации проекта: от 2 недель
Стоимость проекта: от 0.4 млн. рублей
Стоимость проекта: от 0.4 млн. рублей
Red Teaming LLM-приложений
Срок реализации проекта: от 1 месяца
Стоимость проекта: от 0.5 млн. рублей
Стоимость проекта: от 0.5 млн. рублей
Что мы делаем:
- Типизируем требования по кибербезопасности для ИИ-систем Компании;
- Определяем стратегический план развития безопасности при использовании ИИ в Компании;
- Распределяем роли и ответственность по вопросам управления и безопасности ИИ;
- Формализуем ключевые процессы кибербезопасности ИИ (посредством разработки внутренних нормативных документов и/или включения соответствующих аспектов в существующие документы по ИБ);
- Проводим обучение профильных специалистов (технические специалисты, пользователи) по вопросам обеспечения кибербезопасности ИИ-систем и оцениваем усвоенные работниками знания;
- Создаем систему контроля с обратной связью (метрики защищенности и контрольные точки проверки, внутренние аудиты процессов).
Артефакты на выходе:
- Внутренние нормативные документы по процессам управления и обеспечения безопасности ИИ-систем;
- Артефакты, встраиваемые в жизненный цикл ИИ-систем (библиотека типовых архитектурных решений, типовые требования по безопасности, типовые сценарии тестирования и т.д.);
- Модель компетенций технического персонала, матрицы RACI по процессам управления ИИ;
- Материалы для обучения сотрудников и др.
Разработка корпоративного фреймворка по безопасности ИИ
Ключевые направления безопасности ИИ во фреймворке
Срок реализации проекта: от 1 месяца
Стоимость проекта: от 0.8 млн. рублей
Стоимость проекта: от 0.8 млн. рублей
LLMSecOps
Референсная модель архитектуры ИИ-приложения
Артефакты на выходе:
- Отчет об оценке зрелости процессов безопасной разработки ИИ-систем;
- Дорожная карта внедрения практик LLMSecOps с приоритизацией инициатив;
- Комплект документации по безопасной разработке ИИ-систем;
- Требования и рекомендации по внедрению инструментов безопасности в CI/CD;
- План обучения и повышения квалификации команд разработки, ИТ и ИБ;
- Отчет по результатам внедрения с оценкой эффективности процессов и рекомендациями по дальнейшему развитию.
Что мы делаем:
○ Проведения интервью с командами разработки, ИТ/ИБ специалистами;
○ Формирования отчета об обследовании.
○ Проводим бюджетную оценку мероприятий.
○ Формируем рекомендации по плану обучения персонала;
○ Внедряем инструменты безопасной разработки ИИ;
○ Настраиваем интеграции с CI/CD системой.
- Оцениваем зрелость текущих процессов разработки ИИ-систем путем:
○ Проведения интервью с командами разработки, ИТ/ИБ специалистами;
○ Формирования отчета об обследовании.
- Планируем внедрение процессов безопасной разработки ИИ-систем:
○ Проводим бюджетную оценку мероприятий.
- Внедряем процессы безопасной разработки ИИ-систем:
○ Формируем рекомендации по плану обучения персонала;
○ Внедряем инструменты безопасной разработки ИИ;
○ Настраиваем интеграции с CI/CD системой.
- Поддерживаем, развиваем и оцениваем эффективность внедренных процессов.
Артефакты на выходе:
- Отчет об оценке процессов управления ИИ и дорожная карта мероприятий;
- Реестр рисков ИИ и план по их обработке;
- "Живые" и "работающие" документы по процессам управления ИИ (кто, что и как должен делать);
- Сертификат международного образца на соответствие требованиям ISO/IEC 42001.
Подготовка к сертификации по требованиям стандарта ISO/IEC 42001
Срок реализации: от 3 месяцев
Стоимость проекта: от 1.5 млн. рублей
Стоимость проекта: от 1.5 млн. рублей
План мероприятий по подготовке к сертификации ISO 42001 (пример)
ISO/IEC 42001. Цикл PDCA при управлении ИИ
Что мы делаем:
- Проводим gap-анализ процессов управления ИИ, разрабатываем план-график по приведению системы менеджмента ИИ в соответствие стандарту;
- Проводим оценку рисков и воздействия ИИ;
- Разрабатываем нормативную документацию по процессам управления ИИ;
- Проводим обучение работников и оцениваем усвоенные работниками знания;
- Сопровождаем при внедрении новых процессов и мер ИИ ("проводим за ручку", пока по процессам не пройдет, как минимум, один цикл);
- Помогаем сформировать требуемый комплект документальных свидетельств;
- Сопровождаем во время сертификационного аудита;
- Разрабатываем план корректирующих мероприятий по результатам сертификационного аудита;
- Готовим план дальнейшего развития системы управления искусственным интеллектом (СУИИ) и подготовки к надзорному аудиту.
Почему нам можно доверять
- Мультивендорная экспертиза250 + сертифицированных инженеров в команде
- Более 210 кейсов по комплаенсуВ ритейле, промышленности, финансах, телекоме, ИТ-компаниях и не только
Наши специалисты имеют международные сертификаты: CISA, CRISC, CISSP, CISM, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 22301 Lead Auditor, ISO 27001, 20000, 22301 Tutor - Пентестеры Infosecurity — входят в топ-10 РоссииНаши специалисты имею ключевые сертификаты: TCM Security Practical Ethical Hackin, TCM Security Practical Web Application Security & Testing, TSARKA – Web Application Penetration Testing, OSCP, HWSP, eWPTXv2, eWPTv1, OSCP, OSCP+, OSWP, eMAPT, eCCPTv2, eCPTX_v2, CAP, API Academy, CRTP, CRTO, eCPTX, KLCP, OSWE, OSWA, CWEE
- Повысили осведомленность более 20 000 человекКоманда Awareness Infosecurity состоит из инженеров, аналитиков, консультантов, методистов, разработчиков, дизайнеров и пентестеров, которые работают над созданием уникальных материалов
- Более 500 брендов под нашей защитойВ ритейле, финансах, телекоме, строительстве, промышленности, и не только
Бесплатная консультация
У Вас остались вопросы?
Оставьте заявку и мы свяжемся с вами в ближайшее время.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Новости и события
FAQ
Безопасность искусственного интеллекта – это набор процессов, организационных мер и технических средств, направленных на защиту ИИ-систем на всех этапах их жизненного цикла (от разработки и обучения до эксплуатации) от атак, утечек и злоупотреблений.
Первым шагом к построению кибербезопасности систем ИИ является определение сценариев безопасности использования искусственного интеллекта в Компании и недопустимых событий для Бизнеса.
Мы работаем со всеми системами на базе искусственного интеллекта независимо от технологии (генеративный ИИ, компьютерное зрение, агентные системы, ML и т.д.).
Мы не ограничиваемся одним стандартом. В работе используем лучшие практики из OWASP, MITRE ATLAS, NIST AI RMF, DASF, ISO 42001. Выбор инструментов зависит от задач вашего бизнеса.
Примерами негативных последствий для Компании от реализации угроз ИИ-систем являются:
- утечка конфиденциальной информации;
- генерация вредоносных инструкций или фишинговых сообщений от имени Компании;
- получение злоумышленником полного контроля над ИИ-системой, в т.ч. для планирования дальнейшей атаки;
- ухудшение качества обслуживания (вывод недостоверной информации пользователям, ошибки в прогнозах);
- недоступность ИИ-системы для пользователей.
Ключевыми направлениями безопасности для систем с технологиями искусственного интеллекта являются:
- Риск-менеджмент ИИ. Определение недопустимых событий, оценка рисков и приоритизация мер защиты ИИ-систем.
- MLSecOps. Встраивание практик безопасности в ЖЦ ИИ: от подготовки данных и обучения моделей до их развертывания и эксплуатации.
- Пентест /Red Teaming ИИ-систем. Проверка устойчивости ИИ-систем к специфичным ИИ-атакам (промпт-инъекции, jailbreak).
- Технические меры защиты ИИ, меры мониторинга. Реализация защиты на уровне моделей, данных и инфраструктуры, а также обеспечение непрерывного контроля и выявления аномалий.
Взаимодействие осуществляется через:
- интервью с ответственными представителями Заказчика;
- регулярные рабочие сессии с уведомлением о проведенной работе;
- периодическая отчетность о проведенной работе с предоставлением промежуточных результатов.
На проекте всегда работает целая команда – это руководитель проекта и архитектор, а также специалисты по нужным направлениям.
Мы всегда находимся на связи с помощью различных каналов – почта, мессенджеры, обычные звонки. Конкретный вид связи зависит от ваших предпочтений и пожеланий.
Конечно же, зависит от вида проекта и его масштабов, но, например, проект по оценке зрелости процессов управления и кибербезопасности ИИ в среднем занимает от 1 до 2 месяцев.
В рамках постпроектного сопровождения ответим на все вопросы, обсудим результаты, внесем уточнения или корректировки.
Мы всегда на старте проекта проводим установочную встречу, где знакомимся с командой с вашей стороны, определяем основные каналы взаимодействия и обозначаем ближайшие шаги – это могут быть запрос документации, планирование встреч и так далее.