LLM | Безопасность | Продукты
Как защитить корпоративные данные при использовании ИИ
78% руководителей российских компаний обеспокоены безопасностью данных при использовании ИИ. И правильно делают. Публичные ИИ-сервисы — это удобно, но каждый запрос потенциально становится частью обучающей выборки. Как внедрить ИИ и не потерять контроль над корпоративными данными?
Реальные риски: что происходит с вашими данными
Политика использования данных публичных ИИ
OpenAI (ChatGPT):
- Бесплатная версия: данные используются для обучения модели
- Платная версия (Plus): данные не используются для обучения, но хранятся 30 дней
- API: данные не используются для обучения, хранятся 30 дней для мониторинга
- Enterprise: данные не используются и не хранятся (но серверы в США)
Google (Gemini/Bard):
- Данные используются для улучшения сервисов Google
- Хранятся до 18 месяцев
- Могут просматриваться людьми для контроля качества
Anthropic (Claude):
- API: данные не используются для обучения
- Веб-версия: данные могут использоваться
Что это значит на практике
Если сотрудник загрузил в ChatGPT:
- Клиентскую базу — она может появиться в ответах другим пользователям
- Финансовый отчёт — конкуренты теоретически могут получить фрагменты
- Исходный код — он становится частью обучающих данных
- Персональные данные — нарушение ФЗ-152
ФЗ-152: юридические риски
Что требует закон
- Персональные данные россиян должны храниться на территории РФ
- Трансграничная передача требует согласия субъекта и уведомления Роскомнадзора
- Оператор отвечает за действия обработчиков (в т.ч. облачных сервисов)
Штрафы за нарушение
| Нарушение | Штраф для юрлиц |
|---|---|
| Обработка без согласия | 75 000 — 300 000 ₽ |
| Нелокализованное хранение | 1 — 18 млн ₽ |
| Повторное нарушение | 6 — 18 млн ₽ |
| Утечка данных | до 500 млн ₽ (с 2024) |
Важно: использование публичного ChatGPT с персональными данными клиентов = автоматическое нарушение требований о локализации.
5 уровней защиты корпоративного ИИ
SuperChat реализует комплексный подход к безопасности:
Уровень 1: Изоляция инфраструктуры
- On-premise размещение: сервер в вашем ЦОД, данные не покидают периметр
- Изолированное облако: выделенные виртуальные машины в российском ЦОД, сертифицированном по ISO 27001
- Шифрование в покое: AES-256 для всех хранимых данных
- Шифрование в движении: TLS 1.3 для всех соединений
Уровень 2: Контроль доступа
- Интеграция с AD/LDAP: единая точка управления пользователями
- Ролевая модель: разные уровни доступа к разным источникам данных
- MFA: двухфакторная аутентификация для всех пользователей
- SSO: вход через корпоративный портал
Уровень 3: Аудит и мониторинг
- Полное логирование: каждый запрос и ответ сохраняются
- DLP-контроль: автоматическое выявление попыток выгрузки чувствительных данных
- Алерты: уведомления при подозрительной активности
- Отчёты: кто, что, когда спрашивал
Уровень 4: Защита данных в базе знаний
- Гранулярный доступ: бухгалтерия видит только финансовые регламенты, продажи — только коммерческие
- Маскирование данных: ИИ может отвечать на вопросы без показа чувствительных деталей
- Временной доступ: документы можно ограничивать по сроку действия
Уровень 5: Безопасность модели
- Выбор модели: Claude (Anthropic), GigaChat (Сбер), YandexGPT — или open-source модели, работающие локально
- Промпт-инжекция: защита от манипуляций с запросами
- Контроль ответов: фильтрация нежелательного контента
Чек-лист безопасного внедрения ИИ
До внедрения
- ☐ Провести аудит текущего использования ИИ сотрудниками
- ☐ Классифицировать данные по уровню конфиденциальности
- ☐ Определить требования к размещению (on-premise vs облако)
- ☐ Согласовать с юристами требования ФЗ-152
- ☐ Получить одобрение службы ИБ
При внедрении
- ☐ Настроить интеграцию с AD/LDAP
- ☐ Определить роли и права доступа
- ☐ Настроить логирование и алерты
- ☐ Провести пентест решения
- ☐ Обучить сотрудников правилам использования
После внедрения
- ☐ Регулярный аудит логов (еженедельно)
- ☐ Обновление модели и компонентов безопасности
- ☐ Периодический пересмотр прав доступа
- ☐ Тестирование на проникновение (ежегодно)
Сравнение подходов к безопасности
| Критерий | Запретить ИИ | Публичный ChatGPT | ChatGPT Enterprise | SuperChat |
|---|---|---|---|---|
| Защита данных | 100% | Низкая | Высокая | Максимальная |
| Продуктивность | Потеря | Рост | Рост | Рост |
| Контроль ИБ | Полный | Отсутствует | Частичный | Полный |
| Соответствие ФЗ-152 | Да | Нет | Нет | Да |
| Теневое ИИ | Высокий риск | Легализовано | Легализовано | Легализовано |
| Локализация | N/A | США | США | РФ |
Кейс: как крупный банк внедрил безопасный ИИ
Название компании не раскрывается по условиям NDA.
Исходная ситуация
- Банк из топ-20, 15 000 сотрудников
- Обнаружили массовое использование ChatGPT сотрудниками
- Регулятор потребовал отчёт о мерах по защите данных
Решение
- Развернули SuperChat on-premise в собственном ЦОД
- Подключили базу знаний: 50 000 документов (регламенты, продуктовые описания, FAQ)
- Интегрировали с AD (роли: операционисты, аналитики, менеджеры, ИБ)
- Настроили DLP и логирование
Результаты за 6 месяцев
- Время на поиск информации: -72%
- Инцидентов с утечкой данных через ИИ: 0
- Удовлетворённость сотрудников: +34 пункта NPS
- Успешно прошли проверку регулятора
Как начать безопасное внедрение
Мы проводим бесплатный аудит безопасности текущего использования ИИ в вашей компании:
- Оцениваем риски (какие данные уже могли утечь)
- Анализируем требования регуляторов для вашей отрасли
- Предлагаем архитектуру безопасного решения
- Рассчитываем стоимость и сроки внедрения
