ИИ (не)всемогущий: где кончаются возможности ИИ в ИБ и как получить от них реальную пользу?

По данным исследования «СёрчИнформ», 77% ИБ-специалистов готовы использовать в работе искусственный интеллект (ИИ). 54% уже делают это для снижения инсайдерских рисков, посчитали в Ponemon Institute. Причина в автоматизации: ИИ выполняет рутинные задачи вместо ИБ-специалиста и, предполагается, что может взять на себя большую часть его работы.

Оправдаются ли эти ожидания и что можно поручить нейросетям уже сейчас?

Возможности ИИ в защите информации

В информационной безопасности ИИ применяют для сбора и анализа данных – там, где ИБ-специалисту нужно быстро разобраться в большом массиве информации и принять решение. ИИ выявляет тенденции, аномалии, прогнозирует инциденты и заодно «переводит» машинные данные в понятный человеку формат.

Часть разработчиков утверждают, что это работает так: ИБ-специалист спрашивает совета у ИИ-помощника, как у ChatGPT, и получает инструкции по решению проблемы. Такие инструменты в ИБ-решениях уже появляются, но имеют проблемы, свойственные всему классу «умных» чат-ботов. По данным Ассоциации компьютерной лингвистики, большие языковые модели «под капотом» всех чат-ботов предоставляют ложные или выдуманные суждения примерно в 60% случаев. В OpenAI признали, что их флагманский GPT-4.5 выдает неверную информацию в 37% ответов. Для младших моделей этот показатель доходит до 80%.

ИИ работает лучше, когда вместо рассуждений от него требуется конкретное действие: определить предмет на фото, преобразовать голос в текст и т.д. Для этого используют нейросети – инструмент ИИ, который обучают для решения четкой задачи. Например, система автоматического распознавания речи (ASR) Vosk распознает запись разговоров в хорошем качестве с 95% точностью. Поэтому системе можно доверить работу с гигабайтами звонков или голосовых сообщений без опаски пропустить критически важный контент.

В наши решения мы внедряем элементы ИИ, которые показывают измеримый результат. С их помощью снимаем рутину с ИБ-специалиста и ускоряем его работу. Расскажу, как это работает в DLP «СёрчИнформ КИБ».

ИИ на практике

DLP задуманы, чтобы бороться с утечками. Они должны фиксировать все попытки вынести корпоративные данные за пределы компании: в почте, мессенджерах и ВКС, облачных хранилищах, даже в виде фото на смартфон. Для этого системе требуется распознавать критичные данные в любой форме: будь они в тексте, аудио или на изображении. Кроме того, DLP расследуют обстоятельства инцидентов ИБ. Для этого системы используют записи звонков, видео с веб-камер, скриншоты экрана, активность пользователей за ПК.

В итоге в поле зрения системы попадает много разнородной информации, в том числе о сотрудниках. Чтобы сохранить конфиденциальность их данных и облегчить ручной труд ИБ-специалистов, КИБ анализирует все автоматически. Работу с нетекстовыми форматами берут на себя нейросети. Каждый инструмент заточен под прикладные задачи:

1. Распознавание голоса.

DLP «расшифровывают» записи голоса при помощи систем автоматического распознавания речи (ASR). В КИБ интегрированы две ASR: Vosk и 3i Speech. Они поддерживают больше 30 языков, а распознавание настраивается вариативно: в пользу скорости или качества обработки.

В итоге DLP-система распознает инциденты в любом аудио-контенте: в голосовых сообщениях и звонках в мессенджерах, соцсетях и ВКС. Например, КИБ предупредит об откате, если распознает слова «бонус», «мой процент» или «благодарность» в переговорах менеджера с контрагентом.

2. Распознавание текста и классификация изображений.

DLP «понимают» содержимое изображений благодаря системам оптического распознавания символов (OCR). В КИБ их три на выбор: Tesseract, Nicomsoft и ContentAI. Они вычленяют текст из отсканированных документов, скриншотов, фото и других изображений, даже если он написан от руки. В общей сложности системы работают более чем с 200 языками.

Благодаря извлечению текста КИБ применяет ИБ-политики, основанные на контенте, к графическим файлам. Например, если включена блокировка пересылки договоров, они не уйдут за корпоративный периметр ни в виде текстовых документов, ни в виде сканов.

Дополнительно в КИБ внедрена нейросеть, которая определяет класс изображений без извлечения текста. Она сравнивает все изображения со встроенной базой образцов и присваивает файлу тот класс контента, на который он больше всего похож: паспорт, водительское удостоверение, топографическая карта и т.д. «Из коробки» система определяет больше десятка разных типов персональных и других данных в графических форматах.

Это ускоряет работу DLP и снимает нагрузку с OCR-модуля. Позволяет определить содержимое сканов и фото, когда OCR вообще нет. По классу изображения затем можно настроить защиту. Например, поместить в карантин все письма с вложениями, которые распознали как сканы паспорта. Или расследовать, кто из сотрудников и кому пересылал карты месторождений.

Еще одна нейросеть в КИБ определяет, есть ли на документе корпоративная печать: круглая, квадратная, прямоугольная, гербовая и любая другая. Печати ставят, чтобы подтвердить подлинность важных документов: будь то приказы гендиректора, акты с контрагентами или медицинские справки. Нейросеть в DLP автоматически находит файлы с ними. Затем ИБ-специалист может проверить, легитимно стоит печать или документ подделали.

3. Определение объектов перед камерой.

Элементы компьютерного зрения в «СёрчИнформ КИБ» анализируют происходящее перед веб-камерами на ПК сотрудников. Нейросеть обрабатывает полученные изображения и распознает на них смартфоны и лица.

Система делает снимки при авторизации сотрудника за рабочим ПК. Затем ИИ сравнивает полученное изображение с базой фотографий сотрудников. Выявляет совпадения с фото владельца аккаунта и разделяет случаи, когда:

• В учетку одного сотрудника вошел другой. Инсайдер потенциально действует от чужого имени, чтобы отвести от себя подозрения.
• Перед камерой несколько человек. Есть риск того, что в конфиденциальные документы заглянул посторонний.
• За ПК никого нет, но активность есть. Возможный несанкционированный удаленный доступ.
• Камера заклеена. Сотрудник пытается уйти от контроля.

Распознавание лиц помогает узнать, кто находился за ПК в момент инцидента и дополнить картину расследования.

Похожим образом КИБ выявляет случаи, когда сотрудник навел на экран монитора предмет, похожий на смартфон. Обычно такое происходит, когда инсайдер фотографирует конфиденциальные данные на телефон, чтобы не оставить следов. Если принудительно включить съемку на веб-камеру, когда сотрудники открывают документы с такими данными, DLP вовремя выявит попытки слива.

Человек – всему голова

Искусственный интеллект в DLP автоматизирует и ускоряет работу ИБ-специалиста: много подробностей инцидентов сразу доступны в системе, их не нужно собирать и обрабатывать вручную. При этом автоматика не заходит на поле человека и не принимает за него решения, чтобы не допустить ошибок. «Последнее слово» остается за ИБ-специалистом, он полностью контролирует ситуацию.

С помощью ИИ «СёрчИнформ КИБ» также берет под контроль нетипичные каналы утечки вроде фото на смартфон или устные переговоры. Кроме того, «умные» инструменты снижают нагрузку на аналитический центр DLP.

Нейросети в «СёрчИнформ КИБ» работают «из коробки», а встраиваемые OCR и ASR компания выбирает по своим потребностям. Оценить «умный» функционал системы в деле можно бесплатно в течение 30 дней.

Алексей Дрозд, начальник отдела безопасности «СёрчИнформ».

Реклама. Рекламодатель ООО «СерчИнформ», ОГРН 1157746137955, erid:2SDnjddEK48