Слабке управління штучним інтелектом підвищує ризики кібератак

Слабкі практики управління ШІ створюють зростаючий ризик витоків даних, попереджає звіт, опублікований Moody's Ratings.

Велика кількість компаній та організацій "не мають правил, що регулюють безпечне використання нових інструментів штучного інтелекту (ШІ) на робочому місці", незважаючи на рутинне використання чат-ботів на основі ШІ у повсякденному житті та зростаючу інтеграцію ШІ в бізнес-процеси, йдеться у звіті про опитування Moody's щодо кібербезпеки за 2025 рік, проведене серед майже 2000 рейтингових світових організацій.

"Без обмежень співробітники можуть ненавмисно ділитися конфіденційними або службовими даними з публічними платформами штучного інтелекту, що збільшує ймовірність витоків даних, втрати інтелектуальної власності та шкоди репутації", – йдеться у звіті про опитування під назвою "Слабкі практики управління штучним інтелектом створюють зростаючий ризик витоків даних", опублікованому 1 жовтня.

Moody's пояснило, що надсилання конфіденційної інформації чат-ботам, таким як ChatGPT від OpenAI або Gemini від Google, "ймовірно, розкриє конфіденційні дані третім сторонам, потенційно порушуючи внутрішню політику обробки даних чи угоди про конфіденційність, або призводячи до ненавмисного витоку даних, особливо якщо інструмент штучного інтелекту зберігає дані користувача або навчається на їх основі".

Ризики такого розкриття можуть варіюватися від витоків даних до втрати інтелектуальної власності та навіть шкоди репутації, йдеться далі у звіті.

Майже чверть респондентів опитування (22%) повідомили, що у них немає політики, яка б обмежувала використання співробітниками внутрішніх та запатентованих даних фірми за допомогою загальнодоступних чат-ботів зі штучним інтелектом, йдеться у звіті. "У Північній Америці 80% респондентів запровадили ці обмеження, але в Азіатсько-Тихоокеанському регіоні (APAC) 35% респондентів сказали, що ні".

Moody's зазначило, що місцеві органи влади є одними з найбільш вразливих, лише 48% з них впроваджують політику, що регулює використання інструментів штучного інтелекту. "Нефінансові компанії мають найвищі показники, 78% з них мають таку політику".

Посилення інтенсивності атаки

У звіті йдеться про кібератаки на компанії та організації, яким рейтинги Moody's були вищими за останні 10 років, ніж будь-коли раніше, однак зазначається, що вони впали з історичного максимуму 2020 року (див. графік нижче).

Джерело:

"Досі жертви атак мали достатньо ресурсів, щоб впоратися. Було здійснено лише 25 дій щодо кредитного рейтингу, пов’язаного з кіберпросторою, проти 16 емітентів [боргових зобов’язань]", – йдеться далі у звіті. (Примітка редактора: Опитування оцінює практику кібербезпеки глобальних організацій, які оцінює Moody's, та збирає дані про цей ризик, який може вплинути на кредитоспроможність усіх емітентів боргових зобов’язань.)

"Тим не менш, у міру розширення цифровізації та появи нових технологій, таких як генеративний штучний інтелект та квантові обчислення, серйозність атак посилиться, а витрати зростуть", – заявило Moody's.

Ризики від сторонніх постачальників програмного забезпечення

Ще однією проблемою, що висвітлюється у звіті про кібердослідження, є стороннє програмне забезпечення, яке збільшує поверхню атаки, надаючи кіберзлочинцям більше точок входу для їх використання, йдеться у звіті.

Хоча сучасні програмні системи часто залежать від складної мережі сторонніх постачальників та постачальників, багато організацій не здійснюють ретельної оцінки практики кібербезпеки сторонніх організацій або не управляють ризиками, пов'язаними з програмним забезпеченням з відкритим кодом, що може зробити їх вразливими до атак ланцюга поставок, додали в Moody's.

"Цей взаємозв’язок означає, що вразливості в програмному забезпеченні одного постачальника можуть поширюватися по всьому ланцюжку поставок, впливаючи на кілька організацій".

Moody's зазначило, що кіберзлочинці надають перевагу атакам на ланцюги поставок, оскільки вони забезпечують кращу віддачу від інвестицій. "Компрометуючи одного постачальника, вони можуть атакувати широке коло кінцевих користувачів цього постачальника".

Незважаючи на ризики, опитування Moody's показало, що 14% респондентів ніколи не перевіряли практики кібербезпеки своїх постачальників програмного забезпечення, і лише 65% перевіряють ці практики щорічно. Цей показник знижується до 48% для респондентів у сфері охорони здоров'я, житлового будівництва та вищої освіти. "Для некомерційних лікарень цей показник становить 43%, і більшість цих лікарень (53%) кажуть, що вони проводять перевірку лише кожні кілька років".

У відповідь на цей зростаючий ризик, за словами Moody's, спостерігається збільшення кількості організацій, які вимагають від постачальників, таких як розробники програмного забезпечення, "мати кіберстрахування, якщо їхні співробітники або продукти мають доступ до внутрішніх ІТ-систем".

Прогалини в ключових засобах кіберзахисту

Незважаючи на зростання загрози та зростаючу складність кібератак, Moody's зазначає, що багато організацій не впроваджують послідовно критичні заходи кібербезпеки, такі як щоденне резервне копіювання даних та багатофакторна автентифікація (MFA) для доступу до мережі.

Moody's зазначило, що лише 78% емітентів виконують щоденне резервне копіювання, тоді як 22% – включаючи деякі великі установи – взагалі не виконують жодного сканування резервних копій, що свідчить про "критичний прогалину в кібергігієні".

Moody's також зазначає, що багатофакторна автентифікація, яка захищає облікові записи користувачів, вимагаючи кілька форм перевірки перед доступом до мережі, застосовується непослідовно.

Рейтингове агентство наголосило, що забезпечення багатофакторної автентифікації (MFA) для всіх програм становить лише 75%, незважаючи на те, що, за оцінками відділу безпеки Microsoft, воно може запобігти 99,9% атак, спрямованих на облікові записи користувачів.

"Деяким організаціям потрібна багатофакторна автентифікація (MFA) лише для віддаленого доступу, що потенційно залишає інші частини їхнього ІТ-середовища беззахисними".

Управління кібербезпекою

З більш позитивного боку, за словами Moody's, є ознаки покращення виконавчого нагляду за кіберпитаннями.

"Організації роблять кроки в управлінні кібербезпекою, і все більше керівників вищої ланки з кібербезпеки звітують безпосередньо перед генеральними директорами або фінансовими керівниками. Цей зсув покращує видимість та пріоритезацію кіберризиків на рівні керівництва", – йдеться у звіті.

В опитуванні Moody's 2025 року 28% респондентів з питань кібербезпеки повідомили, що вони звітують перед генеральним директором або фінансовим директором – це на 13% більше, ніж в останньому опитуванні 2023 року.

Про кібернетичне опитування емітентів Moody's за 2025 рік

Цього року Moody's провело своє третє опитування щодо кібербезпеки серед емітентів боргових зобов'язань, яких воно оцінює, щоб краще зрозуміти, як розвиваються кіберризики, а також що роблять приватні підприємства та державні установи для управління ризиками. У період з квітня по липень рейтингове агентство зібрало 1952 відповіді з усього світу від майже 9000 опитаних емітентів, що призвело до рівня відповідей у ​​22%.

Відповіді на опитування порівнювали у п'яти секторах: корпоративний сектор; фінансові послуги; інфраструктура (тобто аеропорти, платні дороги, комунальні послуги тощо); охорона здоров'я, житлово-комунальний сектор та вища освіта; а також регіональні та місцеві органи влади. Moody's зазначає, що дані опитування дають уявлення про те, як емітенти управляють чотирма ключовими сферами кіберризиків: кіберуправління, операції з кібербезпеки, передача кіберризиків (тобто страхування) та штучний інтелект (ШІ).