AI Security: как защитить ИИ-продукт от угроз и требований ФСТЭК
В небольшом отделе разработки ИИ команда обнаружила новый чат‑бот, который обещает ускорить работу, но никто не знает, как его защитить. В этой статье мы разберём, что такое AI Security, какие требования к защите в России и как построить систему защиты от начала до конца.
Источник: Habr
Что такое AI Security и зачем это нужно
AI Security – это набор мер, которые защищают ИИ‑системы от внешних и внутренних угроз и обеспечивают их надёжность и соответствие требованиям. Внутри AI Security выделяют четыре направления: безопасность данных, защита модели, контроль доступа и мониторинг. Это часть более широкой области AI Safety, которая охватывает безопасность ИИ для пользователей и общества в целом. В России терминологию часто путают с MLSecOps – практикой управления безопасностью машинного обучения, но в реальности они пересекаются: обе фокусируются на защите данных и моделей.
Регуляторные требования в России
В России регулирование ИИ основано на конкретных требованиях к разработке и эксплуатации ИИ‑систем. Ключевые документы:
- Указ Президента РФ № 490 «О развитии искусственного интеллекта» (2023 г.) – задаёт стратегию до 2030 года, вводит понятие «доверенного ИИ» с требованиями безопасности, недискриминации и недопустимости причинения вреда.
- Приказ ФСТЭК № 117 от 11.04.2025 (вступил в силу 1 марта 2026 г.) – впервые закрепил защиту ИИ как отдельное обязательное мероприятие (пункты 34т, 60 и 61). Технические меры вынесены в методический документ 3.18 от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». Там указаны цели, объекты защиты, ссылки на угрозы ИИ‑систем из БДУ и требования соблюдения ГОСТа по разработке безопасного ПО.
Практические шаги защиты: от разработки к эксплуатации
| Этап | Что делать | Как проверить |
|---|---|---|
| Разработка | 1. Изолировать инфраструктуру разработки в отдельный сегмент. 2. Отказ от небезопасных форматов (pickle) в пользу ONNX/Protobuf. 3. Использовать обучающие данные только из доверенных источников, антивирусно проверять и хранить отдельно. 4. Анализировать известные уязвимости входной модели. 5. Применять физическую изоляцию среды, шифрование обучающих данных, состязательное обучение, ограничение диапазонов данных, санитизацию входа, тестирование на устойчивость к промпт‑атакам. |
Проверка логов, аудит кода, сканирование уязвимостей, тесты на промпт‑атаки. |
| Эксплуатация | 1. Фильтрация входных и выходных данных. 2. Регистрация событий безопасности по запросам к системе. 3. Мониторинг и квотирование числа запросов. 4. Анализ уязвимостей ПО. 5. Изоляция ИИ‑системы в отдельный сегмент, обеспечение целостности параметров (весов) модели. |
Мониторинг журналов, анализ трафика, аудит конфигураций, проверка целостности модели. |
Эти меры позволяют минимизировать риск эксплуатации модели, защитить данные и обеспечить соответствие нормативам.
Red Team и Blue Team: как тестировать и защищать
- Red Team – команда, которая имитирует реальные атаки на ИИ‑систему: от подмены данных до промпт‑атаки и манипуляции весами модели. Цель – выявить уязвимости и оценить их влияние на бизнес.
- Blue Team – команда, которая защищает систему, реагирует на атаки, обновляет модели, применяет патчи и улучшает политики доступа.
Взаимодействие Red/Blue Team позволяет быстро обнаруживать и устранять угрозы, а также повышать общую устойчивость ИИ‑продукта.
Что проверить и как действовать дальше
- Соберите карту рисков – перечислите возможные угрозы (промпт‑атаки, утечка данных, изменение весов) и оцените их вероятность и влияние.
- Проверьте соответствие нормативам – убедитесь, что ваша система соответствует пунктам 34т, 60 и 61 Приказа ФСТЭК № 117 и требованиям ГОСТа.
- Запустите Red Team‑тест – имитируйте атаки, проанализируйте результаты и обновите защиту.
- Настройте Blue Team‑мониторинг – включите фильтрацию, регистрацию событий, квотирование запросов и аудит модели.
- Проведите аудит безопасности – внешняя проверка поможет выявить скрытые уязвимости и подтвердить соответствие требованиям.
Краткая чек‑лист:
- [ ] Изолирована инфраструктура разработки
- [ ] Используются безопасные форматы (ONNX/Protobuf)
- [ ] Данные из доверенных источников, антивирусно проверены
- [ ] Проведён анализ уязвимостей модели
- [ ] Настроен мониторинг и квотирование запросов
- [ ] Регулярно проводятся Red Team‑тесты
Если все пункты выполнены, ваша ИИ‑система будет защищена от большинства известных угроз и соответствовать российским нормативам.
Источники
Дополнительные рекомендации по усилению защиты
Для повышения уровня безопасности ИИ‑продуктов рекомендуется внедрить следующие практики:
- Регулярное обновление моделей – своевременно устанавливайте патчи и обновления для используемых фреймворков и библиотек машинного обучения.
- Обучение персонала – проводите тренинги по безопасности ИИ для разработчиков, инженеров и администраторов.
- Автоматизация тестирования – используйте инструменты для автоматического сканирования уязвимостей и проведения пентестов.
- Создание плана реагирования на инциденты – разработайте процедуры для быстрого выявления, анализа и устранения угроз.
- Внедрение принципов Privacy by Design – учитывайте требования к конфиденциальности данных на всех этапах разработки и эксплуатации ИИ‑систем.
Эти меры помогут не только соответствовать текущим нормативам, но и подготовиться к будущим изменениям в регулировании.
Заключение
AI Security – это не разовое мероприятие, а непрерывный процесс, требующий внимания на всех этапах жизненного цикла ИИ‑продукта. Соблюдение российских нормативов, внедрение практик Red/Blue Team и регулярный аудит позволяют минимизировать риски и обеспечить доверие пользователей. Начните с базовых шагов, описанных в этой статье, и постепенно расширяйте систему защиты по мере развития вашего продукта.
Практический пример: защита чат-бота в реальном проекте
Рассмотрим гипотетический сценарий: команда разрабатывает корпоративного чат-бота для обработки запросов клиентов. На этапе разработки они изолировали среду, использовали ONNX для модели и провели тесты на промпт-атаки. В эксплуатации настроили фильтрацию входных данных и мониторинг запросов. После запуска Red Team выявила уязвимость в обработке специальных символов, которую Blue Team оперативно исправила. В результате чат-бот успешно прошёл аудит и соответствует требованиям Приказа ФСТЭК № 117. Этот пример показывает, как описанные шаги работают на практике, снижая риски и повышая доверие пользователей.
Что почитать дальше
- Agentic SAMM: аудит ИИ-агентов в разработке и что проверить на этой неделе
- Патентный аудит Roblox: как не попасть под суд при запуске платформы
- 95% ИИ-пилотов проваливаются: проверьте эти 3 условия до запуска
- AES-GCM в детском приложении: замена AI для безопасности данных
- AI как новая точка атаки: 5 шагов для защиты бизнеса в 2026