Топ-менеджеры стали «слабым звеном» в кибербезопасности при внедрении ИИ

Последнее исследование компании Varonis выявило критическую проблему в корпоративной среде: руководители высшего звена становятся слабым звеном в системе безопасности при внедрении генеративного ИИ. Согласно полученным данным, 62% топ-менеджеров используют так называемый «теневой ИИ» — несанкционированные корпоративными IT-отделами инструменты, отдавая приоритет скорости выполнения задач перед протоколами защиты данных.

Разрыв между корпоративной политикой и практикой

На практике это означает, что даже при наличии серьезных инвестиций в кибербезопасность внутри компаний сохраняется фундаментальный разрыв между официальными правилами и тем, как ведут себя управленцы. Руководители осознанно игнорируют установленные рамки, считая, что потенциальная продуктивность от использования неодобренных нейросетевых сервисов оправдывает риски. По сути, стремление к инновациям здесь прямо противоречит стандартам безопасности.

Использование сторонних ИИ в обход корпоративных шлюзов создает серьезную уязвимость. Поскольку такие инструменты не проходят внутреннюю проверку на соответствие политике безопасности, они могут бесконтрольно обрабатывать чувствительные данные. Проще говоря, конфиденциальная информация компании фактически передается третьим лицам без гарантий, что эти сведения не будут использованы для обучения моделей или не попадут в публичный доступ по вине разработчика стороннего сервиса.

Риски для бизнеса и комплаенса

Данная тенденция влечет за собой не только угрозы кибербезопасности, такие как утечки данных, но и возможные юридические последствия. Несанкционированный софт зачастую не учитывает требования регуляторов, что ставит организацию под удар в случае аудиторских проверок. В конечном счете, действия руководства создают прецедент, когда стандартные меры контроля оказываются бесполезными из-за того, что их игнорируют те, кто должен эти стандарты внедрять.

Эксперты настаивают на необходимости комплексного пересмотра стратегий безопасности. Речь идет не только о внедрении более строгих технических ограничений на уровне сети, но и о повышении уровня осведомленности непосредственно среди C-level руководителей. Если коротко, для предотвращения инцидентов организации обязаны добиться полной синхронизации между политикой безопасности и повседневной деятельностью всех уровней управления, чтобы каждый сотрудник — от рядового разработчика до гендиректора — понимал реальные последствия «теневого» использования ИИ.