Перейти к содержанию

Безопасные настройки Chrome и Firefox для организации | Блог Касперского


Рекомендуемые сообщения

Держать рабочую и личную информацию, аккаунты, файлы на физически разных устройствах — один из самых популярных (и эффективных!) советов по информационной безопасности. Многие компании закрепляют его в политике, которую обязательно соблюдать всем сотрудникам. Естественное продолжение этой политики — запрет обмена данными между рабочим и домашним компьютерами через сервисы вроде Dropbox и рекомендация не регистрировать личные аккаунты (например, в интернет-магазинах) на рабочую почту. Зачастую ни сами пользователи, ни администраторы не думают об еще одном месте, в котором дом и работа пересекаются: это настройки веб-браузера.

Предложения включить синхронизацию браузера Chrome с облачным аккаунтом Google всплывают с первого дня работы, более того, Chrome часто включает ее автоматически после первого же логина в Gmail или Google docs. В Firefox и Edge синхронизация менее назойлива, но тоже существует и тоже предлагается. На первый взгляд, иметь синхронизированные закладки удобно и не опасно, но злоумышленники, разумеется, думают иначе.

Чем может быть опасна синхронизация браузера

Во-первых, в облачный профиль пользователя входит довольно много информации. Кроме списка открытых вкладок и закладок, между компьютерами синхронизируются пароли и расширения браузера. Таким образом атакующие, скомпрометировавшие домашний компьютер сотрудника, могут получить доступ к ряду рабочих паролей. Ну а если пользователь установит дома вредоносное расширение, оно автоматически оказывается на рабочем компьютере. Данные атаки не гипотетические. Именно синхронизация паролей в Google Chrome привела к компрометации гиганта ИБ Cisco, а вредоносные расширения, замаскированные под корпоративную защиту, были оптимизированы для воровства токенов аутентификации Oauth.

Во-вторых, вредоносные расширения могут использоваться для эксфильтрации данных с зараженного компьютера. Поскольку в этой схеме браузер Chrome общается только с легитимной инфраструктурой Google, атака может подолгу не генерировать предупреждений от сетевой защиты.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 41
  • Created
  • Последний ответ

Top Posters In This Topic

  • Mrak

    17

  • Umnik

    15

  • Sandor

    3

  • ska79

    3

  • Если в браузере вредоносное расширение, что внешний менеджер паролей не поможет. То есть достаточно не синхронизировать расширения, получается?
  • В случае циски всё было интереснее. Автор статьи опустил, что там была включена 2FA, которые атакующие обошли буквально завалив жертву звонками. То есть жертва была реально тупым человеком.

К слову, браузеры защищают пароли лучше, чем случайный менеджер паролей. Сколько раз ломали инфраструктуру Google или Mozilla? А сколько раз LastPass? Вот именно.

 

Правильным будет требование иметь разные профили для дома и работы. И пихать людям под ногти иглы, если они используют один профиль. После первого раза запомнят, что так делать нельзя. Про иглы я пошутил (почти).

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Umnik сказал:

К слову, браузеры защищают пароли лучше, чем случайный менеджер паролей. Сколько раз ломали инфраструктуру Google или Mozilla? А сколько раз LastPass? Вот именно.

Скажи пожалуйста, kaspersky password manager не лучше, чем менеджер паролей у Google Chrome? 

У меня для доступа к паролям гугла достаточно ввести код доступа к ПК и всё - пароли отображаются. Этот код доступа существенно проще, чем мастер пароль. Поэтому всегда считал, что менеджер паролей браузера является открытой книгой для чтения каждым, кто уселся за ПК. 

Ссылка на комментарий
Поделиться на другие сайты

Если есть пароль для входа в систему, в Chrome сейчас чтобы увидеть пароль к сайту, нужно ввести пароль системы. Это было добавлено некоторое количество версий браузера назад.

Так что не совсем открытая книга.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

26 минут назад, Sandor сказал:

Если есть пароль для входа в систему, в Chrome сейчас чтобы увидеть пароль к сайту, нужно ввести пароль системы. Это было добавлено некоторое количество версий браузера назад.

Я про это и говорю. Написал, например 4 цифры или 6 символов для входа в систему, читай все пароли. Это же не мастер пароль в 38 символов.

 Правильно я понимаю, что открыть хром и его пароли проще?

Ссылка на комментарий
Поделиться на другие сайты

28 минут назад, Sandor сказал:

А это уже зависит от парольной политики организации. Настраивается несложно.

Речь про домашнего пользователя. 

Допустим, у меня жена хочет быстро входить в свою учётную запись. У неё пароль будет, например, 4321. Разумеется, для защиты от детей этого хватит (они не зайдут, перебирать пароли винда не даёт, блокируется, т.е. и 4-х символов достаточно). Но это не сравнится со сложностью мастер пароля от КПМ. В итоге получается пароли Хрома прикрыты мастер паролем 4321, а пароли КПМ прикрыты паролем из 38 символов. И если какой-то зловред заведётся в системе, то тупым перебором справится со взломом хрома за несколько минут, когда КПМ будет стоять как скала. Либо я не так понимаю схему защиты хрома. 

Ссылка на комментарий
Поделиться на другие сайты

15 минут назад, Mrak сказал:

Речь про домашнего пользователя.

Тема-то про организацию, отсюда и мой предыдущий пост.

 

А так - да, всё верно. Однако, как часто у вас блокируется хранилище в KPM? Явно ведь при прямом доступе к ПК несложно пока разблокирован зайти и посмотреть.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, Sandor сказал:

А так - да, всё верно. Однако, как часто у вас блокируется хранилище в KPM? Явно ведь при прямом доступе к ПК несложно пока разблокирован зайти и посмотреть.

У меня через минуту блокируется. В общем схему понял. Гуглу можно доверять полностью и с КПМ за деньги не заморачиваться. 

Ссылка на комментарий
Поделиться на другие сайты

2 hours ago, Mrak said:

Скажи пожалуйста, kaspersky password manager не лучше, чем менеджер паролей у Google Chrome? 

Я не могу дать чёткий ответ на вполне понятный мне вопрос. Давай так, просто и подробнее.

 

Просто: в общем случае KPM лучше менеджера паролей в Chrome. Потому что KPM обязывает тебя создать ещё один фактор доступа - мастер-пароль. Хром же не обязывает. Если у злоумышленника есть твой пароль на вход в ОС, то есть и на Хром.

 

Не просто:

Pros:

- У Хрома (да и у Лисы, но ты про Хром спросил) есть фича мастер-пароля тоже. Она позволяет на твоём ключе зашифровать все данные Хрома на серверах Гугла. По умолчанию опция не используется, но ты можешь её включить. Если ты залочил ОС (или скринсейвер сработал), то злоумышленник с твоим паролем от сеанса ОС всё равно ничего не сможет сделать с Хромовым мастер паролем. Потеря этого пароля, понятное дело, равна потере всех сохранённых данных: закладок, дополнений, паролей.

- Если злоумышленник не знает твоего пароля от сеанса ОС, то и без мастер пароля доступа не получит

- Более правильно работает с базой, выполняя базовые требования работы с паролями

Cons:

- Если за компом люди ещё как-то соблюдают цифровую гигиену и понимают, что комп может быть доступен уборщице или слишком любопытному сожителю, то с телефоном обычно не заморачиваются. В итоге людям надоедает вводить мастер-пароль в браузере на каждый старт и становится проще отключить его. Да и в целом это даже не очень разумно - вводить мастер пароль для того, чтобы сделать в браузере что-то, что вообще не требует никакого обращения к серверу синхронизации. Отмена есть, конечно, но раздражение накапливается. Мы - люди. Это нельзя не учитывать

- На других устройствах у тебя может быть другой браузер. Значит пароли НУЖНО хранить во вне

- Гугл любит брать и ломать работу того, что им не приносит деньги. Например, сломали синхронизацию для Хромиумов. Есть опасность, что завтра могут сломать синхронизацию, потому что у тебя паспорт не рукопожатной страны. Ведь Хром - это не Хромиум. Это другой браузер с проприетарными компонентами

- Гугл тоже не идеален. Нельзя считать, что у них никогда не случится сбоя и они даже просто случайно не сломают твои данные у себя. К примеру, из-за несовершенства своих алгоритмов они забанили человека: https://svtv.org/news/2022-08-21/google-zablokiroval-ottsa/ Где взять бекапы? Внешние менеджеры паролей умеют их делать.

 

Я не дал тебе ответа, но, надеюсь, помог сделать выбор, который тебя устроит. Лично для себя я выбрал таки внешний менеджер паролей, но не облачный.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

54 minutes ago, Mrak said:

Допустим, у меня жена хочет быстро входить в свою учётную запись. У неё пароль будет, например, 4321.

Это вообще отдельная тема. У меня чёт уже накопилось вещей, которые нужно объяснить людям:

- Почему НЕ НУЖНО использовать VPN подавляющему большинству тех, кто его использует

- Почему сертификаты российский центров сертификации - это не зло, каковыми их пытаются выставить

- Как улучшить безопасность своих сеансов на десктопах и мобилках, не слишком сильно теряя в удобстве

И чисто мои профессиональные:

- Почему тестировщикам нужно поставить навсегда крест на тестировании чёрного ящика

- Почему не нужно тащить тонну зависимостей в свой проект

- Почему не нужно бросаться на фреймворки тестирования от сторонних разработчиков, не попробовав сначала нативные

 

Где на всё это найти время. Хоть бусти создавай, чтобы было на что взять "за свой счёт" на работе :))

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

21 минуту назад, Umnik сказал:

но не облачный.

Если не облачный, то при проведении оперативно-розыскных действий и изъятии всех источников информации, автоматически изымаются все пароли и у человека не остаётся доступа к своим же данным? Да, я понимаю, что пароли в менеджере зашифрованы со страшной силой и никто в ближайшие 20 лет их не достанет, но без облачной синхронизации при отсутствии носителей - это же сурово. 

17 минут назад, Umnik сказал:

- Почему НЕ НУЖНО использовать VPN подавляющему большинству тех, кто его использует

Очень интересная тема. А то я уже подумываю, не раскошелиться ли мне на VPN, начитавшись статей в блоге Касперского о важности этого уровня защиты. 

Ссылка на комментарий
Поделиться на другие сайты

1 minute ago, Mrak said:

Если не облачный

Вот это и есть затык. "Облако" - это просто "не ваш сервер". Никто не мешает тебе синхронизировать базу между всеми твоими устройствами, но при этом не давать её ни Дропбоксу, никому другому. Я использую SyncThing. Настраивается, к сожалению, не очевидно. Но зато все мои телефоны и компы шарят между собой базу keepass.

3 minutes ago, Mrak said:

при проведении оперативно-розыскных действий и изъятии всех источников информации, автоматически изымаются все пароли и у человека не остаётся доступа к своим же данным

Да. И тут уже абсолютно одинаково - вытягивать у тебя мастер-пароль от менеджера паролей или мастер пароль от браузерной синхронизилки

4 minutes ago, Mrak said:

не раскошелиться ли мне на VPN

В общем случае сделаешь хуже, к сожалению. VPN используют сейчас не по назначению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, Umnik сказал:

Да. И тут уже абсолютно одинаково - вытягивать у тебя мастер-пароль от менеджера паролей или мастер пароль от браузерной синхронизилки

Речь не про вытягивание с помощью уговоров или утюга. Сколько уже ситуаций было, что ищут что-то у одного лица, а забирают все носители информации, которые находятся в помещении и принадлежат другим лицам. В итоге непричастные субъекты оказываются без телефонов, компьютеров и жестких дисков. Если не будет в стороннем облаке лежать резервная копия, то всё - человек/фирма без данных вообще. Потом, разумеется, вернут, но обычно это будет далеко не сразу, не в первые месяцы с момента изъятия. А работать надо людям/организациям обычно сразу же после проведения мероприятий.

17 минут назад, Umnik сказал:

Я использую SyncThing

Прочитал описание. Напомнило старую windows live mesh, которая была до появления onedrive и позволяла мне безлимитно синхронизировать данные с рабочего ноута на домашний ПК, но при условии, что они одновременно подключены к интернету. 

Ссылка на комментарий
Поделиться на другие сайты

2 hours ago, Mrak said:

Речь не про вытягивание с помощью уговоров или утюга.

Я тоже. Это я о том, что вытягивание пароля из браузера под мастер паролем и из внешнего менеджера паролей - задачи одного уровня сложности при базовом подходе. Но менеджеры паролей иногда позволяют улучшить здесь поведение. Мы считаем, что живём в правовом государстве и пытки отметаем.

2 hours ago, Mrak said:

Если не будет в стороннем облаке лежать резервная копия, то всё - человек/фирма без данных вообще.

Облаком обычно называют сервис, которым ты не рулишь. Типа, для тебя это просто внешняя магия. Но стоит ввести свой сервер "где-то там" и проблема устраняется. Серверы можно купить. У меня куплены серверы в России и Нидерландах, к примеру. В России живёт https://gitea.myachin.xyz/, https://invidious.myachin.xyz/. В Нидерландах живёт tor, socksproxy и https://nitter.myachin.xyz/. А https://cloud.myachin.xyz вообще живёт в квартире, в детской комнате в шкафу. В своём случае я отталкиваюсь от того, что в случае ОРМ потеряю фоточки и принимаю этот риск. А вот совсем критичные вещи у меня только ssh ключи. И они синхронизируются между всеми моими устройствами и всеми серверами. Думал ещё в IPFS выложить, но решил, что избыточно.

2 hours ago, Mrak said:

при условии, что они одновременно подключены к интернету

Ну да. Либо вводить сервер у Васи, чтобы хранить файлы, либо будь добр обеспечить онлайн. На самом деле второе достигается очень просто. Он установлен у меня на всех устройствах, включая все телефоны. И обычно происходит так:

  • Я что-то меняю на компе
  • К компу подключен телефон и заряжается. Это минимум раз в день происходит, обычно как раз в рабочее время. На телефоне стоит настройка на SyncThing, чтобы синхра происходила только на зарядке. Таким образом телефон получает изменения, которые сделал комп
  • Когда мне теперь надо ноут дотянуть, я просто подключаю к этому ноуту телефон. Это заставляет его заряжаться, что триггерит синк. Теперь ноут сожрал обновления. И не важно, выключен комп или нет
  • А сервер домашний вообще всегда работает. На самом деле это самое важное, но я считаю, что у тебя его нет, а вот телефон есть

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мы уже рассказывали, что большинство приложений для фитнеса и трекинга при занятиях спортом (например, бегом) при настройках по умолчанию практически никак не защищают ваши персональные данные. Маршруты и время тренировок, фотографии с пробежек, данные о вашей физической форме в большинстве случаев выкладываются в открытый доступ в Интернет, если вы явно это не запретите. А результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
      Чтобы избежать этого, необходимо настроить как сами смартфоны, так и беговые приложения. По ссылкам вы найдете инструкции по настройке наиболее популярных трекеров бега: Strava, Nike Run Club, MapMyRun, adidas Running.
      Завершая обзор настроек приватности беговых приложений, сегодня мы расскажем, как правильно настроить ASICS Runkeeper (версии для Android и iOS).
      Как и другие крупные производители спортивной обуви и амуниции Nike и adidas, японская компания ASICS, хорошо известная своей беговой обувью, не стала изобретать велосипед, а просто приобрела популярное приложение для трекинга бега Runkeeper и даже не переименовала его, добавив лишь собственное имя — ASICS Runkeeper.
      Настройки приватности в ASICS Runkeeper, как, впрочем, и в других беговых приложениях, находятся в не вполне очевидном месте. Если на основном экране щелкнуть на шестеренку в левом верхнем углу, то там вы их не найдете — это настройки тренировки. Вместо этого нажмите на кнопку Я в левом нижнем углу, далее нажмите на шестеренку в правом верхнем углу и на открывшейся странице выберите Настройки приватности.
      Где найти настройки приватности в приложении ASICS Runkeeper: Я → Настройки → Настройки приватности
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Ранее мы рассказывали, почему перед началом использования беговых трекеров обязательно нужно настроить конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении, — для минимизации утечки ваших персональных данных, включая геопозицию, в открытый доступ. Вы же не хотите, чтобы любой желающий мог подписаться на информацию о ваших пробежках и точно знать, где и когда вас можно найти офлайн?
      Вы можете изучить уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений Strava и Nike Run Club, а сегодня мы поговорим о настройках приватности в MapMyRun.
      У приложения MapMyRun (версии для Android и iOS) очень любопытная история. В сентябре 2024 года оно было приобретено в составе пакета приложений MapMyFitness медиакомпанией Outside под руководством генерального директора Робина Терстона у американского производителя спортивной обуви и одежды Under Armour. A Under Armour, в свою очередь, приобрела этот пакет аппов за $150 млн в 2013 году у некоего… Робина Терстона, основавшего MapMyFitness в 2007 году! Таким образом, через 11 лет Робин вернул себе компанию, основанную им 17 лет назад.
      Настраиваем приватность в MapMyRun
      Найти в этом приложении настройки приватности, нажав на кнопку с шестеренкой в правом верхнем углу основного экрана, как обычно, не получится — это снова настройки тренировки. Вместо этого надо нажать на кнопку с тремя точками в правом нижнем углу (для iOS) или на «бургер-меню» из трех линий в верхнем левом углу (для Android), далее выбрать пункт Настройки (не Центр конфиденциальности — это другое) и уже на открывшейся странице выбрать Конфиденциальность.
      Где найти настройки приватности в приложении MapMyRun: ••• → Настройки → Конфиденциальность
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В предыдущем посте, посвященном приватности беговых приложений в целом, мы подробно рассказывали, почему эти приложения — настоящий Клондайк персональных данных для мошенников и преступников всех сортов. Увы, по умолчанию они делятся с кем попало вашей конфиденциальной информацией, включая точную геопозицию. Результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
      Там же мы поделились подробной инструкцией по общей настройке смартфонов для минимизации этих рисков. В этом и следующих постах мы поговорим о тонких настройках наиболее популярных беговых приложений. Начнем со Strava.
      Strava (версии для Android и iOS) — вероятно, самое популярное приложение для отслеживания тренировок по бегу, велоспорту и просто пеших прогулок. И последнее, сохраняющее независимость: все остальные «большие» беговые приложения уже куплены производителями спортивной одежды и обуви. Кстати, именно оно стало героем нескольких инцидентов с использованием открытых данных — например, публикацией карты, выдавшей местоположение массы секретных объектов.
      Также Strava, как правило, становится центральным объектом претензий каждый раз, когда встает вопрос о том, как одни пользователи следят за другими через фитнес-приложения. Не могу не отметить, что упреки эти по-прежнему справедливы: по умолчанию пользовательский профиль в Strava настроен совершенно не приватно — приложение очень хочет, чтобы вы делились своими данными со всем Интернетом.
      Но это можно исправить — благо, в Strava есть довольно много настроек приватности. Чтобы до них добраться, нажмите кнопку Вы в правом нижнем углу экрана, потом нажмите кнопку с шестеренкой в правом верхнем углу экрана и в открывшемся окне выберите пункт Конфиденциальность.
      Где найти настройки приватности в приложении Strava: Вы → Настройки → Конфиденциальность
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Как мы уже рассказывали, нельзя просто так взять и начать использовать приложения для трекинга бега, не настроив предварительно конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении. При настройках по умолчанию эти приложения делятся со всем Интернетом полной информацией о ваших тренировках, включая точную геопозицию. А мошенники и преступники умеют использовать эти данные в своих целях.
      Если вы хоть немного заботитесь о своей приватности, изучите уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений — Strava, Nike Run Club, MapMyRun. А сегодняшний пост — для всех ценителей трех полосок: настроим приватность в трекинговом приложении adidas Running (версии для Android и iOS).
      Ранее известное как Runtastic, это фитнес-приложение теперь принадлежит крупнейшему европейскому производителю спортивной одежды и обуви и называется просто adidas Running. Настроек приватности в adidas Running не так много, как, например, в Strava. Тем не менее стоит убедиться в том, что все сконфигурировано правильно.
      Чтобы попасть в настройки приватности приложения adidas Running, нажмите на кнопку Профиль в правом нижнем углу, затем на кнопку с шестеренкой в правом верхнем углу и выберите пункт Конфиденциальность (в списке есть два пункта с таким названием, вам нужен верхний — с иконкой, на которой изображен ключ).
      Где найти настройки приватности в приложении adidas Running (Runtastic): Профиль → Настройки → Конфиденциальность
      Содержимое этого раздела почему-то забыли перевести на русский язык. В первую очередь здесь вас интересует пункт Maps (кому видны ваши карты) — убедитесь в том, что галочка стоит напротив Followers (подписчикам), а еще лучше — Only me (только мне).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
×
×
  • Создать...