Согласно опубликованному в среду отчету Министерства финансов США , в котором рассматриваются киберриски, связанные с ИИ, для сектора критической инфраструктуры, отрасль финансовых услуг может стать все более уязвимой для кибермошенничества, совершаемого злоумышленниками, использующими инструменты искусственного интеллекта.
Отчет, подготовленный Управлением по кибербезопасности и защите критически важной инфраструктуры Министерства финансов США во исполнение указа президента Джо Байдена об использовании искусственного интеллекта , не содержит никаких требований к сектору финансовых услуг, связанных с кибербезопасностью, а также не рекомендует и не выступает против использования ИИ в работе отрасли. Однако отчет, основанный частично на интервью с представителями 42 компаний, работающих в сфере финансовых услуг и технологий, предупреждает отрасль в целом о потенциале ИИ в плане усугубления мошенничества, а также делится передовым опытом и примерами использования ИИ для предотвращения киберугроз и мошенничества.
«Искусственный интеллект меняет представление о кибербезопасности и мошенничестве в секторе финансовых услуг, и администрация Байдена намерена сотрудничать с финансовыми учреждениями для использования новых технологий, одновременно защищая от угроз операционной устойчивости и финансовой стабильности», — заявила заместитель министра внутренних финансов Нелли Лян . «Отчёт Министерства финансов об ИИ основан на нашем успешном государственно-частном партнёрстве по безопасному внедрению облачных технологий и предлагает чёткое видение того, как финансовые учреждения могут безопасно планировать свои бизнес-направления и пресекать стремительно развивающееся мошенничество с использованием ИИ».
В отчете отмечается, что опасения по поводу роста кибермошенничества подпитываются возросшей доступностью новых инструментов ИИ, что дает злоумышленникам «преимущество за счет опережения и численного превосходства над целями ИИ», по крайней мере на начальном этапе.
Чтобы бороться с этим преимуществом, в отчете финансовым учреждениям рекомендуется «расширить и укрепить свои методы управления рисками и кибербезопасности с учетом передовых и новых возможностей систем ИИ, рассмотреть возможность более тесной интеграции решений ИИ в свои методы кибербезопасности и усилить сотрудничество, в частности, обмен информацией об угрозах».
В отчёте говорится, что управление киберрисками, связанными с ИИ, должно быть сопоставимо с передовыми практиками защиты ИТ-систем. Несколько участвующих финансовых учреждений сообщили авторам отчёта, что их текущие практики соответствуют элементам Рамочной программы управления рисками ИИ Национального института стандартов и технологий , хотя «многие также отметили, что сложно разработать практические и общекорпоративные политики и средства контроля для новых технологий, таких как генеративный ИИ».
Другие участники отчета финансового сектора заявили, что они разрабатывают внутри компании специфические для ИИ структуры управления рисками, многие из которых руководствуются принципами, изложенными в RMF NIST, а также принципами ИИ Управления экономического сотрудничества и развития и руководством по безопасности и конфиденциальности ИИ проекта Open Worldwide Application Security Project .
Однако эксперименты с внутренними системами и инфраструктурами искусственного интеллекта финансовых компаний и их разработка подчеркивают «растущий разрыв в возможностях» между крупнейшими и наименьшими компаниями в секторе.
«Одна компания заявила, что около 400 её сотрудников работают над системами ИИ для предотвращения мошенничества, а поставщики услуг ИИ отметили, что крупные компании обращаются к ним с тысячами заявок на использование ИИ», — говорится в отчёте. «Небольшие компании сообщают об отсутствии у них ИТ-ресурсов или опыта для разработки собственных моделей ИИ; поэтому они полагаются исключительно на сторонних или основных поставщиков услуг для реализации таких возможностей».
Многие участники из финансовых учреждений заявили, что считают внедрение ИИ важным, поскольку эта технология потенциально способна «значительно повысить качество и экономическую эффективность их функций кибербезопасности и борьбы с мошенничеством». Среди способов использования ИИ киберпреступниками в отчёте особо отмечены социальная инженерия, генерация вредоносных программ и кода, обнаружение уязвимостей и дезинформация. Киберугрозы для систем ИИ включают в себя искажение данных, утечку данных, уклонение от защиты и извлечение моделей.
Автоматизация, которая в настоящее время используется финансовыми учреждениями для «трудоёмких и требующих много времени задач по борьбе с мошенничеством и обеспечению кибербезопасности», вероятно, будет улучшена благодаря генеративному ИИ «за счёт сбора и обработки более обширных и глубоких наборов данных и использования более сложной аналитики». В отчёте также говорится, что подобные технологии также могут позволить финансовым компаниям принимать «более активные меры по обеспечению кибербезопасности и предотвращению мошенничества».
В дальнейшем представители сектора финансовых услуг отметили, что было бы полезно иметь «общий лексикон» инструментов ИИ для более продуктивного общения со сторонними организациями и регулирующими органами, гарантируя, что все заинтересованные стороны говорят на одном языке. Участники исследования также отметили, что их компании «выиграют от разработки передовых практик в области картирования цепочек поставок данных и стандартов данных».
Министерство финансов заявило, что будет сотрудничать с финансовым сектором, а также Национальным институтом стандартов и технологий, Агентством по кибербезопасности и безопасности инфраструктуры и Национальным управлением по телекоммуникациям и информации для дальнейшего обсуждения возможных рекомендаций, связанных с этими запросами.
В ближайшие месяцы должностные лица Министерства финансов будут сотрудничать с представителями отрасли, другими ведомствами, международными партнерами, а также федеральными и региональными органами регулирования финансового сектора по важнейшим инициативам, связанным с проблемами, связанными с ИИ в этом секторе.
Отчет, подготовленный Управлением по кибербезопасности и защите критически важной инфраструктуры Министерства финансов США во исполнение указа президента Джо Байдена об использовании искусственного интеллекта , не содержит никаких требований к сектору финансовых услуг, связанных с кибербезопасностью, а также не рекомендует и не выступает против использования ИИ в работе отрасли. Однако отчет, основанный частично на интервью с представителями 42 компаний, работающих в сфере финансовых услуг и технологий, предупреждает отрасль в целом о потенциале ИИ в плане усугубления мошенничества, а также делится передовым опытом и примерами использования ИИ для предотвращения киберугроз и мошенничества.
«Искусственный интеллект меняет представление о кибербезопасности и мошенничестве в секторе финансовых услуг, и администрация Байдена намерена сотрудничать с финансовыми учреждениями для использования новых технологий, одновременно защищая от угроз операционной устойчивости и финансовой стабильности», — заявила заместитель министра внутренних финансов Нелли Лян . «Отчёт Министерства финансов об ИИ основан на нашем успешном государственно-частном партнёрстве по безопасному внедрению облачных технологий и предлагает чёткое видение того, как финансовые учреждения могут безопасно планировать свои бизнес-направления и пресекать стремительно развивающееся мошенничество с использованием ИИ».
В отчете отмечается, что опасения по поводу роста кибермошенничества подпитываются возросшей доступностью новых инструментов ИИ, что дает злоумышленникам «преимущество за счет опережения и численного превосходства над целями ИИ», по крайней мере на начальном этапе.
Чтобы бороться с этим преимуществом, в отчете финансовым учреждениям рекомендуется «расширить и укрепить свои методы управления рисками и кибербезопасности с учетом передовых и новых возможностей систем ИИ, рассмотреть возможность более тесной интеграции решений ИИ в свои методы кибербезопасности и усилить сотрудничество, в частности, обмен информацией об угрозах».
В отчёте говорится, что управление киберрисками, связанными с ИИ, должно быть сопоставимо с передовыми практиками защиты ИТ-систем. Несколько участвующих финансовых учреждений сообщили авторам отчёта, что их текущие практики соответствуют элементам Рамочной программы управления рисками ИИ Национального института стандартов и технологий , хотя «многие также отметили, что сложно разработать практические и общекорпоративные политики и средства контроля для новых технологий, таких как генеративный ИИ».
Другие участники отчета финансового сектора заявили, что они разрабатывают внутри компании специфические для ИИ структуры управления рисками, многие из которых руководствуются принципами, изложенными в RMF NIST, а также принципами ИИ Управления экономического сотрудничества и развития и руководством по безопасности и конфиденциальности ИИ проекта Open Worldwide Application Security Project .
Однако эксперименты с внутренними системами и инфраструктурами искусственного интеллекта финансовых компаний и их разработка подчеркивают «растущий разрыв в возможностях» между крупнейшими и наименьшими компаниями в секторе.
«Одна компания заявила, что около 400 её сотрудников работают над системами ИИ для предотвращения мошенничества, а поставщики услуг ИИ отметили, что крупные компании обращаются к ним с тысячами заявок на использование ИИ», — говорится в отчёте. «Небольшие компании сообщают об отсутствии у них ИТ-ресурсов или опыта для разработки собственных моделей ИИ; поэтому они полагаются исключительно на сторонних или основных поставщиков услуг для реализации таких возможностей».
Многие участники из финансовых учреждений заявили, что считают внедрение ИИ важным, поскольку эта технология потенциально способна «значительно повысить качество и экономическую эффективность их функций кибербезопасности и борьбы с мошенничеством». Среди способов использования ИИ киберпреступниками в отчёте особо отмечены социальная инженерия, генерация вредоносных программ и кода, обнаружение уязвимостей и дезинформация. Киберугрозы для систем ИИ включают в себя искажение данных, утечку данных, уклонение от защиты и извлечение моделей.
Автоматизация, которая в настоящее время используется финансовыми учреждениями для «трудоёмких и требующих много времени задач по борьбе с мошенничеством и обеспечению кибербезопасности», вероятно, будет улучшена благодаря генеративному ИИ «за счёт сбора и обработки более обширных и глубоких наборов данных и использования более сложной аналитики». В отчёте также говорится, что подобные технологии также могут позволить финансовым компаниям принимать «более активные меры по обеспечению кибербезопасности и предотвращению мошенничества».
В дальнейшем представители сектора финансовых услуг отметили, что было бы полезно иметь «общий лексикон» инструментов ИИ для более продуктивного общения со сторонними организациями и регулирующими органами, гарантируя, что все заинтересованные стороны говорят на одном языке. Участники исследования также отметили, что их компании «выиграют от разработки передовых практик в области картирования цепочек поставок данных и стандартов данных».
Министерство финансов заявило, что будет сотрудничать с финансовым сектором, а также Национальным институтом стандартов и технологий, Агентством по кибербезопасности и безопасности инфраструктуры и Национальным управлением по телекоммуникациям и информации для дальнейшего обсуждения возможных рекомендаций, связанных с этими запросами.
В ближайшие месяцы должностные лица Министерства финансов будут сотрудничать с представителями отрасли, другими ведомствами, международными партнерами, а также федеральными и региональными органами регулирования финансового сектора по важнейшим инициативам, связанным с проблемами, связанными с ИИ в этом секторе.
