Загрузка служебных файлов в публичный ИИ-сервис
Летом прошлого года временный руководитель Агентства кибербезопасности и инфраструктуры США (CISA) Мадху Готтумуккала загрузил документы для служебного пользования в публичную версию ChatGPT. Сработавшие в августе сенсоры кибербезопасности CISA зафиксировали эту операцию. Хотя файлы имели гриф 'только для служебного пользования', они не являлись засекреченными.
Готтумуккала, занявший пост в CISA в мае, получил разрешение на использование ChatGPT от Управления главного информационного директора агентства. Это позволило ему работать с инструментом, в то время как для других сотрудников Министерства внутренней безопасности США (DHS) доступ к приложению был заблокирован. В течение первой недели августа система зафиксировала несколько предупреждений о загрузке документов.
После обнаружения инцидента в DHS была проведена внутренняя проверка. Готтумуккала обсудил произошедшее с руководством министерства, включая главного информационного директора CISA Роберта Костелло и главного юрисконсульта Спенсера Фишера. По словам представителя Марси Маккарти, ему было разрешено использовать ChatGPT под контролем DHS, и это использование носило 'краткосрочный и ограниченный характер'.
Риски утечек данных в эпоху ИИ
Этот случай вызвал серьёзную озабоченность на фоне других инцидентов с утечкой конфиденциальных данных. Например, 4 марта 2024 года бывший военнослужащий Национальной гвардии штата Массачусетс Джек Тейшейра признал вину в деле об утечке секретных документов Пентагона и согласился на 16 лет тюрьмы. Ситуация с Готтумуккалой вновь подчеркивает критическую важность соблюдения мер безопасности при обработке чувствительной информации. Подобные инциденты актуальны и для российских организаций, где вопросы регулирования использования ИИ для работы с данными также выходят на первый план.
Происшествие может послужить сигналом для государственных учреждений по всему миру о необходимости усилить контроль за применением технологий, имеющих доступ к служебной информации. В условиях растущих киберугроз крайне важно выстраивать чёткие процедуры и обучать сотрудников безопасному обращению с данными. Этот инцидент, вероятно, приведёт к пересмотру политик использования искусственного интеллекта в правительственных структурах, включая вопросы доступа и классификации данных.