Риск неконтролируемого использования сотрудниками генеративных моделей на работе

копия на рутуб          https://rutube.ru/shorts/a24f0856ed0d3f579f7c3ccee4bb2cdb/

Наталья Касперская на сессии ЦИПР «ИИ без иллюзий. Технологии для реального сектора» youtu.be/I9mNEp4ZEPQ?t=152
19 мая 2026 года Наталья Касперская приняла участие в сессии ЦИПР «ИИ без иллюзий. Технологии для реального сектора». Эксперт указала на то, что принимать решение о внедрении технологий на базе ИИ тогда, когда они находятся на хайпе — неправильно. При этом она обратила внимание аудитории на то, что большинство ИИ-моделей, существующих в России — иностранного производства. А использование иностранных технологий сегодня — большой риск для предприятий промышленного сектора. Промышленные предприятия рискуют потерять важную информацию из-за неконтролируемого использования сотрудниками генеративных моделей на работе, причем риск этот пока слабо осознается.
И неконтролируемое использование сотрудниками генеративных моделей (LLM, ИИ-сервисов) действительно несёт серьёзные риски для бизнеса. Это явление часто называют «теневым ИИ», когда работники применяют внешние инструменты для рабочих задач без ведома и контроля со стороны компании.
e.tspor.ru +3

Основные риски
1. Утечка конфиденциальной информации и нарушение законодательства Публичные ИИ-сервисы могут сохранять вводимые данные для дообучения моделей, что создаёт риск их попадания в открытый доступ или к третьим лицам. Сотрудники могут загружать в нейросети клиентские базы, финансовые отчёты, исходный код, персональные данные, что нарушает требования закона о защите персональных данных (ФЗ-152) и грозит утечкой коммерческой тайны. Например, в 2023 году сотрудники Samsung случайно загрузили внутренние данные в ChatGPT, что привело к утечке и последующему запрету публичных ИИ-сервисов в компании.
e.tspor.ru +2

2. Потеря интеллектуальной собственности и нарушение авторских прав Загрузка собственных разработок, алгоритмов или уникальных данных в публичные модели может привести к их утрате как коммерческой тайны или невозможности доказать авторство на созданный с помощью ИИ результат. Кроме того, сгенерированный контент может содержать фрагменты из чужих защищённых авторским правом материалов, что создаёт риск судебных исков.

3. Ошибки в данных и неверные управленческие решения Генеративные модели подвержены «галлюцинациям» — созданию правдоподобной, но ложной информации. Если сотрудники слепо доверяют таким ответам и не проводят критическую проверку, это может привести к серьёзным ошибкам в аналитике, стратегических решениях, юридических документах, что грозит финансовыми убытками и репутационными потерями.

4. Киберугрозы и компрометация данных Злоумышленники могут использовать уязвимости в работе с ИИ, например, через промпт-инъекции (скрытые команды в запросе, заставляющие модель выполнять вредоносные действия) или подмену данных в системах типа RAG (Retrieval-Augmented Generation). Это открывает канал для утечки учётных данных, токенов доступа и другой критически важной информации.

5. Снижение профессиональных компетенций сотрудников Чрезмерная зависимость от ИИ может замедлить накопление сотрудниками практического опыта, развитие критического мышления и способности самостоятельно решать сложные задачи. В долгосрочной перспективе это ослабляет кадровый резерв компании.

Почему сотрудники обходят запреты?
Часто работники сами ищут удобные инструменты, чтобы ускорить рутину, но не сообщают об этом руководству из-за страха наказания, неуверенности или желания получить конкурентное преимущество. Запреты без альтернативы часто приводят к тому, что сотрудники находят обходные пути (личные аккаунты, браузерные расширения)
Как минимизировать риски?
Эффективная стратегия — не полный запрет, а создание контролируемой среды и чётких правил. Вот ключевые шаги:

Проведите аудит текущих практик. Выясните, какие ИИ-инструменты уже используются, для каких задач и какие данные при этом задействованы. Поможет анонимный опрос или анализ сетевого трафика.
e.tspor.ru +1
Разработайте и внедрите политику использования ИИ. Чётко пропишите, какие данные запрещено загружать, какие сервисы разрешены, кто несёт ответственность за проверку результатов, а также план действий при инциденте.
e.tspor.ru +1
Внедрите технические средства контроля. Используйте DLP-системы для блокировки доступа к запрещённым публичным сервисам и предотвращения утечки данных.
Замените публичные сервисы корпоративными. Разверните внутренние ИИ-решения в защищённом контуре компании, чтобы данные не покидали периметр.
Обучите сотрудников. Проведите тренинги по цифровой гигиене: как правильно формулировать промпты, критически оценивать сгенерированный контент, распознавать риски.
hh.ru +1
Регулярно обновляйте политику. Технологии быстро меняются, поэтому правила нужно пересматривать, например, раз в квартал.
Главное — не запрещать, а предлагать безопасные и эффективные альтернативы, превращая «теневой ИИ» в осознанный рабочий инструмент.