ФСТЭК добавляет риски ИИ в банк данных угроз информационной безопасности

ФСТЭК России обновила Банк данных угроз безопасности информации добавив подраздел Угрозы безопасности информации систем искусственного интеллекта Это значимое событие подчёркивает растущее внимание регуляторов к вопросам кибербезопасности в сфере ИИ В новом подразделе систематизированы специфические угрозы характерные для систем искусственного интеллекта Угрозы представленные в подразделе качественно отличаются от уже известных 227 УБИ ранее внесённых в базу данных они отражают уникальные риски связанные с особенностями архитектуры и функционирования систем на базе ИИ Подраздел позволит специалистам своевременно идентифицировать уязвимости и разрабатывать превентивные меры защиты учитывающие специфику технологий машинного обучения и нейронных сетей Это особенно актуально в условиях повсеместной интеграции ИИ в критически важные системы от государственного управления до промышленных предприятий Инициатива создания данного раздела ФСТЭК России яркий пример целенаправленной работы регулятора по адаптации нормативной базы к современным технологическим реалиям Владислав Крылов ФСТЭК Telegram VK Сайт Подкаст

В банке данных угроз ФСТЭК впервые появились риски связанные с искусственным интеллектом По требованиям 152 ФЗ О персональных данных новые риски из банка угроз нужно использовать для разработки модели угроз Среди них наборы обучающих данных наш любимый RAG LoRA адаптеры векторы атак такие как эксплуатация уязвимостей в фреймворках для ИИ модификация системных промтов или конфигураций ИИ агентов и много всего еще Чтиво действительно интересное и очень подробное Даже если вас не касается 152 ФЗ рекомендуем почитать для общего повышения эрудиции в области понимания новых угроз векторов да и в целом систематизации мышления и заполнения пробелов cybersachok

ФСТЭК определила угрозы безопасности от искусственного интеллекта Федеральная служба по техническому и экспортному контролю впервые внесла в банк данных угроз информационной безопасности риски связанные с искусственным интеллектом В перечне описаны специфичные технологии ИИ уязвимости в которых могут использоваться злоумышленниками в кибератаках Это в частности модели машинного обучения наборы обучающих данных датасеты а также RAG Retrieval Augmented Generation подход при котором ответ генерируется на основе данных полученных из внешних источников и LoRA адаптеры Low Rank Adaptation подход который позволяет адаптировать большие модели к конкретным задачам Теперь любая организация от которой законодательство требует защиты своей информационной системы обязана использовать банк для разработки модели угроз говорится на сайте ФСТЭК Разработчикам софта для госструктур и критической инфраструктуры надо будет учитывать эти данные Статистики по использованию ИИ в атаках на российском IТ рынке пока нет Но согласно исследованию SlashNext за год после выхода ChatGPT 4 с марта 2023 года количество фишинговых рассылок в мировом масштабе выросло на 1265 за счет массовой генерации таких писем с помощью больших языковых моделей Solen Feyissa Unsplash Telegram Max

ИИ на службе мошенников тренды конца 2025 года Согласно данным экспертов по кибербезопасности в завершающемся году отмечен резкий рост фишинговых атак использующих технологии искусственного интеллекта особенно в сегменте розничной торговли и онлайн коммерции В декабре 2025 года зафиксирован скачок числа подобных инцидентов на 136 Основной целью злоумышленников в предновогодний период стала кража персональных данных и сведений о банковских картах По данным аналитиков 85 противоправных действий совершались с применением ИИ что свидетельствует об активном использовании этого инструмента в преступных схемах Перед праздниками активизировались рассылки фишинговых писем с использованием ИИ имитирующих уведомления от известных брендов Кроме того хакеры запустили множество фейковых розыгрышей и рекламных акций в социальных сетях маскируясь под официальные аккаунты крупных торговых сетей Атаки усиленные искусственным интеллектом стали доминирующей киберугрозой декабря 2025 года Злоумышленники используют ИИ для создания убедительных текстов на языке жертвы без грамматических ошибок ранее присущих фишинговым сообщениям Такая тнденция использования ИИ в преступных целях представляет серьезную опасность для пользователей в будущем году Возможны более персонализированные атаки на основе анализа данных из социальных сетей утечек информации и истории последних покупок поисковых запросов Кроме того злоумышленники применяют генеративные нейросети для создания качественных копий сайтов и логотипов известных онлайн магазинов что может ввести пользователей в заблуждение Поэтому убежден что законодателю контролирующим и правоохранительным органам необходимо уже сейчас задуматься о мерах противодействия использованию ИИ в преступных целях чтобы предотвратить заполнение интернета поддельными сайтами и вредоносными приложениями В противном случае в Новом году пользователям придется все чаще сталкиваться с фишинговым контентом отличить который от оригинала будет сложно даже опытным пользователям

Ежедневные покупки становятся приятнее, когда платишь меньше за то, что любишь.

Федеральная служба по техническому и экспортному контролю ФСТЭК впервые внесла в банк данных угроз БДУ информационной безопасности риски связанные с искусственным интеллектом ИИ следует из сообщения на сайте регулятора В перечне описаны специфичные технологии ИИ уязвимости в которых могут использоваться злоумышленниками в кибератаках Это в частности модели машинного обучения наборы обучающих данных датасеты а также RAG Retrieval Augmented Generation подход при котором ответ генерируется на основе данных полученных из внешних источников и LoRA адаптеры Low Rank Adaptation подход который позволяет адаптировать большие модели к конкретным задачам Также в разделе описаны векторы возможных атак например эксплуатация уязвимостей в фреймворках шаблонах для ИИ модификация системных промптов запросов или конфигураций агентов а также DoS атаки атака при которой используется одно устройство направленные на исчерпание квоты запросов Первоначальной целью создания БДУ являлось простое повышение информированности специалистов по информбезопасности о существующих угрозах Но теперь любая организация от которой законодательство требует защиты своей информационной системы обязана использовать банк для разработки модели угроз говорится на сайте ФСТЭК Согласно требованиям 152 ФЗ О персональных данных и требованиям ФСТЭК разработка модели угроз обязательна для большинства информационных систем которые обрабатывают персональные данные Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры Telegram Дзен MAX

ФСТЭК определила угрозы безопасности от искусственного интеллекта 23 декабря ВЕДОМОСТИ Федеральная служба по техническому и экспортному контролю ФСТЭК впервые внесла в банк данных угроз БДУ информационной безопасности риски связанные с искусственным интеллектом ИИ следует из сообщения на сайте регулятора В перечне описаны специфичные технологии ИИ уязвимости в которых могут использоваться злоумышленниками в кибератаках Это в частности модели машинного обучения наборы обучающих данных датасеты а также RAG Retrieval Augmented Generation подход при котором ответ генерируется на основе данных полученных из внешних источников и LoRA адаптеры Low Rank Adaptation подход который позволяет адаптировать большие модели к конкретным задачам Также в разделе описаны векторы возможных атак например эксплуатация уязвимостей в фреймворках шаблонах для ИИ модификация системных промптов запросов или конфигураций агентов а также DoS атаки атака при которой используется одно устройство направленные на исчерпание квоты запросов

ФСТЭК опубликовала список угроз искусственного интеллекта 23 декабря ITINFO MEDIA Федеральная служба по техническому и экспортному контролю ФСТЭК составила перечень опасностей которые несут системы искусственного интеллекта Список содержит элементы ИИ которые могут стать мишенями для злоумышленников В него вошли модели машинного обучения наборы данных для их обучения технология RAG и адаптеры LoRA RAG помогает ИИ искать ответы в сторонних источниках а LoRA позволяет подстраивать большие модели под узкие задачи Также описаны способы возможных атак К ним относят использование ошибок в программных платформах для ИИ изменение служебных запросов или настроек автоматических агентов Еще одной угрозой названы атаки на отказ в обслуживании которые исчерпывают лимит запросов к системе и выводят ее из строя

В 2025 году количество успешных атак на финсектор сократилось до минимума за четыре года 1 07 тыс Однако от массовых нападений злоумышленники постепенно перешли к целевым с усложненными сценариями с более высоким потенциальным результатом В дальнейшем сложность атак будет возрастать в том числе за счет использования искусственного интеллекта Одновременно ИИ будет способствовать увеличению числа хакеров с низкой технической подготовкой Подписывайтесь на Ъ Оставляйте бусты

Финсектор отбился от хакеров 25 декабря КОММЕРСАНТ Количество атак на финансовые организации сократилось за год на 12 В 2025 году количество успешных атак на финсектор сократилось до минимума за четыре года 1 07 тыс Однако от массовых нападений злоумышленники постепенно перешли к целевым с усложненными сценариями с более высоким потенциальным результатом В дальнейшем сложность атак будет возрастать в том числе за счет использования искусственного интеллекта Одновременно ИИ будет способствовать увеличению числа хакеров с низкой технической подготовкой По оценкам системного интегратора компании Информзащита в 2025 году количество успешных атак на финсектор банки биржи МФО и др составило 1 07 тыс сократившись по сравнению с прошлым годом на 12 и более чем в три раза по сравнению с 2022 годом В результате их доля в общем объеме атак на финсектор составила лишь 7 минимальное значение за четыре года Под успешной подразумевается любая достигшая цели атака злоумышленников Среди них компрометация данных или учетных записей нарушение деятельности недоступность сайта приложения утечка информации финансовый ущерб или закрепление в системе По оценке Информзащиты всего за 2025 год было совершено более 15 тыс атак на финансовые организации Финансовые организации приоритетные цели для многих категорий злоумышленников Банки страховые кредитные и другие организации отрасли обрабатывают значительные объемы конфиденциальных данных и играют ключевую роль в функционировании экономики государства отмечает аналитик исследовательской группы Positive Technologies Роман Резников По оценке Информзащиты наибольшую и возрастающую долю в способах проведения успешных атак в уходящем году заняли социальная инженерия 53 и вредоносное программное обеспечение ВПО 50 При этом эксплуатация уязвимостей 21 компрометация учетных данных 13 и веб атаки вредоносные воздействия на веб ресурсы 8 использовались реже Злоумышленники сочетают разные типы атак поэтому общая доля превышает 100 поясняют эксперты В новом году эксперты ожидают дальнейшего усложнения атак По словам руководителя группы расследования инцидентов Solar 4RAYS Ивана Сюхина профессиональные группировки будут применять большие языковые модели для управления сложными атаками Например недавно хакеры начали использовать инструмент из более чем 150 самостоятельных ИИ агентов который позволяет искать уязвимости автоматизировать создание эксплойтов программ которые использует ошибки в ПО и формировать новые цепочки атак указывает он Будет также увеличиваться и число сгенерированных инструментов для хакеров с низкой технической подготовкой в том числе за счет вайб кодинга генерации кода с помощью ИИ без последующей проверки и тестирования считает господин Сюхин