ЦБ РФ выпустил методические рекомендации для финансовых организаций по обеспечению информационной безопасности при использовании технологий искусственного интеллекта (ИИ), они опубликованы на сайте регулятора.

Банк России рекомендовал участникам рынка разработать собственные модели угроз и политику информационной безопасности для работы с ИИ. За подготовку этих внутренних документов должен отвечать заместитель руководителя организации по вопросам защиты информации.

Документ регулятора систематизирует риски применения ИИ, описывает возможные сценарии атак злоумышленников на системы ИИ и дает рекомендации по мерам защиты. Так, например, если финансовая организация использует ИИ в критически важных процессах с высокими рисками информационной безопасности, в частности, в платежных операциях, то рекомендуется, чтобы операцию подтверждал сотрудник.

Один из разделов документа касается информационной безопасности при использовании ИИ-сервисов, которые предоставляют поставщики услуг. Так, при обучении ИИ-модели поставщиком услуг с использованием данных компании, организациям рекомендуется передавать поставщику "очищенные" наборы данных или передавать синтетические, обезличенные, специально подготовленные данные.

Кроме того, при заключении договора на предоставление сервисов ИИ с поставщиком услуг организациям рекомендуется включать в него положения об ответственности поставщика за нарушения информационной безопасности сервисов ИИ, а также его обязанность по своевременному информированию о выявленных уязвимостях и инцидентах в области информационной безопасности. Наличие у поставщика модели ИИ, которая участвует в программе обнаружения уязвимостей, повышает доверие к ней.

Банк России в июле прошлого года разработал и направил в финансовые организации Кодекс этики в сфере разработки и применения ИИ на финрынке, он носит рекомендательных характер. В документе регулятор отмечал, что следует информировать клиентов, когда они взаимодействуют с ИИ, и предоставлять возможность отказаться от такого взаимодействия. ЦБ также предлагал организациям регулярно проверять качество ИИ, обращать внимание на соблюдение конфиденциальности персональных данных и организовать управление рисками ИИ.