Скотт Копча стал свидетелем того, что видят руководители по информационной безопасности (CISO) по всему миру: сотрудники, стремящиеся использовать искусственный интеллект, будь то через общедоступные модели или собственные ИИ-инструменты, получают доступ к корпоративным данным с ошеломляющей скоростью и в огромных объемах.

У Копчи уже была отлажена стратегия защиты данных; как у юридической фирмы, его организация имела долгую историю обеспечения сохранности конфиденциальной информации. Тем не менее, Копча, CISO в юридической фирме Goodwin Procter, понимал, что стратегия защиты данных его фирмы должна развиваться.

«Когда начинаешь разбирать эти различные типы моделей ИИ, видишь, что существует семь или восемь различных способов их взаимодействия с вашими данными, а наши инструменты не обязательно были настроены для обеспечения необходимой широты мониторинга и защитных возможностей», — говорит он.

Он добавил еще один уровень защиты, который классифицировал и помечал данные в зависимости от того, можно ли их использовать с ИИ и при каких обстоятельствах. Он инвестировал в новые инструменты для поддержки этого уровня и отслеживает предложения поставщиков на предмет новых возможностей, которые могут дополнительно укрепить его программу защиты данных.

Стратегия защиты данных Копчи также предусматривает оценку новых технологий, развертываемых фирмой, для определения необходимости введения для них новых мер контроля — шаг, который, по его словам, гарантирует, что защита не отстает от технологических инноваций.

«Идея состоит в том, чтобы иметь возможность показать любому, кто спросит, что вы провели должную осмотрительность и проявили должную заботливость», — говорит он.

Копча не одинок в этом стремлении.

Многие CISO работают над совершенствованием своих стратегий защиты данных, что в первую очередь обусловлено взрывным ростом использования ИИ. Это заставляет их пересматривать политики, процедуры и инструменты, а также подходы к принятию решений и частоту пересмотра планов защиты данных.

«Данные всегда были жизненной силой предприятия. Изменилось то, что совокупность давлений делает защиту данных экспоненциально более сложной задачей», — говорит Крис Кокран, полевой CISO и вице-президент по безопасности ИИ в Институте SANS. «ИИ сделал традиционный периметр в значительной степени неактуальным. Сотрудники используют несанкционированные инструменты ИИ для работы с довольно тревожной скоростью, вставляя исходный код и данные клиентов в модели потребительского класса. Одна из проблем в том, что это не выглядит и не ощущается как эксфильтрация данных. Добавьте к этому расширяющиеся требования к суверенитету данных, руководящие указания регуляторов, касающиеся безопасности данных ИИ, и нависающую реальность того, как будет выглядеть шифрование после квантового прорыва, и вы поймете, почему это стало предметом обсуждения на уровне совета директоров».

Факторы, влияющие на оценку стратегий

CISO, эксперты по безопасности и специалисты по данным называют расширяющееся использование ИИ на предприятии основной причиной пересмотра стратегий защиты данных.

«ИИ раскрывает больше конфиденциальной информации, поскольку [работники] берут эту информацию и вводят ее в большие языковые модели (LLM)», — говорит Эррол Вайс, CSO в Health-ISAC.

Инструменты ИИ облегчают сотрудникам раскрытие конфиденциальных данных, говорит Вайс. Они могут быстро вводить защищенную информацию в общедоступную модель ИИ для решения повседневных задач, полагая, что работают эффективно, не осознавая рисков конфиденциальности данных, на которые они идут. «Сегодня так используют эту технологию сотни тысяч людей», — добавляет он.

Но есть и другие факторы, побуждающие CISO пересматривать свои политики и практики защиты данных. К ним относятся постоянно растущая скорость и объем генерации данных, расширение поверхностей атаки, усиление регуляторного давления, растущее внимание к операционной устойчивости и кибератаки с использованием ИИ.

Исследования показывают, что подавляющее большинство организаций принимают меры. Согласно Cisco 2026 Data and Privacy Benchmark Study, 90% организаций расширили свои программы конфиденциальности из-за ИИ, 43% увеличили расходы на конфиденциальность за последний год, а 93% планируют выделить больше ресурсов на конфиденциальность и управление данными в ближайшие два года из-за растущей сложности систем ИИ и ожиданий клиентов, заказчиков и регуляторов.

Дэн Меллен, глобальный технический директор по кибербезопасности в США в фирме EY, предоставляющей профессиональные услуги, говорит, что большинству организаций требуются улучшения.

Например, многие организации плохо справляются с классификацией и тегированием данных — двумя жизненно важными шагами для обеспечения применения адекватных мер безопасности к конфиденциальным данным, говорит он. «Мы видели бесчисленное множество примеров, когда правильные ограничительные механизмы отсутствуют», — добавляет он.

Многие ИТ-руководители также обнаруживают, что некоторые технологии, которые они внедряют для защиты данных, не способны удовлетворить их потребности по мере развития ИИ, особенно в отношении развертывания агентного ИИ, говорит Меллен. Например, не все инструменты предотвращения утечек данных (DLP) отслеживают боковое перемещение данных между серверами или рабочими нагрузками, а вместо этого обеспечивают только периметровую защиту, говорит он.

Майк Бейкер, вице-президент и глобальный CISO в DXC Technology, использует термин «расползание данных» (data sprawl) для описания растущего объема перемещаемых данных, которое сначала ускорилось с облачными вычислениями, а теперь с ИИ.

Как и другие CISO, Бейкер пересматривает свою программу защиты данных, чтобы убедиться, что он и его команда «действительно понимают, где находятся наши данные, понимают чувствительность данных во всем нашем имуществе, как к ним осуществляется доступ и в какой среде находятся данные».

С этой целью он развертывает лучшие в своем классе инструменты для идентификации, обнаружения и классификации данных, а также для управления доступом к ним и постоянного мониторинга потока данных. Он также внедрил структуру безопасности с нулевым доверием (zero-trust).

Кроме того, Бейкер теперь проводит больше внеплановых встреч, помимо ежеквартальных сессий с бизнес-руководителями, чтобы гарантировать, что стратегия защиты данных остается согласованной с бизнес-стратегией и способна идти в ногу с изменениями в технологической и деловой среде компании.

Однако не все организации предпринимают такие шаги.

Например, 20% руководителей заявили, что их организации не отслеживают свои программы конфиденциальности, согласно «Отчету о состоянии конфиденциальности за 2026 год» от ISACA, некоммерческой ассоциации специалистов по управлению, рискам, безопасности и обеспечению соответствия. Авторы отчета назвали это «вызывающим озабоченность, поскольку эти респонденты не имеют способа оценить прогресс своей программы конфиденциальности или выявить области для улучшения».

Ключевые направления действий

Организациям с незрелыми стратегиями защиты данных необходимо быстро наверстать упущенное, говорят эксперты. Независимо от того, на каком этапе зрелости они находятся, все могут стать лучше, добавляют они.

«Им предстоит много работы», — говорит Пэм Нигро, вице-президент по безопасности в Medecision и член совета директоров ISACA.

Нигро отмечает, что компании в строго регулируемых отраслях, таких как здравоохранение, к которым относится ее компания, как правило, имеют зрелые программы защиты данных. Они также с большей вероятностью будут регулярно пересматривать свои стратегии и стремиться к постоянному совершенствованию, добавляет она.

Нигро пересматривает свою стратегию защиты данных почти ежемесячно, чтобы ее практики и политики соответствовали развивающимся технологиям и бизнес-планам компании.

В соответствии с ее стратегией защиты данных команда Нигро анализирует, как новые технологии будут использовать данные компании для определения необходимости введения новых мер контроля; отслеживает поток трафика; и оценивает новые технологии защиты данных и безопасности на предмет возможного использования.

Кроме того, руководители служб безопасности предлагают другие действия, которые CISO могут предпринять для совершенствования своих стратегий и программ защиты данных.

Майк Аелло, бывший CISO в Goldman Sachs, а ныне партнер AllegisCyber Capital, предлагает тесно сотрудничать с другими руководителями для понимания вероятности и последствий утечек данных, «чтобы вы знали, на какие средства тратить деньги на какие средства контроля и какие данные следует защищать в первую очередь, а не сосредотачиваться на неоднозначных рисках».

Сделайте управление идентификацией и доступом (identity and access management) центральной частью вашей стратегии защиты данных, советует Аелло. Возможность распознавать и контролировать, кто (будь то человек или машина) авторизован для доступа к каким данным, имеет решающее значение для предотвращения утечек и соблюдения нормативных требований.

Аелло также советует руководителям служб безопасности иметь стратегию, касающуюся происхождения данных (data provenance), поскольку это гарантирует, что команды безопасности смогут обеспечить целостность, доверие и соответствие на протяжении всего жизненного цикла набора данных.

Имейте стратегию для регулярной оценки новых инструментов, особенно тех, которые используют ИИ, чтобы программа защиты данных организации могла извлечь выгоду из изменений в предложении поставщиков.

Джереми Коппен, CISO в Equifax, говорит, что «прожектор становится ярче» в отношении конфиденциальности данных, отмечая, что компания создала свой Фреймворк контролей безопасности и конфиденциальности много лет назад для управления обоими аспектами. (Equifax сделала этот фреймворк общедоступным в 2023 году.)

Стратегия компании предусматривала постоянную эволюцию, которая включала переход к среде без паролей; постоянную настройку и уточнение инструментов для их согласования с внутренними правилами и системой контроля компании; сосредоточение внимания на автоматизации и приоритизации; а также совместные инновации с поставщиками в области улучшения продуктов и услуг.

«Опережать», — говорит Коппен, — «требует неустанного внимания к развитию наших ограничительных механизмов для защиты каждого нового способа использования и доступа к нашим данным».