Совет по ценным бумагам и биржам Индии (Securities and Exchange Board) рекомендовал участникам фондового рынка страны немедленно пересмотреть свои системы и практики информационной безопасности на случай, если ИИ для поиска уязвимостей Mythos от Anthropic спровоцирует волну кибератак.
Этот Совет является индийским аналогом Комиссии по ценным бумагам и биржам США (SEC) или Управления по финансовому регулированию и надзору Великобритании (FCA). Во вторник индийский регулятор выпустил консультативное письмо, которое начинается следующим наблюдением:
Быстрая эволюция новых технологий, включая инструменты для идентификации уязвимостей на базе ИИ (например, Claude Mythos), привнесла новые аспекты рисков для Регулируемых организаций. Подобные инструменты могут повлечь за собой повышенную подверженность риску, позволяя выявлять и потенциально использовать существующие уязвимости с высокой скоростью и в больших масштабах. Это также может вызвать опасения, касающиеся конфиденциальности данных, целостности приложений и надежности результатов.
В ответ на эти угрозы Совет создал целевую группу, которая будет изучать риски, исходящие от таких моделей, как Mythos, обмениваться разведывательными данными об угрозах, сообщать об инцидентах и инициировать проверку кибербезопасности у сторонних поставщиков программного обеспечения, которые обслуживают регулятора и подконтрольные ему организации.
Далее в консультативном письме даются базовые рекомендации по информационной безопасности: обеспечить своевременное обновление патчей, проводить аудит потенциальных уязвимостей, вести инвентаризацию API и обеспечивать их безопасность, наладить работу серьезного SOC (Security Operations Center) и следовать его рекомендациям, а также укреплять системы путем внедрения таких принципов, как нулевое доверие (zero-trust networking) и запуск только необходимых сервисов.
Регулятор также предписал участникам индийских рынков акционерного капитала, чтобы их ИТ-комитеты разработали руководящие указания по смягчению рисков, создаваемых моделями обнаружения уязвимостей на базе ИИ, а затем составили план по использованию ИИ в качестве части своего арсенала информационной безопасности.
«Кроме того, необходимо принять другие меры, включая перекалибровку рисков для угроз, ускоренных ИИ, трансформацию SOC с помощью ИИ и постоянное управление уязвимостями с использованием инструментов ИИ», — говорится в консультативном письме.
Совет адресовал эти рекомендации 19 различным категориям компаний: от венчурных капиталистов до инвестиционных банкиров, взаимных фондов, фондовых бирж и даже нишевых поставщиков, таких как агентства, хранящие информацию о клиентах (know your customer).
Другие регуляторы по всему миру также признали риски, которые несет Mythos. Министр финансов США Скотт Бессент созвал экстренное совещание с банками страны несколько недель назад. Сингапурские регуляторы сделали то же самое вчера. Австралийские регуляторы направили местным банкам настоятельное напоминание о необходимости разработки стратегий ИИ, учитывающих риски, создаваемые этой технологией. Валютное управление Гонконга работает над новыми рекомендациями по информационной безопасности для эпохи Mythos.
Подход Индии выделяется тем, что он фактически ставит подконтрольные ей организации в состояние боевой готовности перед лицом неминуемой угрозы и предписывает им принять меры для предотвращения проблем. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Simon Sharwood
