Когда ChatGPT охраняет данные лучше, чем CISO
Инженер копирует список API-ключей в ChatGPT "для оптимизации". Финансист выгружает квартальные цифры в Gemini "для анализа". HR отправляет резюме в Claude. Никто не одобрил эти инструменты, контрактов нет, данные компании уже на серверах OpenAI, но пока никто об этом не знает. Shadow AI - удобство побеждает контроль.
80% компаний выявили неконтролируемое использование AI в офисе. IBM посчитала: средней степени брешь от неодобренного AI обходится в $650 тысяч. Плюс штрафы GDPR, потеря клиентов, судебные издержки. Разговоры про "культуру безопасности" становятся конкретными, когда вычитают из бюджета прибыли.
На планёрке менеджеры предлагают стандартное: "Нужен более мощный инструмент безопасности, ещё один AI для мониторинга, новые дашборды". Топы одобряют, CTO обещает, что платформа сократит половину команды кибербезопасности, заменив инструментами. Культура в Power Point не помещается, инструменты купить легче. Все довольны, пока не случится неизбежное.
Реальная проблема в другом. Четыре уровня классификации данных вместо трёх увеличивают риск брешей с 61% на 75% за два года. Данные классифицируют вручную, а значит ошибки растут. Лидеры не демонстрируют "я использую только одобренные инструменты". Поэтому и сотрудник не признается в утечке. Система не работает, потому что люди не доверяют - за ошибку наказывают, а не помогают исправить.
Когда структуру выстраивают правильно, изменения идут быстро. Потоки данных видны благодаря прорачным правилам и недорогим инструментам. Бреши уменьшаются, классификация угроз работает. CISO должен объяснять риск на языке бизнеса, хорошо подходит ROI: $100K инвестировано, один предовращённый инцидент - $600K экономии. То есть 500% возврата на затраты. Плюс люди начинают говорить правду, потому что за поиск и улучшение хвалят, за обман - нет. Это культура безопасности.