Свежее совместное исследование системного интегратора УЦСБ и ГК «Солар», о котором пишет d-russia.ru, показывает неприятную арифметику: 50,5% российских компаний либо подозревают, что через ИИ-инструменты утекают конфиденциальные данные, либо уже поймали такие инциденты за руку. Из 102 опрошенных организаций (телеком, промышленность, финансы, госсектор, энергетика, транспорт, торговля, медицина, стройка) 42,4% говорят «кажется, у нас течёт», ещё 8,1% — «точно течёт, зафиксировали». Оставшиеся 49,5% уверяют, что у них всё нормально.
Что происходит на фоне
Разрыв между подозрениями и подтверждёнными случаями — не про то, что бизнес паникует зря. Скорее наоборот: это индикатор того, что средств мониторинга и контроля за тем, что сотрудники сливают в ChatGPT и его аналоги, у большинства просто нет. При этом, по данным того же «Солара», за 2025 год объём утечек данных в публичные LLM вырос в 30 раз. То есть половина рынка не подозревает — но это не значит «не течёт», это значит «не видим».
Ещё показательнее — про что компании просят рынок. 63,6% жалуются не на отсутствие технологий, а на нехватку обучения сотрудников и внутренних регламентов AI Security. Это выше, чем спрос на LLM-файрволы (39,4%), MLSecOps (23,2%) или аудит и red teaming ИИ-систем (37,4%). Треть организаций вообще не применяет никаких специальных мер защиты ИИ — при том, что риски декларируют все.
Что с этим делать
Если вы отвечаете за ИБ или ПД в компании, где сотрудники уже вовсю кормят чужие модели рабочими документами, полезно задать себе три вопроса. Первый: знаете ли вы вообще, что и куда уходит — есть ли контроль трафика на уровне SWG или LLM-файрвола? Второй: есть ли внутренняя политика по использованию генеративного ИИ, и знают ли о ней те, кто копипастит промпты? Третий: как вы будете разбирать инцидент, если персональные данные клиента окажутся в логах чужой модели — с точки зрения 152-ФЗ это ваша ответственность как оператора, а не разработчика LLM.
- Технические средства без регламентов — полумера, это подтверждают и авторы исследования.
- Регламенты без обучения — бумажка, которую никто не откроет.
- Обучение без мониторинга — надежда, а не защита.
Рынок явно переходит от вопроса «использовать ли ИИ» к вопросу «как использовать, чтобы не прилететь». Пока — в основном на уровне осознания проблемы.