Конкуренция в экономике ИИ-агентов уже началась
В продолжение темы экономического взаимодействия ИИ-агентов: несмотря на текущие недостатки, их использование неуклонно растёт и в перспективе окажет значительное влияние на экономику в целом и на бизнес-модели многих компаний в частности. Технологические компании это понимают, поэтому конкурентная борьба в этой области между ними уже началась.
Компания Amazon обратилась в суд с требованием запретить использование на своей платформе ИИ-агента браузера Comet от Perplexity. Формальные претензии маркетплейса заключаются в том, что агент совершает покупки от имени реальных пользователей без уведомления и разрешения платформы. Amazon утверждает, что такие действия, имитирующие поведение человека, снижают качество обслуживания клиентов, нарушают выстроенную за долгие годы систему персонализации и представляют угрозу безопасности данных клиентов.
Perplexity отвергает обвинения, заявляя, что не нарушает закон и действует в интересах пользователей. Все пользовательские данные, по их словам, хранятся локально. При этом Perplexity считает, что Amazon используется своё монопольное положение для ограничения конкуренции с целью сохранения своей бизнес-модели, ориентированной не на выгоду покупателя, а на показ рекламы.
В общем, историю стоит взять на заметку. Пока ИИ-агенты несовершенны, у каждой компании есть время подумать над вопросом: может ли их развитие нести риски для отрасли, бизнес-модели или отдельных ключевых процессов? И если да, то какие?
#цифровая_экономика #digital_economy #AI_agents #ИИ_агенты
В продолжение темы экономического взаимодействия ИИ-агентов: несмотря на текущие недостатки, их использование неуклонно растёт и в перспективе окажет значительное влияние на экономику в целом и на бизнес-модели многих компаний в частности. Технологические компании это понимают, поэтому конкурентная борьба в этой области между ними уже началась.
Компания Amazon обратилась в суд с требованием запретить использование на своей платформе ИИ-агента браузера Comet от Perplexity. Формальные претензии маркетплейса заключаются в том, что агент совершает покупки от имени реальных пользователей без уведомления и разрешения платформы. Amazon утверждает, что такие действия, имитирующие поведение человека, снижают качество обслуживания клиентов, нарушают выстроенную за долгие годы систему персонализации и представляют угрозу безопасности данных клиентов.
Perplexity отвергает обвинения, заявляя, что не нарушает закон и действует в интересах пользователей. Все пользовательские данные, по их словам, хранятся локально. При этом Perplexity считает, что Amazon используется своё монопольное положение для ограничения конкуренции с целью сохранения своей бизнес-модели, ориентированной не на выгоду покупателя, а на показ рекламы.
В общем, историю стоит взять на заметку. Пока ИИ-агенты несовершенны, у каждой компании есть время подумать над вопросом: может ли их развитие нести риски для отрасли, бизнес-модели или отдельных ключевых процессов? И если да, то какие?
#цифровая_экономика #digital_economy #AI_agents #ИИ_агенты
Руководство по созданию ИИ-агентов от Google
Google опубликовал подробное руководство по созданию ИИ-агентов, ориентированное на практическое применение и построение полноценных автономных систем. В документе раскрываются:
▪️Ключевые компоненты архитектуры ИИ-агентов.
▪️Различные уровни сложности агентов – от простых решателей задач до масштабируемых многоагентных систем и самосовершенствующихся организмов.
▪️Этапы разработки – от выбора модели и инструментов до развертывания и мониторинга работы.
▪️Принципы безопасности.
Это полезный документ для всех, кто интересуется развитием современных ИИ-систем. Скачивать можно здесь.
#ИИ #AI #инструменты #tools
Google опубликовал подробное руководство по созданию ИИ-агентов, ориентированное на практическое применение и построение полноценных автономных систем. В документе раскрываются:
▪️Ключевые компоненты архитектуры ИИ-агентов.
▪️Различные уровни сложности агентов – от простых решателей задач до масштабируемых многоагентных систем и самосовершенствующихся организмов.
▪️Этапы разработки – от выбора модели и инструментов до развертывания и мониторинга работы.
▪️Принципы безопасности.
Это полезный документ для всех, кто интересуется развитием современных ИИ-систем. Скачивать можно здесь.
#ИИ #AI #инструменты #tools
👍1
Проблемы ИИ в аудите
Крупные аудиторские компании Великобритании активно внедряют искусственный интеллект (ИИ) для решения различных задач: от сложной оценки рисков до автоматического обнаружения аномалий и предотвращения мошенничества. И хотя ИИ предоставляет им новые возможности для повышения эффективности, он одновременно ставит сложные вопросы, связанные с этикой, регулированием и природой аудиторских доказательств.
▪️Проблема «объяснимости». Согласно Международным стандартам аудита (МСА), аудитор обязан понимать, на чем основаны его выводы, а Совет по финансовой отчетности (Financial Reporting Council, FRC) требует от аудиторских фирм четко документировать свои суждения и обеспечивать прослеживаемость доказательств. В случае ИИ возникает проблема «черного ящика» - объяснить выводы, к которым пришла модель, невозможно. Для решения этой задачи компании внедряют технологии «объяснимого ИИ» (Explainable AI, XAI). Они позволяют получить сводный отчет с 5-10 основными характеристиками данных, наиболее повлиявшими на работу модели, давая аудитору базу для профессионального суждения.
▪️Этические соображения: предвзятость и справедливость. Модель, обученная на исторических данных, может необоснованно завышать риски в одной области и занижать в другой, игнорируя последние изменения и улучшения. Поэтому регулярный мониторинг и оценка моделей ИИ аудиторами на предмет предвзятости становятся частью аудиторского процесса.
▪️Адаптация нормативно-правовой базы. Развитие технологий и рынка в настоящее время опережает темпы разработки нормативно-правовой базы. Несмотря на прогрессивную позицию Совета по финансовой отчетности, остаётся актуальной необходимость в более четких рекомендациях по стандарту аудиторских доказательств, полученных с помощью ИИ.
#ИИ #AI
Крупные аудиторские компании Великобритании активно внедряют искусственный интеллект (ИИ) для решения различных задач: от сложной оценки рисков до автоматического обнаружения аномалий и предотвращения мошенничества. И хотя ИИ предоставляет им новые возможности для повышения эффективности, он одновременно ставит сложные вопросы, связанные с этикой, регулированием и природой аудиторских доказательств.
▪️Проблема «объяснимости». Согласно Международным стандартам аудита (МСА), аудитор обязан понимать, на чем основаны его выводы, а Совет по финансовой отчетности (Financial Reporting Council, FRC) требует от аудиторских фирм четко документировать свои суждения и обеспечивать прослеживаемость доказательств. В случае ИИ возникает проблема «черного ящика» - объяснить выводы, к которым пришла модель, невозможно. Для решения этой задачи компании внедряют технологии «объяснимого ИИ» (Explainable AI, XAI). Они позволяют получить сводный отчет с 5-10 основными характеристиками данных, наиболее повлиявшими на работу модели, давая аудитору базу для профессионального суждения.
▪️Этические соображения: предвзятость и справедливость. Модель, обученная на исторических данных, может необоснованно завышать риски в одной области и занижать в другой, игнорируя последние изменения и улучшения. Поэтому регулярный мониторинг и оценка моделей ИИ аудиторами на предмет предвзятости становятся частью аудиторского процесса.
▪️Адаптация нормативно-правовой базы. Развитие технологий и рынка в настоящее время опережает темпы разработки нормативно-правовой базы. Несмотря на прогрессивную позицию Совета по финансовой отчетности, остаётся актуальной необходимость в более четких рекомендациях по стандарту аудиторских доказательств, полученных с помощью ИИ.
#ИИ #AI
И снова штрафы…
Прошлая неделя была богата новостями, которые вряд ли прибавят оптимизма многим компаниям.
▪️Руководитель Минцифры сообщил о подготовке законопроекта, предусматривающего введение оборотных штрафов для компаний, которые не переведут свои значимые объекты критической информационной инфраструктуры (ЗОКИИ) на российское ПО. На данный момент срок для этого установлен до 2028 года. Штрафовать будут также за отсутствие классификации используемых систем как объектов КИИ. Размер штрафов пока неизвестен и обсуждается чиновниками. Министр не уточнил, обсуждаются ли вопросы отсутствия отечественных аналогов некоторых классов ПО, наличие недоработок, более высокая цена у имеющихся аналогов и сопутствующие риски безопасности от ПО, созданного «на скорую руку».
▪️В Госдуму внесен законопроект о штрафах для владельцев российских сайтов за использование иностранных сервисов авторизации пользователей. Согласно предложению, авторизация должна осуществляться только с использованием российского номера телефона, портала «Госуслуги», Единой биометрической системы или других информационных систем, принадлежащих гражданам или юрлицам РФ. За нарушение предусмотрены штрафы: 10-20 тыс. руб. для физических лиц, 30-50 тыс. руб. для должностных лиц и 500-700 тыс. руб. для юридических лиц. Законопроект также предполагает штрафы за применение рекомендательных технологий без информирования, неразмещение владельцем сайта правил их использования и отсутствие адреса электронной почты для направления юридически важных сообщений.
По традиции, такие законопроекты, скорее всего, будут приняты достаточно оперативно в ближайшем будущем. Поэтому самое время ещё раз оценить риски для компании и сформировать либо актуализировать существующий план действий. В работе может пригодиться свежий перечень актуальных нормативно-правовых актов по обеспечению безопасности критической информационной инфраструктуры (КИИ), составленный ГК InfoWatch. Актуален на октябрь 2025 года. Скачать можно - тут.
#riskmanagement #управлениерисками #импортозамещение #соответствие #compliance #инструменты #tools
Прошлая неделя была богата новостями, которые вряд ли прибавят оптимизма многим компаниям.
▪️Руководитель Минцифры сообщил о подготовке законопроекта, предусматривающего введение оборотных штрафов для компаний, которые не переведут свои значимые объекты критической информационной инфраструктуры (ЗОКИИ) на российское ПО. На данный момент срок для этого установлен до 2028 года. Штрафовать будут также за отсутствие классификации используемых систем как объектов КИИ. Размер штрафов пока неизвестен и обсуждается чиновниками. Министр не уточнил, обсуждаются ли вопросы отсутствия отечественных аналогов некоторых классов ПО, наличие недоработок, более высокая цена у имеющихся аналогов и сопутствующие риски безопасности от ПО, созданного «на скорую руку».
▪️В Госдуму внесен законопроект о штрафах для владельцев российских сайтов за использование иностранных сервисов авторизации пользователей. Согласно предложению, авторизация должна осуществляться только с использованием российского номера телефона, портала «Госуслуги», Единой биометрической системы или других информационных систем, принадлежащих гражданам или юрлицам РФ. За нарушение предусмотрены штрафы: 10-20 тыс. руб. для физических лиц, 30-50 тыс. руб. для должностных лиц и 500-700 тыс. руб. для юридических лиц. Законопроект также предполагает штрафы за применение рекомендательных технологий без информирования, неразмещение владельцем сайта правил их использования и отсутствие адреса электронной почты для направления юридически важных сообщений.
По традиции, такие законопроекты, скорее всего, будут приняты достаточно оперативно в ближайшем будущем. Поэтому самое время ещё раз оценить риски для компании и сформировать либо актуализировать существующий план действий. В работе может пригодиться свежий перечень актуальных нормативно-правовых актов по обеспечению безопасности критической информационной инфраструктуры (КИИ), составленный ГК InfoWatch. Актуален на октябрь 2025 года. Скачать можно - тут.
#riskmanagement #управлениерисками #импортозамещение #соответствие #compliance #инструменты #tools
Маркетологи «постарались»: одна акция в соцсетях - потенциальная массовая утечка персональных данных клиентов
Попался интересный пост о том, как маркетологи, казалось бы, крупной и серьезной компании - «Газпром межрегионгаз Санкт-Петербург» - устроили своими руками потенциальную массовую утечку персональных данных клиентов. История намекает, что с организацией процессов и контролем по некоторым направлениям в компании явно существуют серьезные проблемы.
Суть произошедшего: для участия в проводимом розыгрыше клиентам предложили подписаться на группу компании ВКонтакте и оставить комментарий с номером своего лицевого счета. Учитывая, что для создания личного кабинета в системе дистанционного обслуживания компании требуется только адрес электронной почты, это создало клондайк для злоумышленников. В зарегистрированном кабинете можно привязать любой лицевой счет (например, наиболее понравившийся в комментариях) и получить доступ к данным клиента: домашнему адресу, истории транзакций и прочему.
На момент своих наблюдений автор поста насчитал в соответствующей группе в соцсети около 2000 человек, которые активно прибывали. Если с клиентами, у которых проблемы с цифровой гигиеной и большая жажда наживы, все более-менее понятно, то действия сотрудников компании вызывают много вопросов, особенно с учетом современных реалий в сфере кибербезопасности.
#ИБ #cybersecurity #соответствие #compliance
Попался интересный пост о том, как маркетологи, казалось бы, крупной и серьезной компании - «Газпром межрегионгаз Санкт-Петербург» - устроили своими руками потенциальную массовую утечку персональных данных клиентов. История намекает, что с организацией процессов и контролем по некоторым направлениям в компании явно существуют серьезные проблемы.
Суть произошедшего: для участия в проводимом розыгрыше клиентам предложили подписаться на группу компании ВКонтакте и оставить комментарий с номером своего лицевого счета. Учитывая, что для создания личного кабинета в системе дистанционного обслуживания компании требуется только адрес электронной почты, это создало клондайк для злоумышленников. В зарегистрированном кабинете можно привязать любой лицевой счет (например, наиболее понравившийся в комментариях) и получить доступ к данным клиента: домашнему адресу, истории транзакций и прочему.
На момент своих наблюдений автор поста насчитал в соответствующей группе в соцсети около 2000 человек, которые активно прибывали. Если с клиентами, у которых проблемы с цифровой гигиеной и большая жажда наживы, все более-менее понятно, то действия сотрудников компании вызывают много вопросов, особенно с учетом современных реалий в сфере кибербезопасности.
#ИБ #cybersecurity #соответствие #compliance
Google Cloud: кибербезопасность в 2026 году
Google Cloud опубликовала прогноз в сфере кибербезопасности на 2026 год. Отчет небольшой по объему, но достаточно интересный. Что ожидают эксперты?
1️⃣ Рост использования искусственного интеллекта (ИИ) киберпреступниками для автоматизации атак, создания новых вирусов, усиления фишинга и обхода систем защиты. По оценкам, в следующем году ИИ будет использоваться в 85% атак, что выведет их на новый уровень эффективности и скрытности.
2️⃣ Риск «теневых агентов». Распространение сложных автономных ИИ-агентов, которые сотрудники будут использовать вне контроля и одобрения компаний, создаст невидимые каналы утечки данных, приведёт к нарушению внутренних и внешних требований, а также краже интеллектуальной собственности. Запрет агентов нецелесообразен: он напугает сотрудников и сделает данную область ещё более непрозрачной. Решением может стать переосмысление сферы безопасности и управления ИИ с целью создания среды, позволяющей совмещать инновации и разумный контроль.
3️⃣ ИИ-агенты будут рассматриваться как отдельные цифровые субъекты, каждый со своей управляемой идентичностью. Традиционные системы безопасности не рассчитаны на работу с такими субъектами, поэтому потребуется создание «агентного управления идентичностью» (agentic identity management) - ИИ-систем, непрерывно оценивающих риски и регулирующих права доступа в режиме реального времени, предоставляя временные минимальные привилегии для решения конкретной задачи.
#ИБ #cybersecurity #прогноз #forecast
Google Cloud опубликовала прогноз в сфере кибербезопасности на 2026 год. Отчет небольшой по объему, но достаточно интересный. Что ожидают эксперты?
1️⃣ Рост использования искусственного интеллекта (ИИ) киберпреступниками для автоматизации атак, создания новых вирусов, усиления фишинга и обхода систем защиты. По оценкам, в следующем году ИИ будет использоваться в 85% атак, что выведет их на новый уровень эффективности и скрытности.
2️⃣ Риск «теневых агентов». Распространение сложных автономных ИИ-агентов, которые сотрудники будут использовать вне контроля и одобрения компаний, создаст невидимые каналы утечки данных, приведёт к нарушению внутренних и внешних требований, а также краже интеллектуальной собственности. Запрет агентов нецелесообразен: он напугает сотрудников и сделает данную область ещё более непрозрачной. Решением может стать переосмысление сферы безопасности и управления ИИ с целью создания среды, позволяющей совмещать инновации и разумный контроль.
3️⃣ ИИ-агенты будут рассматриваться как отдельные цифровые субъекты, каждый со своей управляемой идентичностью. Традиционные системы безопасности не рассчитаны на работу с такими субъектами, поэтому потребуется создание «агентного управления идентичностью» (agentic identity management) - ИИ-систем, непрерывно оценивающих риски и регулирующих права доступа в режиме реального времени, предоставляя временные минимальные привилегии для решения конкретной задачи.
#ИБ #cybersecurity #прогноз #forecast
👍1
Централизованное управление ИИ-агентами в компании
Частичная или полная замена сотрудников ИИ-агентами - один из ключевых трендов в бизнесе на ближайшие годы. Microsoft представила свою корпоративную платформу Agent 365, позволяющую осуществлять централизованное управление большим количеством таких агентов. Принцип работы платформы схож с администрированием обычных сотрудников в корпоративных системах.
Agent 365 позволяет создать единый реестр всех ИИ-агентов с присвоением каждому уникального идентификатора для контроля доступа к корпоративным данным. Платформа интегрируется со средствами обеспечения безопасности и соответствия нормативным требованиям, предоставляет возможности мониторинга эффективности работы каждого агента в реальном времени и поддерживает работу с открытыми фреймворками и сторонними решениями.
Концептуально платформа выглядит как полезный инструмент для масштабирования применения ИИ-агентов в компаниях. Она может повысить управляемость, прозрачность и снизить сопутствующие риски. Как будет работать на практике – покажет время.
#ИИ #AI #инструменты #tools
Частичная или полная замена сотрудников ИИ-агентами - один из ключевых трендов в бизнесе на ближайшие годы. Microsoft представила свою корпоративную платформу Agent 365, позволяющую осуществлять централизованное управление большим количеством таких агентов. Принцип работы платформы схож с администрированием обычных сотрудников в корпоративных системах.
Agent 365 позволяет создать единый реестр всех ИИ-агентов с присвоением каждому уникального идентификатора для контроля доступа к корпоративным данным. Платформа интегрируется со средствами обеспечения безопасности и соответствия нормативным требованиям, предоставляет возможности мониторинга эффективности работы каждого агента в реальном времени и поддерживает работу с открытыми фреймворками и сторонними решениями.
Концептуально платформа выглядит как полезный инструмент для масштабирования применения ИИ-агентов в компаниях. Она может повысить управляемость, прозрачность и снизить сопутствующие риски. Как будет работать на практике – покажет время.
#ИИ #AI #инструменты #tools
Взаимодействие техногигантов - угроза независимости аудиторов
В США Комиссия по ценным бумагам и биржам (SEC) рассматривает возможность пересмотра правил о независимости и конфликте интересов для крупных аудиторских компаний. Они не учитывают особенности современного мира со сложными взаимодействиями между крупными технологическими компаниями. Соблюдение текущих правил аудиторами в этих условиях затруднено, а возможности выбора аудитора компаниями - сильно ограниченны.
Одной из проблем SEC видит наличие у крупных аудиторских компаний подразделений консалтинга, продвигающих большое количество продуктов ведущих технологических компаний, аудит которых, в соответствии с правилами, им запрещено проводить. EY, которая проводит аудит большинства крупных технологических компаний, включая Amazon, Alphabet и Oracle, пыталась решить эту проблему выделив весь консалтинговый бизнес в отдельную компанию, однако попытка не увенчалась успехом.
Кроме того, существует проблема взаимного использования ИТ-гигантами технологий, компонентов и мощностей в своих продуктах, что размывает их границы. Например, компании в сфере ИИ заключают сделки с производителями микросхем, компаниями-разработчиками программного обеспечения и т.д. Так, совсем недавно у всех на слуху была сеть круговых сделок на $1 трлн., которые заключили между собой OpenAI, Nvidia, Oracle и ряд других компаний.
В итоге, перед регулятором стоит новый вызов: выработать новые методы регулирования, которые позволят аудиторам работать эффективно, не подрывая доверие инвесторов и рынка, а технологическим компаниям - расширить выбор аудиторов.
#соответствие #compliance #этика #ethics
В США Комиссия по ценным бумагам и биржам (SEC) рассматривает возможность пересмотра правил о независимости и конфликте интересов для крупных аудиторских компаний. Они не учитывают особенности современного мира со сложными взаимодействиями между крупными технологическими компаниями. Соблюдение текущих правил аудиторами в этих условиях затруднено, а возможности выбора аудитора компаниями - сильно ограниченны.
Одной из проблем SEC видит наличие у крупных аудиторских компаний подразделений консалтинга, продвигающих большое количество продуктов ведущих технологических компаний, аудит которых, в соответствии с правилами, им запрещено проводить. EY, которая проводит аудит большинства крупных технологических компаний, включая Amazon, Alphabet и Oracle, пыталась решить эту проблему выделив весь консалтинговый бизнес в отдельную компанию, однако попытка не увенчалась успехом.
Кроме того, существует проблема взаимного использования ИТ-гигантами технологий, компонентов и мощностей в своих продуктах, что размывает их границы. Например, компании в сфере ИИ заключают сделки с производителями микросхем, компаниями-разработчиками программного обеспечения и т.д. Так, совсем недавно у всех на слуху была сеть круговых сделок на $1 трлн., которые заключили между собой OpenAI, Nvidia, Oracle и ряд других компаний.
В итоге, перед регулятором стоит новый вызов: выработать новые методы регулирования, которые позволят аудиторам работать эффективно, не подрывая доверие инвесторов и рынка, а технологическим компаниям - расширить выбор аудиторов.
#соответствие #compliance #этика #ethics
🤔1
Данные МВД о физлицах теперь можно официально купить
20 ноября Госдума приняла ряд поправок к отдельным законодательным актам. Одна из них разрешает организациям, включая банки и иные кредитные организации, доступ к базам данных МВД о физических лицах. Доступ будет предоставляться через единую систему межведомственного электронного взаимодействия (СМЭВ) на платной основе.
Базы МВД содержат обширные данные как о гражданах страны, так и об иностранцах - о выдаче документов, владении ТС, совершении правонарушений и преступлений, розыске, профилактическом или оперативном учете и др. До поправок доступ к ним предоставлялся только государственным и правоохранительным органам, и их должностным лицам. К каким именно данным и в каких случаях доступ будет предоставляться коммерческим организациям – пока не понятно, видимо, будет определено дополнительно.
Тарифы на запросы через СМЭВ уже установлены с 1 ноября 2025 года: 10 руб. при первичном запросе, 4,93 руб. – за все остальные. Плата начисляется за каждый сеанс взаимодействия «запрос-ответ», независимо от того, найдены данные или нет.
Мысли по поводу этой новости достаточно противоречивые:
1️⃣ Для компаний это определенный плюс – область выводится государством в легальное поле, что исключает риски преследования правоохранителями. Не секрет, что для получения таких данных подразделения компаний пользуются услугами нелегальных и полулегальных посредников.
2️⃣ Государство получает возможность осуществлять мониторинг запросов и зарабатывать деньги, компании – прозрачность расходов на получение нужной информации и мощный инструмент для различных проверок и оценки рисков.
3️⃣ От компаний потребуется еще более пристальное внимание к надежности и безопасности хранения и обработки у себя таких данных, что может потребовать дополнительных расходов.
4️⃣ Не понятно, какова будет архитектура базы на стороне МВД. Централизация такого объема чувствительных данных в одном месте – лакомый кусок для злоумышленников с непредсказуемыми последствиями в случае утечки.
5️⃣ Серьезный вызов приватности. У большинства граждан возникнут вполне закономерные вопросы: С какой стати данные МВД обо мне может получить любая коммерческая структура? Можно ли запретить такую передачу? Обяжут ли компании получать отдельное разрешение человека на получение таких данных? Как человеку можно будет узнать какая компания запрашивала данные и с какой целью? и т.д.
В общем, стоит внимательно следить за развитием событий.
#персональные_данные #personal_data #соответствие #compliance
20 ноября Госдума приняла ряд поправок к отдельным законодательным актам. Одна из них разрешает организациям, включая банки и иные кредитные организации, доступ к базам данных МВД о физических лицах. Доступ будет предоставляться через единую систему межведомственного электронного взаимодействия (СМЭВ) на платной основе.
Базы МВД содержат обширные данные как о гражданах страны, так и об иностранцах - о выдаче документов, владении ТС, совершении правонарушений и преступлений, розыске, профилактическом или оперативном учете и др. До поправок доступ к ним предоставлялся только государственным и правоохранительным органам, и их должностным лицам. К каким именно данным и в каких случаях доступ будет предоставляться коммерческим организациям – пока не понятно, видимо, будет определено дополнительно.
Тарифы на запросы через СМЭВ уже установлены с 1 ноября 2025 года: 10 руб. при первичном запросе, 4,93 руб. – за все остальные. Плата начисляется за каждый сеанс взаимодействия «запрос-ответ», независимо от того, найдены данные или нет.
Мысли по поводу этой новости достаточно противоречивые:
1️⃣ Для компаний это определенный плюс – область выводится государством в легальное поле, что исключает риски преследования правоохранителями. Не секрет, что для получения таких данных подразделения компаний пользуются услугами нелегальных и полулегальных посредников.
2️⃣ Государство получает возможность осуществлять мониторинг запросов и зарабатывать деньги, компании – прозрачность расходов на получение нужной информации и мощный инструмент для различных проверок и оценки рисков.
3️⃣ От компаний потребуется еще более пристальное внимание к надежности и безопасности хранения и обработки у себя таких данных, что может потребовать дополнительных расходов.
4️⃣ Не понятно, какова будет архитектура базы на стороне МВД. Централизация такого объема чувствительных данных в одном месте – лакомый кусок для злоумышленников с непредсказуемыми последствиями в случае утечки.
5️⃣ Серьезный вызов приватности. У большинства граждан возникнут вполне закономерные вопросы: С какой стати данные МВД обо мне может получить любая коммерческая структура? Можно ли запретить такую передачу? Обяжут ли компании получать отдельное разрешение человека на получение таких данных? Как человеку можно будет узнать какая компания запрашивала данные и с какой целью? и т.д.
В общем, стоит внимательно следить за развитием событий.
#персональные_данные #personal_data #соответствие #compliance
⚡1🔥1😱1
Кибератаки на стероидах
Недавно компания Anthropic зафиксировала масштабную кибератаку на десятки компаний, в которой ее модель Claude использовалась не как помощник злоумышленников, а почти как самостоятельный исполнитель всех этапов. Это первый наглядный пример тех прогнозов, которые совсем недавно давали эксперты в области кибербезопасности - использование больших языковых моделей (LLM) киберпреступниками будет расти экспоненциально, в том числе из-за снижения входного порога - необходимых технических навыков и финансовых ресурсов.
И если компании-разработчики в своих продуктах пытаются противостоять такому ходу событий, то черный рынок готов полностью удовлетворить криминальный спрос. На нем появился отдельный класс LLM, разработанных специально для киберпреступников, и не имеющих каких-либо ограничений.
Исследователи из Palo Alto Networks протестировали две такие модели: коммерческую WormGPT 4 (подписка от $50 в месяц) и бесплатную KawaiiGPT. Обе модели показали не идеальный, но достаточно высокий результат. При этом были отмечены:
1️⃣ Лингвистическая точность. Модели могут генерировать текст, который грамматически правдоподобен, релевантен контексту и способен оказывать психологическую манипуляцию. Это идеально подходит для применения в социальной инженерии для фишинга, вишинга и компаний компрометации электронной почты.
2️⃣ Высокий уровень написания кода. Модели могут быстро генерировать, отлаживать и изменять функциональный код, включая вредоносные скрипты и персонализированное вредоносное ПО, что значительно ускоряет цикл атаки.
Исследователи пришли к выводу, что появление неконтролируемых LLM, таких как WormGPT 4 и KawaiiGPT, - это новый базовый уровень цифрового риска.
#ИИ #AI #ИБ #cybersecurity
Недавно компания Anthropic зафиксировала масштабную кибератаку на десятки компаний, в которой ее модель Claude использовалась не как помощник злоумышленников, а почти как самостоятельный исполнитель всех этапов. Это первый наглядный пример тех прогнозов, которые совсем недавно давали эксперты в области кибербезопасности - использование больших языковых моделей (LLM) киберпреступниками будет расти экспоненциально, в том числе из-за снижения входного порога - необходимых технических навыков и финансовых ресурсов.
И если компании-разработчики в своих продуктах пытаются противостоять такому ходу событий, то черный рынок готов полностью удовлетворить криминальный спрос. На нем появился отдельный класс LLM, разработанных специально для киберпреступников, и не имеющих каких-либо ограничений.
Исследователи из Palo Alto Networks протестировали две такие модели: коммерческую WormGPT 4 (подписка от $50 в месяц) и бесплатную KawaiiGPT. Обе модели показали не идеальный, но достаточно высокий результат. При этом были отмечены:
1️⃣ Лингвистическая точность. Модели могут генерировать текст, который грамматически правдоподобен, релевантен контексту и способен оказывать психологическую манипуляцию. Это идеально подходит для применения в социальной инженерии для фишинга, вишинга и компаний компрометации электронной почты.
2️⃣ Высокий уровень написания кода. Модели могут быстро генерировать, отлаживать и изменять функциональный код, включая вредоносные скрипты и персонализированное вредоносное ПО, что значительно ускоряет цикл атаки.
Исследователи пришли к выводу, что появление неконтролируемых LLM, таких как WormGPT 4 и KawaiiGPT, - это новый базовый уровень цифрового риска.
#ИИ #AI #ИБ #cybersecurity
👍1
Крупные страховщики ограничивают покрытие ИИ-рисков
FT сообщает, что крупные страховщики AIG, Great American и WR Berkley подали заявки регулирующим органам США, чтобы получить разрешение на исключение рисков искусственного интеллекта (ИИ) из корпоративных страховых полисов. Это в том числе касается чатботов и агентов. Причины: страховая отрасль опасается системных убытков, которые могут быть вызваны многомиллионными исками к владельцам полисов из-за непредсказуемости моделей.
Бизнес внедряет ИИ в спешке, что сопровождается ошибками: модели галлюцинируют, выдумывают факты и т. д. В результате компаниям предъявляют значительные иски. Так, например, Wolf River Electric подала иск к Google на $110 млн за клевету. В ее функции AI Overview, которая генерирует развернутые текстовые ответы непосредственно в поисковой выдаче, содержались выдуманные сведения о том, что генеральный прокурор одного из штатов подал на компанию в суд.
Страховщики видят в моделях «черный ящик», где ответственность размывается между разработчиками, пользователями и моделями, а ситуация имеет потенциал для экспоненциального роста убытков.
#ИИ #AI #riskmanagement #управлениерисками
FT сообщает, что крупные страховщики AIG, Great American и WR Berkley подали заявки регулирующим органам США, чтобы получить разрешение на исключение рисков искусственного интеллекта (ИИ) из корпоративных страховых полисов. Это в том числе касается чатботов и агентов. Причины: страховая отрасль опасается системных убытков, которые могут быть вызваны многомиллионными исками к владельцам полисов из-за непредсказуемости моделей.
Бизнес внедряет ИИ в спешке, что сопровождается ошибками: модели галлюцинируют, выдумывают факты и т. д. В результате компаниям предъявляют значительные иски. Так, например, Wolf River Electric подала иск к Google на $110 млн за клевету. В ее функции AI Overview, которая генерирует развернутые текстовые ответы непосредственно в поисковой выдаче, содержались выдуманные сведения о том, что генеральный прокурор одного из штатов подал на компанию в суд.
Страховщики видят в моделях «черный ящик», где ответственность размывается между разработчиками, пользователями и моделями, а ситуация имеет потенциал для экспоненциального роста убытков.
#ИИ #AI #riskmanagement #управлениерисками
🔥1
«HR» атакует сотрудников компаний
Эксперты «Лаборатории Касперского» рассказали о новой схеме «угона» аккаунтов «Госуслуг» под видом сотрудников HR. Цель - получение доступа ко всем данным и сервисам жертвы, включая онлайн-банки.
Как выглядит схема:
1️⃣ «HR» добавляет сотрудника в группу Telegram с названием компании, где «коллеги» (боты) активно обсуждают «актуализацию кадровых данных и их перенос на электронные носители».
2️⃣ Через некоторое время «HR» напрямую обращается к жертве, говоря, что ждут только её. Видя активную отправку данных «коллегами», жертва делится ФИО и датой рождения.
3️⃣ Жертву перенаправляют на «бот оцифровки данных», имитирующий сервис «Госуслуг», который просит ввести телефон и присылает фальшивый 6-значный «код-ключ», который надо передать «HR». Присланные цифры не играют никакой роли - они создают видимость подлинной процедуры и путают жертву.
4️⃣ Мошенники вводят телефон на реальных «Госуслугах», жертва получает SMS c кодом верификации.
5️⃣ «HR» убеждает жертву переслать SMS-код под различными предлогами (например, первый просрочен) или жертва делает это автоматически, воспринимая как этап подтверждения «оцифровки данных».
Что интересно, ссылка на «бота оцифровки» реферальная - мошенники отслеживают каналы «привлечения» и эффективность сценариев атак.
#ИБ #cybersecurity #персональные_данные #personal_data
Эксперты «Лаборатории Касперского» рассказали о новой схеме «угона» аккаунтов «Госуслуг» под видом сотрудников HR. Цель - получение доступа ко всем данным и сервисам жертвы, включая онлайн-банки.
Как выглядит схема:
1️⃣ «HR» добавляет сотрудника в группу Telegram с названием компании, где «коллеги» (боты) активно обсуждают «актуализацию кадровых данных и их перенос на электронные носители».
2️⃣ Через некоторое время «HR» напрямую обращается к жертве, говоря, что ждут только её. Видя активную отправку данных «коллегами», жертва делится ФИО и датой рождения.
3️⃣ Жертву перенаправляют на «бот оцифровки данных», имитирующий сервис «Госуслуг», который просит ввести телефон и присылает фальшивый 6-значный «код-ключ», который надо передать «HR». Присланные цифры не играют никакой роли - они создают видимость подлинной процедуры и путают жертву.
4️⃣ Мошенники вводят телефон на реальных «Госуслугах», жертва получает SMS c кодом верификации.
5️⃣ «HR» убеждает жертву переслать SMS-код под различными предлогами (например, первый просрочен) или жертва делает это автоматически, воспринимая как этап подтверждения «оцифровки данных».
Что интересно, ссылка на «бота оцифровки» реферальная - мошенники отслеживают каналы «привлечения» и эффективность сценариев атак.
#ИБ #cybersecurity #персональные_данные #personal_data
🔥1
Корпоративные данные на барахолке
Интересный лонгрид про эксперимент специалистов по информационной безопасности, которые приобрели списанные жесткие диски с целью проверки возможности восстановления с них ценной корпоративной информации. Результаты превзошли ожидания: были получены различные документы с коммерческой тайной, переписка и финансовые отчеты, базы клиентов, данные учетных записей и т.д. – критически важная информация, которая может быть использована для нанесения серьезного ущерба бизнесу.
В ходе эксперимента исследователи обнаружили «бизнес» сотрудников крупной компании, несанкционированно продававших списанные корпоративные носители. Информация о схеме была передана службе безопасности для проведения расследования и предотвращения дальнейших утечек.
Основной вывод эксперимента: списанные носители, даже прошедшие формальную процедуру списания, могут быть источником серьезных утечек, если отсутствуют или игнорируются процедуры необратимого удаления данных и утилизации носителей. Для защиты компании от серьезных репутационных издержек и финансовых потерь стоить уделять данным аспектам пристальное внимание.
#ИБ #cybersecurity
Интересный лонгрид про эксперимент специалистов по информационной безопасности, которые приобрели списанные жесткие диски с целью проверки возможности восстановления с них ценной корпоративной информации. Результаты превзошли ожидания: были получены различные документы с коммерческой тайной, переписка и финансовые отчеты, базы клиентов, данные учетных записей и т.д. – критически важная информация, которая может быть использована для нанесения серьезного ущерба бизнесу.
В ходе эксперимента исследователи обнаружили «бизнес» сотрудников крупной компании, несанкционированно продававших списанные корпоративные носители. Информация о схеме была передана службе безопасности для проведения расследования и предотвращения дальнейших утечек.
Основной вывод эксперимента: списанные носители, даже прошедшие формальную процедуру списания, могут быть источником серьезных утечек, если отсутствуют или игнорируются процедуры необратимого удаления данных и утилизации носителей. Для защиты компании от серьезных репутационных издержек и финансовых потерь стоить уделять данным аспектам пристальное внимание.
#ИБ #cybersecurity
❤1🤯1
Deloitte увольняет партнёра, ответственного за «прославивший» компанию отчёт
История с отчетом Deloitte для австралийского Департамента занятости и трудовых отношений, сгенерированным искусственным интеллектом и содержавшим выдуманные цитаты, а также десятки ссылок на несуществующие источники, получила продолжение. Партнёр, ответственный за отчет (имя не называется), находится в процессе «выхода на пенсию» после дисциплинарных проверок.
В то же время Министерство финансов инициировало проверку качества работы Deloitte по всем госконтрактам, направив в государственные учреждения соответствующие запросы. Самой компании министерство направило запрос о независимости группы, проводившей внутреннее расследование инцидента, наличии претензий аналогичного характера от других клиентов, а также мерах, предпринятых Deloitte для исключения подобных проблем в будущем.
Также Министерство финансов продолжает расследование на предмет возможного нарушения Deloitte кодекса поведения поставщиков. Если такие нарушения будут установлены, компания столкнется с требованием дополнительных возмещений за некачественную работу, в дополнение к тем, которые уже осуществила.
‼️ Вывод из этой истории простой: на ИИ надейся, а сам не плошай. Ответственность за отчет всегда лежит на человеке его подписавшем.
#AI #ИИ #deloitte
История с отчетом Deloitte для австралийского Департамента занятости и трудовых отношений, сгенерированным искусственным интеллектом и содержавшим выдуманные цитаты, а также десятки ссылок на несуществующие источники, получила продолжение. Партнёр, ответственный за отчет (имя не называется), находится в процессе «выхода на пенсию» после дисциплинарных проверок.
В то же время Министерство финансов инициировало проверку качества работы Deloitte по всем госконтрактам, направив в государственные учреждения соответствующие запросы. Самой компании министерство направило запрос о независимости группы, проводившей внутреннее расследование инцидента, наличии претензий аналогичного характера от других клиентов, а также мерах, предпринятых Deloitte для исключения подобных проблем в будущем.
Также Министерство финансов продолжает расследование на предмет возможного нарушения Deloitte кодекса поведения поставщиков. Если такие нарушения будут установлены, компания столкнется с требованием дополнительных возмещений за некачественную работу, в дополнение к тем, которые уже осуществила.
#AI #ИИ #deloitte
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣3👍2
Очередное пополнение «белого списка» сайтов
Минцифры сообщило о третьем дополнении списка сервисов и сайтов, которые остаются доступными в периоды отключений мобильного интернета. В рамках дополнения в список были включены сайты Центробанка, нескольких сотовых операторов и СМИ, сервис «Домклик» и другие. На первом и втором этапах в список уже вошли наиболее востребованные российские сервисы, сайты государственных органов, СМИ и супермаркеты.
Список обновляется постоянно, однако заявки на включение не принимаются напрямую от владельцев интернет-ресурсов. Попасть в список могут наиболее популярные из них по инициативе Минцифры или на основе предложений федеральных и региональных органов власти по согласованию с ведомствами, отвечающими за обеспечение безопасности. Важным условием является то, что все используемые вычислительные ресурсы должны находиться на территории России.
⁉️ Контрольным подразделениям стоит обратить внимание: проводилась ли оценка бизнес-критичности отсутствия доступа к ресурсам компании? Ведется ли GR-работа для включения в «белый список», если доступ критичен?
#отключениеинтернета #белыыйсписок
Минцифры сообщило о третьем дополнении списка сервисов и сайтов, которые остаются доступными в периоды отключений мобильного интернета. В рамках дополнения в список были включены сайты Центробанка, нескольких сотовых операторов и СМИ, сервис «Домклик» и другие. На первом и втором этапах в список уже вошли наиболее востребованные российские сервисы, сайты государственных органов, СМИ и супермаркеты.
Список обновляется постоянно, однако заявки на включение не принимаются напрямую от владельцев интернет-ресурсов. Попасть в список могут наиболее популярные из них по инициативе Минцифры или на основе предложений федеральных и региональных органов власти по согласованию с ведомствами, отвечающими за обеспечение безопасности. Важным условием является то, что все используемые вычислительные ресурсы должны находиться на территории России.
⁉️ Контрольным подразделениям стоит обратить внимание: проводилась ли оценка бизнес-критичности отсутствия доступа к ресурсам компании? Ведется ли GR-работа для включения в «белый список», если доступ критичен?
#отключениеинтернета #белыыйсписок
👍1
Пентест: ИИ-агенты против людей
Stanford опубликовал результаты первого всестороннего сравнения работы 6 ИИ-агентов, управляемых платформой ARTEMIS, и 10 профессиональных пентестеров. Исследование проводилось в течение 10 часов в реальной рабочей сети университета с живыми системами и пользователями (около 8000 рабочих станций и 12 подсетей). Оценка проводилась по сложности эксплуатации обнаруженных уязвимостей и их критичности.
В ходе эксперимента ARTEMIS обнаружила 9 подтверждённых уязвимостей (82 % от общего числа), заняв 2-е место в рейтинге, т. е. обошла 9 из 10 людей-экспертов. Отличный результат, особенно с учётом того, что стоимость работы системы оценивается в $18 в час против $60 у экспертов.
В ряде моментов ИИ оказался лучше людей: параллельно проверял сразу несколько целей, никогда не пропускал базовые проверки, в некоторых случаях лучше справлялся с командной строкой. Но и люди в чём-то обошли ИИ, который плохо работает со сложными графическими интерфейсами (пропустил критическую дыру в веб-консоли), имеет много ложных срабатываний. Кроме того, эксперты «копали глубже» - обнаружив уязвимость, развивали атаку, переходя на другие системы.
Несмотря на ограничения по времени, небольшое количество участвующих экспертов и отсутствие активной обороны для противодействия атакам, эксперимент показал, что ИИ-агенты по уровню выполнения работы уже вполне конкурируют с пентестерами. Проводя параллель с работой контрольных подразделений, можно предположить, в каком направлении она может поменяться в самом ближайшем будущем и сделать для себя выводы.
#ИИ #AI #ИБ #cybersecurity #исследования
Stanford опубликовал результаты первого всестороннего сравнения работы 6 ИИ-агентов, управляемых платформой ARTEMIS, и 10 профессиональных пентестеров. Исследование проводилось в течение 10 часов в реальной рабочей сети университета с живыми системами и пользователями (около 8000 рабочих станций и 12 подсетей). Оценка проводилась по сложности эксплуатации обнаруженных уязвимостей и их критичности.
В ходе эксперимента ARTEMIS обнаружила 9 подтверждённых уязвимостей (82 % от общего числа), заняв 2-е место в рейтинге, т. е. обошла 9 из 10 людей-экспертов. Отличный результат, особенно с учётом того, что стоимость работы системы оценивается в $18 в час против $60 у экспертов.
В ряде моментов ИИ оказался лучше людей: параллельно проверял сразу несколько целей, никогда не пропускал базовые проверки, в некоторых случаях лучше справлялся с командной строкой. Но и люди в чём-то обошли ИИ, который плохо работает со сложными графическими интерфейсами (пропустил критическую дыру в веб-консоли), имеет много ложных срабатываний. Кроме того, эксперты «копали глубже» - обнаружив уязвимость, развивали атаку, переходя на другие системы.
Несмотря на ограничения по времени, небольшое количество участвующих экспертов и отсутствие активной обороны для противодействия атакам, эксперимент показал, что ИИ-агенты по уровню выполнения работы уже вполне конкурируют с пентестерами. Проводя параллель с работой контрольных подразделений, можно предположить, в каком направлении она может поменяться в самом ближайшем будущем и сделать для себя выводы.
#ИИ #AI #ИБ #cybersecurity #исследования
С юмором про ИИ-хайп
В сети завирусился ироничный пост эксперта по кибербезопасности Питера Гирнуса, в котором он от лица менеджера крупной корпорации рассказывает про безумное стремление бизнеса «внедрять ИИ-решения везде».
В небольшом посте ему удивительным образом удалось отразить все, что можно сейчас наблюдать во многих компаниях: и многомиллионные расходы без привязки к четким метрикам эффективности и отдачи от инвестиций, и отсутствие реальной ценности, и красивые отчеты с «достижениями» для финансового директора и совета директоров, и «беседы о перспективах развития карьеры в компании» для задающих неудобные вопросы. В конечном итоге все это действо – лишь топливо для развития карьеры и получения бонусов всеми участниками.
В общем, пост стоит пары минут затраченного на прочтение времени, как говорится, в каждой шутке есть доля правды. Быть может, кто-то узнает по описанию свою компанию😉
#юмор #humor
В сети завирусился ироничный пост эксперта по кибербезопасности Питера Гирнуса, в котором он от лица менеджера крупной корпорации рассказывает про безумное стремление бизнеса «внедрять ИИ-решения везде».
В небольшом посте ему удивительным образом удалось отразить все, что можно сейчас наблюдать во многих компаниях: и многомиллионные расходы без привязки к четким метрикам эффективности и отдачи от инвестиций, и отсутствие реальной ценности, и красивые отчеты с «достижениями» для финансового директора и совета директоров, и «беседы о перспективах развития карьеры в компании» для задающих неудобные вопросы. В конечном итоге все это действо – лишь топливо для развития карьеры и получения бонусов всеми участниками.
В общем, пост стоит пары минут затраченного на прочтение времени, как говорится, в каждой шутке есть доля правды. Быть может, кто-то узнает по описанию свою компанию
#юмор #humor
Please open Telegram to view this post
VIEW IN TELEGRAM