Мы интегрировали ИИ-ассистента в систему защиты от утечек. Вот, что он умеет

Недавно мы внедрили в нашу систему защиты от утечек (DLP) «СёрчИнформ КИБ» ИИ-модуль для оптимизации процессов безопасности. Со встроенным ИИ-модулем система научилась выявлять скрытые инциденты, которые невозможно обнаружить стандартными методами – коротко рассказываем, как это работает.

Что за компонент?

Это «ИИ Ассистент КиберЗащиты» от компании «Системные технологии» – локально работающая большая языковая схема (LLM), заранее натренированная на распознавание инцидентов внутренней безопасности. Она анализирует сообщения и файлы в корпоративной почте и мессенджерах, и выявляет сложные инциденты, которые невозможно обнаружить стандартными методами.

У него три основные задачи.

1.   Выявление скрытых инцидентов

Новый инструмент определяет контекст переписки и распознает скрытые признаки нарушений. 

ИИ-модуль работает по предустановленным промптам, доступным в «СёрчИнформ КИБ» в виде готовых ИИ-политик безопасности. По этим промптам система выявляет угрозы в диалогах в почте и мессенджерах и присваивает им метки. В частности, «откат», «просьба перевода на карту», «воровство» или «раскрытие коммерческой тайны». Такую классификацию может выполнить только ИИ-модуль, поскольку он понимает контекст, бизнес-процессы и учитывает тональность общения.

Контекст важно учитывать и при поиске других нарушений внутренней безопасности: мошеннических схем, откатов, саботажа и др. Ведь когда слово «премия» звучит в письме от HR/руководителя – это норма, но в переписке между закупщиком и поставщиком – высокий риск. ИИ это умеет. А заодно «смотрит шире»: в отличие от стандартных политик безопасности, ИИ-политики обрабатывают сразу цепочки писем и целые ветки в чатах, а не сообщения по отдельности. Следовательно фиксируют инцидент, даже если его признаки разбросаны в длинном обсуждении.

Сейчас модуль «ИИ Ассистент КиберЗащиты» умеет обнаруживать приблизительно десятка видов внутренних нарушений:

• Раскрытие тайны: в частности, попытки получить доступ к «закрытым» данным через коллег, кражу интеллектуальной собственности, пробивы данных за вознаграждение.

• Корпоративное мошенничество: откаты, просьбы переводов «на карту» или в криптовалюте за сомнительные услуги, работу «налево», попытки скрыть переписку.

• Группы риска среди пользователей: опасные зависимости и нарушения закона.

• Проблемы в коллективе: конфликты и оскорбления, сплетни.

Это только начало. В планах – расширить число ИИ-политик в КИБ, чтобы обнаруживать больше типов нарушений. ИИ-ассистент фокусируется на распознавании неявных инцидентов: завуалированных обсуждений, попыток замаскировать данные или скрыть проблемы.

«ИИ-ассистент распознает даже хорошо замаскированные попытки обойти корпоративные правила. Одновременно модуль работает локально: конфиденциальные данные компании не покидают ее пределов», – объясняет Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».

2.   Резюме чатов и документов

ИИ-модуль также представляет ИБ-специалисту краткое содержание длинных переписок и документов для быстрого ознакомления.

ИБ-специалист получит готовую сводку о сути обсуждения, не тратя время на ручной разбор «фактуры». Резюме переписки – готовая база для докладной записки по инциденту, это экономит силы. Больше того: компонент сразу «подсвечивает» подозрительные детали переписки. То есть аргументирует, по каким признакам выявил нарушение. Это страхует от галлюцинаций ИИ и помогает ИБ-специалисту проверить результаты, если инцидент неоднозначный. Главная экспертиза – у человека, ИИ помогает взвешенно принять решение по дальнейшему реагированию.

«ИИ-ассистент помогает автоматизировать рутинные задачи и экономит часы работы, – комментирует Алексей Парфентьев. – Например, при расследовании возможного отката в переписке с иностранным партнером ИИ сразу помечает диалог, переводит ключевые фрагменты и создает краткую сводку. Это позволит ИБ-службе сосредоточиться на принятии решений».

3.   Автоматический перевод

Одновременно ИИ-модуль может переводить тексты прямо в интерфейсе DLP на несколько языков. Это особенно актуально для компаний, у которых есть филиалы за рубежом или иностранные партнеры, клиенты и контрагенты – ИБ-специалист не пропустит инцидент, потому что не понял, о чем общаются сотрудники.

ИИ-ассистент переводит переписки и документация со 120 разных языков на русский, английский, испанский, французский, немецкий, арабский и турецкий, этот список расширяется. Автоперевод происходит в реальном времени и без подключения ко внешним сервисам, что также соответствует задачам безопасности.