Кибербезопасность и правовая защита информации от угроз искусственного интеллекта
Появление искусственного интеллекта (далее - ИИ) открыло как беспрецедентные возможности, так и серьезные проблемы в области кибербезопасности. В то время как ИИ расширяет возможности защиты, такие как обнаружение аномалий, интеллектуальная аналитика и автоматическое реагирование на угрозы, он также предоставляет киберпреступникам передовые инструменты для проведения сложных атак, включая фишинг, управляемый ИИ, глубокие подделки и вредоносные программы-обходчики. В этой статье рассматривается двойная роль ИИ в кибербезопасности, выделяются уязвимости, создаваемые киберугрозами, дополненными ИИ, и рассматриваются текущие меры защиты. В ней также рассматриваются ограничения существующих правовых рамок, которые с трудом поспевают за стремительным развитием ИИ. Ключевые законодательные инициативы, такие как Закон Европейского союза об искусственном интеллекте и проект Билля о правах в области искусственного интеллекта в США, оцениваются на предмет их эффективности в борьбе с рисками кибербезопасности, связанными с ИИ. В статье подчеркивается необходимость разработки всеобъемлющих международных правовых стандартов, увеличения инвестиций в исследования в области кибербезопасности, связанные с ИИ, и совместного подхода технологических экспертов и регулирующих органов к устранению возникающих угроз, связанных с ИИ. В заключение в ней содержится призыв к активному, адаптивному подходу как к технологическим, так и к правовым мерам защиты информационной безопасности от текущих и будущих угроз, связанных с ИИ.
Ключевые слова: информационная безопасность, искусственный интеллект, киберпреступность, киберугрозы, кибербезопасность, правовое регулирование.
The advent of artificial intelligence (AI) has introduced both unprecedented opportunities and significant challenges in the field of cybersecurity. While AI enhances defensive capabilities-such as anomaly detection, predictive analytics, and automated threat response - it also equips cybercriminals with advanced tools for executing sophisticated attacks, including AI-driven phishing, deepfakes, and evasive malware. This article explores the dual role of AI in cybersecurity, highlighting the vulnerabilities introduced by AI-augmented cyber threats and examining current defensive measures. It also addresses the limitations of existing legal frameworks, which struggle to keep pace with AI's rapid advancement. Key legislative initiatives, such as the European Union's AI Act and the U.S. Blueprint for an AI Bill of Rights, are assessed for their effectiveness in addressing AI-driven cybersecurity risks. The article emphasizes the need for comprehensive, cross-border legal standards, greater investment in AI-specific cybersecurity research, and a collaborative approach between technology experts and regulators to address the emergent threats from AI. In conclusion, it advocates for a proactive, adaptive approach to both technological and legal safeguards to protect information security against current and future AI-related threats.
Key words: information security, artificial intelligence, cybercrime, cyber threats, cybersecurity, legal regulation.
Стремительное развитие искусственного интеллекта (далее - ИИ) трансформировало кибербезопасность как инструмент защиты и как новое направление борьбы с угрозами. В кибербезопасности ИИ стал незаменимым средством для обнаружения угроз. ИИ (основанный на принципе машинного обучения) обладает способностью обрабатывать большие объемы данных, позволяя выявить как действующие, так и будущие потенциальные угрозы, такие как нетипичные попытки входа в систему или возможные схемы получения доступа к информации, которые могли ускользнуть от внимания людей, которые занимаются аналитикой данных. Службы безопасности и разведки также осознали потенциал технологий ИИ в продвижении и достижении целей, связанных с национальной и общественной безопасностью.
Несмотря на то что ИИ может значительно повысить эффективность систем безопасности, но он также создает угрозы абсолютно нового уровня. Злоумышленники стали использовать ИИ для создания вредоносного программного обеспечения (далее - ПО), которое, используя метод машинного обучения, анализируя действие систем безопасности, может адаптироваться для ее обхода, что в значительной мере затрудняет обнаружение вредоносного ПО.
В условиях стремительного развития технологий и появления инновационных проектов в сфере ИИ и анализа данных, а также с ростом объема информации, которую компании собирают о своих клиентах, все более остро встает вопрос о создании и применении стандартов регулирования.
В сфере беспилотных летательных аппаратов и транспортных средств используются технологии ИИ, в частности системы распознавания лиц. Если этот инструмент на основе ИИ не будет тщательно регулироваться или управляться с соблюдением соответствующих мер безопасности, он может привести к созданию серьезных этических и юридических проблем. Неправильное использование этой технологии может привести к несанкционированной слежке, несоразмерному преследованию, нарушению неприкосновенности частной жизни и нарушению гражданских свобод. Поэтому для предотвращения возможных нарушений крайне важно создать строгую нормативно-правовую базу и механизмы контроля, чтобы гарантировать, что ИИ разрабатывается и используется таким образом, чтобы соблюдались права человека, прозрачность и подотчетность. Такой подход поможет сбалансировать преимущества ИИ в сфере безопасности с защитой личных свобод и этических норм.
Все специалисты в сфере ИИ, а также политические деятели сходятся во мнении, что в ближайшем будущем необходимо будет разработать и установить четкие нормы регулирования. По мнению И.А. Филиповой, создание правовой основы, которая будет регулировать взаимодействие с ИИ, во многом зависит от того, насколько успешно государства смогут договориться между собой <1>.
--------------------------------
<1> Филипова И.А. Правовое регулирование искусственного интеллекта: Учебное пособие. Нижний Новгород: Нижегородский госуниверситет, 2020. 90 с.
С 2017 г. около 60 государств разработали и утвердили законодательные и подзаконные акты, регулирующие отрасль ИИ.
Международные политические и законодательные органы в настоящее время обсуждают способы пересмотра и усиления механизмов и стандартов ответственности в отношении систем и технологий в сфере применения ИИ. Тем не менее, принимая во внимание сложность проблемы и разнообразие правовых подходов к гражданской ответственности в различных государствах, достижение единой позиции в ближайшее время кажется маловероятным.
В перспективе будущего развития ИИ в сфере защиты персональных данных одну из ключевых ролей сыграет Регламент Европейского союза об искусственном интеллекте. Основная задача данного Регламента - оптимизация работы внутреннего рынка и создание условий для внедрения ИИ, который будет ориентирован на человека. При этом необходимо обеспечить высокий уровень защиты здоровья, безопасности, верховенство закона и охрану окружающей среды от потенциального вреда, который могут причинить системы ИИ в Европейском союзе.
В США Национальный институт стандартов и технологий (NIST) предоставляет аналогичные рекомендации. 30 октября 2023 г. президент Байден выпустил указ о безопасном, надежном и заслуживающем доверия ИИ. В указе рассматриваются различные вопросы, такие как стандарты для критически важной инфраструктуры, кибербезопасность с использованием ИИ и проекты биологического синтеза, финансируемые из федерального бюджета.
Однако эти нормативные акты не в полной мере учитывают все риски, связанные с ИИ. Кроме того, эти законы часто не учитывают возникающие риски, характерные для ИИ, такие как "заражение данных", когда злоумышленники намеренно вводят неверную информацию, чтобы ввести в заблуждение модели ИИ.
Можно прийти к выводу, что действующие правовые механизмы западных стран не отвечают современным угрозам и рискам, связанным с применением ИИ, особенно те, которые возникают без человеческого вмешательства.
В законодательстве Российской Федерации, регулирующем использование ИИ, были учтены эти недостатки. В частности, в Федеральном законе от 24 апреля 2020 г. N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" дано определение ИИ, которое включает в себя способность к самообучению и поиску решений без заранее заданного алгоритма.
Правовые основы ИИ в Российской Федерации были заложены Указом Президента Российской Федерации от 10 октября 2019 г. N 490 "О развитии искусственного интеллекта в Российской Федерации", утвердившим Национальную стратегию развития искусственного интеллекта на период до 2030 года. Также к нормативным документам, регулирующим правовые основы ИИ, относят Федеральный закон от 31 июля 2020 г. N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", который вступил в силу в 2021 г. Он позволяет использовать системы ИИ в особых правовых рамках в различных областях, таких как медицина, транспорт, сельское хозяйство, финансы, дистанционная торговля, градостроительство, государственное управление и промышленность <2>.
--------------------------------
<2> Кутейников Д.Л., Ижаев О.А., Зенин С.С., Лебедев В.А. Ключевые подходы к правовому регулированию использования систем искусственного интеллекта // Вестник Тюменского государственного университета. Социально-экономические и правовые исследования. 2022. Т. 8. N 1 (29). С. 209 - 232.
При этом в Российской Федерации на данный момент нет единого нормативного акта, который бы охватывал все аспекты, связанные с разработкой, регистрацией, сертификацией, применением, передачей, защитой прав и ответственностью в области ИИ.
С расширением использования ИИ правительства и международные организации работают над разработкой специальных правовых норм, которые будут регулировать эту область. Тем временем растет глобальная тенденция использования технологий ИИ, в частности ботов, для распространения дезинформации. Эти боты в основном используются для распространения фейковых новостей и вводящего в заблуждение контента в Интернете и социальных сетях, что часто оказывает негативное влияние на общественное мнение. Больше всего влиянию подвержена молодая аудитория, которой сложно отличить достоверную информацию от ложных утверждений, особенно если эту информацию распространяют их кумиры. Более того, использование ботов подрывает доверие общественности к официальным источникам информации и потенциально может дестабилизировать структуру управления государством.
Подделка голосов и видеоматериалов с использованием технологии deepfake создает значительные юридические трудности для расследования и судебного преследования подобных правонарушений. Прежде всего многие правоохранительные органы по всему миру сталкиваются с нехваткой опыта и квалифицированных специалистов для сбора улик за пределами своей юрисдикции. Поскольку подобные атаки часто осуществляются хорошо скоординированными преступными организациями, действующими из разных стран, становится очевидной потребность в международном сотрудничестве. В частности, необходимо тесное взаимодействие с глобальными поставщиками услуг для защиты пользовательских данных и трафика. Формирование объединенных следственных групп позволит эффективно отслеживать и обнаруживать лиц, подозреваемых в совершении преступлений, а также устанавливать конечные цели перемещения незаконных денежных средств. Расследование преступлений, совершаемых в киберпространстве и затрагивающих несколько государств, - это сложный и длительный процесс, который не всегда приводит к привлечению виновных к ответственности.
Лучшего опыта по решению данного вопроса, связанного с deepfake, добился Китай. Так, в январе 2023 г. Китай ввел новые правила в отношении передовых технологий ИИ, в том числе deepfake и синтетических медиа, согласно которым контент, созданный ИИ, должен быть четко маркирован, данная задача возложена на операторов медиаплатформ (особый контроль ведется там, где есть вероятность ввести общественность в заблуждение и/или повлиять на общественное мнение).
Опыт Китая в сфере разработки ИИ и формирования нормативно-правовой базы по регулированию данного вопроса - один из самых успешных в мире.
В Китае создана и действует система правовых норм, которые регулируют применение ИИ. Это демонстрирует намерение государства стать ведущим игроком на мировом рынке технологий ИИ и одновременно обеспечить контроль над потенциальными угрозами.
В 2017 г. Китай разработал стратегию развития ИИ, которая была представлена в Плане развития искусственного интеллекта нового поколения. Согласно этой стратегии к 2030 г. Китай должен стать мировым лидером в области инноваций в сфере ИИ. Китай видит ИИ как ключевую движущую силу для промышленной модернизации и экономических преобразований в стране. К концу 2025 г. Китай планирует совершить значительный прорыв в развитии ИИ и занять лидирующие позиции в некоторых технологиях и приложениях.
Китай стремится увеличить стоимость своей ключевой отрасли, связанной с ИИ, до более чем 400 миллиардов юаней (примерно 58 миллиардов долларов). При этом страна активно внедряет этические принципы в области ИИ в свою правовую систему <3>.
--------------------------------
<3> Решетникова М.С., Пугачева И.А., Лукина Ю.Д. Тенденции развития технологий искусственного интеллекта в КНР // Вопросы инновационной экономики. 2021. Т. 11. N 1. С. 333 - 350.
Хотя эти инструменты представляют собой прогресс, они все еще находятся на ранней стадии развития и не полностью охватывают непосредственные опасности, связанные с киберугрозами, создаваемыми ИИ. Необходимость во всеобъемлющей международной правовой основе становится все более явной, но сложность ИИ в сочетании с быстрыми технологическими изменениями усложняют эту задачу.
В условиях меняющейся ситуации в сфере кибербезопасности тесное сотрудничество между частным сектором, научными кругами и международными регулирующими органами необходимо для создания стандартов, которые будут идти в ногу с технологическим прогрессом. В эпоху, характеризующуюся развитием ИИ, проактивные меры в правовой и технологической сферах станут основой надежной информационной безопасности, что позволит нам эффективно противостоять текущим угрозам и быть готовыми к будущим.
Подходы к кибербезопасности должны включать в себя технологии защиты на основе ИИ, такие как интеллектуальная аналитика, для противодействия все более изощренным угрозам на основе ИИ.
В сфере ИИ и киберпреступности стратегические инициативы и инновационные партнерские отношения необходимы для того, чтобы заинтересованные стороны - особенно правоохранительные и судебные органы - могли разобраться в тонкостях и широком спектре применения систем ИИ. Для решения этой задачи необходимо активное участие как технических экспертов, так и представителей бизнес-сообщества. Вклад частного сектора в разработку методов обнаружения и отслеживания преступников, использующих технологии ИИ, будет иметь решающее значение. Без их поддержки усилия правоохранительных органов по борьбе с преступлениями, связанными с ИИ, могут оказаться безрезультатными.
Правительствам необходимо обновить законодательство, чтобы снизить риски, связанные с ИИ, и решить такие проблемы, как состязательное машинное обучение и конфиденциальность данных. Также необходимо формирование единого общегосударственного подхода к регулированию ИИ. Необходимо создание единого законодательного акта, который учитывал бы опыт всех государств в области, связанной с ИИ.
