Банк России утвердил рекомендации по безопасному использованию ИИ-систем

Банк России опубликовал методические рекомендации по безопасности при разработке и применении искусственного интеллекта на финансовом рынке. Документ № 3-МР подписал заместитель председателя Банка России Георгий Зубарев.

Рекомендации адресованы банкам, некредитным организациям, профессиональным участникам рынка и национальной платёжной системы. Они развивают Кодекс этики в сфере ИИ на финансовом рынке, принятый регулятором в 2025 году.

Центробанк выделяет шесть основных групп рисков при использовании ИИ. Это низкое качество данных и «отравленные» наборы, утечки конфиденциальной информации и нарушение прав на интеллектуальную собственность, деградация моделей (включая галлюцинации и дрейф данных), недостаточная объяснимость решений, уязвимости в цепочке поставок и угрозы операционной надёжности. По оценке регулятора, такие риски могут приводить к нарушению прав клиентов, убыткам, репутационному ущербу, сбоям в смежных системах и влиянию на стабильность финансового рынка. В критичных процессах, таких как платежи и учёт, при высоком уровне риска результаты работы ИИ должен проверять человек.

Документ описывает восемь ключевых угроз для ИИ-систем. Среди них обход защитных механизмов, «отравление» обучающих данных, раскрытие информации о модели, хищение тестовых наборов, изменение и подмена модели, перевод её в режим «отказа в обслуживании» и управляемая манипуляция поведением. В качестве типичных техник атак названы фаззинг, внедрение бэкдоров, прямое и непрямое внедрение запросов, атаки типа «губка», состязательные атаки и вмешательство в алгоритм обучения. Нарушитель может действовать как извне, так и изнутри организации.

Для снижения уровня опасности этих угроз Банк России предлагает набор мер, привязанный к этапам жизненного цикла ИИ. При подготовке данных рекомендуется очищать наборы, шифровать их при передаче, контролировать целостность, обезличивать персональные данные и удалять ненужную информацию. На стадии разработки модели предлагается анализировать уязвимости компонентов, защищать целостность кода и фиксировать изменения. При обучении и тестировании советуют применять методы, повышающие устойчивость к атакам, а также регулярно дообучать модели. На этапе эксплуатации рекомендуется шифровать запросы и ответы, фильтровать аномальные данные, вести журналы событий, ограничивать частоту и объём запросов, а также контролировать работу модели.

Отдельный блок касается политики безопасности при использовании ИИ. Её разработку и исполнение предлагается закрепить за заместителем руководителя по информационной безопасности, а в самом документе определить требования к защите ИИ-систем, принципам минимальных прав доступа и минимального объёма персональных данных, безопасной разработке, обучению сотрудников, мониторингу, аудиту, работе с общедоступными ИИ‑сервисами и компонентами с открытым кодом, реагированию на инциденты и взаимодействию с подрядчиками.