Обеспечение информационной безопасности от кибератак в условиях глобализации стало актуальным вопросом, а информация стала особо защищаемым объектом.
Под термином «кибертеракт» понимаются, как правило, действия по дезорганизации информационных систем, устрашающие население и создающие опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в целях воздействия на принятие решения органами власти или международными организациями, а также угроза совершения указанных действий в тех же целях.
С появлением искусственного интеллекта многие вопросы, ранее решаемые человеком, были делегированы искусственному интеллекту, который со многими задачами справляется более оперативно. Так, IBM Watson применяется для обнаружения кибератак, анализируя сетевой трафик и предупреждая угрозы, в свою очередь Darktrace использует ИИ для выявления аномалий и предотвращения атак в реальном времени.
Искусственный интеллект может быть активно использован в сфере кибербезопасности, что, однако требует обеспечения должного правового регулирования.
На международном уровне правовое регулирование искусственного интеллекта только формируется. Основными нормами выступает Всеобщая декларация прав человека (1948), которая закрепляет право на частную жизнь (ст. 12), что актуально для защиты персональных данных; Конвенция Совета Европы № 108+ (1981, ред. 2018), которая регулирует автоматизированную обработку данных, включая алгоритмы ИИ; Руководящие принципы ОЭСР по ИИ (2019), которые подчеркивают важность прозрачности, ответственности и соблюдения конфиденциальности при использовании ИИ.
На уровне ЕС ведущим документом является Общий регламент по защите данных (GDPR), который налагает строгие требования на обработку персональных данных с использованием ИИ. Разрабатывается Акт об ИИ, который создаст общий правовой режим для этой технологии. На территории США регулирование основано на секторальных законах (например, Закон о конфиденциальности данных в здравоохранении, HIPAA) и инициативах по обеспечению прозрачности ИИ.
В России действует Закон «О персональных данных» (152-ФЗ) и программа «Искусственный интеллект», которые регулируют разработку и использование ИИ, в том числе в области кибербезопасности.
Искусственный интеллект в кибербезопасности может быть использован для выявления угроз. Искусственный интеллект способен анализировать большие массивы данных и выявлять подозрительные действия в реальном времени. При помощи искусственного интеллекта возможна автоматизация процессов, что способствует снижению человеческого фактора и ускорению реагирования на инциденты. Алгоритмы машинного обучения улучшаются с накоплением данных.
В то же время, помимо положительных аспектов использования искусственного интеллекта имеются и отрицательные моменты. В частности, угроза конфиденциальности, поскольку обработка огромных объемов данных (включая персональные) может нарушать права на частную жизнь; предвзятость алгоритмов, так как искусственный интеллект может допускать ошибки или дискриминацию при принятии решений; кибератаки на ИИ-системы, так как хакеры могут манипулировать ИИ, чтобы обойти системы защиты.
Использование искусственного интеллекта (ИИ) в кибербезопасности поднимает ряд сложных правовых вопросов, связанных с обработкой персональных данных.
Алгоритмы ИИ требуют большого объема данных для обучения и работы. Эти данные часто включают персональные сведения, такие как имена, IP-адреса, метаданные электронной почты и даже биометрическую информацию. Обработка таких данных может нарушать право на конфиденциальность.
Основными правовыми вызовами выступает согласие на обработку данных, так как во многих юрисдикциях требуется явное согласие субъектов данных. В условиях автоматизированной обработки это часто сложно обеспечить; объем и пропорциональность данных, поскольку, к примеру, такие законы как GDPR, требуют минимизации данных, однако системы ИИ зачастую собирают данные «про запас», чтобы улучшить модели; трансграничный обмен данными, так как использование ИИ в кибербезопасности может включать передачу данных между странами с разными уровнями правовой защиты.
ИИ-системы, используемые в кибербезопасности, работают на основе сложных моделей, таких как глубокое обучение. Это приводит к трудностям в понимании, как именно принимаются решения и какие данные обрабатываются.
На практике возникает ряд проблем, таких как отсутствие объяснимости так как многие системы ИИ являются «черным ящиком», что затрудняет проверку соблюдения законов о защите данных. Субъекты имеют право знать, как их данные обрабатываются, но это право сложно реализовать в случае сложных алгоритмов и организации должны показать, что их алгоритмы соответствуют законам, но прозрачность ИИ остается ограниченной.
К тому же не следует забывать, что сами ИИ-системы в кибербезопасности могут стать мишенью для атак. Нарушение их работы может привести к утечке огромных объемов данных или неправильной их обработке.
В данном случае возникает ряд закономерных вопросов о том, кто несет ответственность, если данные подвергаются атаке через уязвимость в системе ИИ, не всегда понятно, кто должен компенсировать ущерб, причиненный компрометацией данных в результате ошибок ИИ.
В случае атаки злоумышленники могут получить доступ к данным, обработанным ИИ, что требует строгого правового контроля.
ИИ может выявлять и анализировать персональные данные, которые субъекты данных предпочли бы скрыть. Кроме того, он может усугублять дискриминацию или нарушать социальные права.
Могут возникать этические дилеммы. Например, где проходит граница между защитой системы и чрезмерным вмешательством в частную жизнь пользователей. Использование ИИ для анализа поведения пользователей может пересекаться с незаконным наблюдением.
На глобальном уровне отсутствуют единые правовые стандарты для регулирования ИИ в кибербезопасности, что создает пробелы в защите персональных данных. Существуют коллизии национальных правовых норм. Например, GDPR в ЕС предоставляет высокую степень защиты данных, в то время как в других странах такие гарантии слабее или отсутствуют. Отсутствует международная гармонизации, что осложняет защиту данных при трансграничной обработке. Технологии развиваются быстрее, чем законы, что создает правовую неопределенность.
Таким образом, на наш взгляд, должен существовать баланс между инновациями и защитой персональных данных. В связи с этим необходимо выработать принципы достижения такого баланса. В качестве таковых могут выступать прозрачность алгоритмов, поскольку пользователи должны понимать, как ИИ принимает решения, особенно в сфере обработки персональных данных; минимизация данных, чтобы сбору подлежали только те данные, которые действительно необходимы для функционирования ИИ, этические стандарты, опирающиеся на разработку общепринятых норм для создания и использования ИИ.
Конечно же, в данном случае законодательство должно четко распределять ответственность между разработчиками искусственного интеллекта, пользователями и организациями, использующими искусственный интеллект. Необходимо также создание органов, которые контролируют соблюдение прав в области конфиденциальности и международное сотрудничество для унификации стандартов регулирования искусственного интеллекта.
Необходимо внедрение методов обезличивания данных и использование механизмов защиты данных на всех этапах их обработки (Privacy by Design) и разработка этичных ИИ-систем, способных самостоятельно предотвращать утечки данных, а также создание международных стандартов для регулирования ИИ в кибербезопасности.
Таким образом, следует заключить, что использование искусственного интеллекта в кибербезопасности открывает огромные возможности для защиты информации и предотвращения киберугроз. Однако это требует четкого правового регулирования, которое обеспечит защиту персональных данных и соблюдение этических норм.
Достижение баланса между инновациями и защитой конфиденциальности возможно только при активном сотрудничестве государства, бизнеса и общества, а также при гармонизации национальных и международных норм.
Для преодоления указанных вызовов необходимо:
♦ усилить регулирование прозрачности ИИ, обязав разработчиков предоставлять объяснения алгоритмов и улучшить механизмы информирования субъектов данных.
♦ обеспечить минимизацию данных, закрепив жесткие правила для сбора только тех данных, которые необходимы для работы ИИ.
♦ создать единые международные стандарты, разработав глобальные нормы, регулирующие использование ИИ в кибербезопасности, с учетом защиты персональных данных.
♦ внедрять этические принципы, придерживаясь подходов «Privacy by Design» и «Ethics by Design» на этапе разработки технологий.
♦ усилить защиту ИИ-систем, разработав правовые механизмы предотвращения атак на ИИ и распределения ответственности за ущерб.
Эти меры помогут снизить риски и обеспечить баланс между эффективностью ИИ и защитой персональных данных.
Абдухамидзода А. А., студент юридического факультета Национального исследовательского университета «Высшая школа экономики»
