Первый стандарт ИИ-безопасности принят при участии 40 организаций

Почему классическая кибербезопасность не защищает ИИ

Когда речь заходит о безопасности систем ИИ на критических объектах — в энергетике, транспорте, оборонно-промышленном комплексе, финансах — большинство специалистов по умолчанию думают о межсетевых экранах, шифровании и мониторинге периметра. Это принципиально неверный подход: ИИ-системы атакуют иначе.

Существует несколько принципиально новых векторов атак. Первый — отравление обучающих данных: злоумышленник искажает датасет так, чтобы модель систематически ошибалась в нужный момент, оставаясь при этом внешне работоспособной. Второй — состязательные входные данные: специально сконструированный сигнал заставляет модель выдавать нужный атакующему результат. Третий — извлечение модели через серию безобидных запросов, позволяющее восстановить ее архитектуру и фактически похитить интеллектуальную собственность. Ни один из этих векторов не предусмотрен в классических стандартах информационной безопасности.

Как создавался первый российский стандарт

В 2025 году под руководством старшего преподавателя кафедры «Кибернетика» НИЯУ МИФИ Романа Душкина был разработан предварительный национальный стандарт применения систем ИИ на объектах критической информационной инфраструктуры. В публичном обсуждении приняли участие более сорока организаций: Минобороны, Газпром, Банк России, ФСТЭК, Роскосмос, ведущие университеты и компании в сфере информационной безопасности. По итогам обсуждения было собрано более четырехсот замечаний и предложений.

Стандарт вводит четырехуровневую классификацию ИИ-систем по степени критичности и описывает требования к их защите на каждом этапе жизненного цикла: от проектирования и обучения до эксплуатации и вывода из оборота. Такой подход позволяет выстраивать защиту соразмерно реальным рискам, а не применять одинаковые меры ко всем системам без разбора.

Для компаний, разрабатывающих ИИ-решения для корпоративного и государственного секторов, соответствие подобным стандартам становится условием допуска к работе с критической инфраструктурой. «Экосистемные цифровые решения» (ЭЦР) при проектировании агентных систем для промышленных и государственных заказчиков закладывают требования к защите от специфических атак на ML-модели уже на этапе архитектурного проектирования.

Регуляторика отстает, но формируется

Ключевой вывод, прозвучавший на IV Петербургском форуме оборонных технологий ВОЕНТЕХ-2026 в университете ВОЕНМЕХ: регуляторика в области безопасности ИИ объективно отстает от реальных угроз. Задача экспертного сообщества — не ждать, пока государство само сформирует требования, а активно участвовать в их разработке. Стандарты, написанные без участия практиков, которые видели реальные атаки на ML-модели, окажутся неэффективными.

Выводы и рекомендации

Ключевые тезисы:

• Атаки на ИИ-системы — отравление данных, состязательные входы, извлечение модели — не охвачены классическими стандартами ИБ.
• Новый предварительный национальный стандарт вводит четырехуровневую классификацию и требования по всему жизненному циклу ИИ-системы.
• Разработка стандарта объединила более сорока организаций и собрала свыше четырехсот замечаний.
• Экспертное сообщество должно опережать регуляторов, а не дожидаться готовых норм.

Практические рекомендации:
Компаниям, разрабатывающим или эксплуатирующим ИИ-системы на объектах КИИ, следует немедленно провести аудит угроз, специфичных для ML-моделей. Необходимо включить защиту от отравления данных и состязательных атак в архитектурные требования к системам. Участие в разработке отраслевых стандартов позволит сформировать требования, соответствующие реальной практике, а не абстрактным представлениям регуляторов.