Крупная американская финансовая организация, работающая в штатах Пенсильвания, Огайо и Западная Вирджиния, официально подтвердила инцидент, связанный с утечкой конфиденциальных данных клиентов. Согласно отчету, поданному в Комиссию по ценным бумагам и биржам США (SEC), компрометация информации произошла в результате использования неавторизованных приложений на базе искусственного интеллекта. Инцидент подчеркивает растущие риски кибербезопасности, связанные с бесконтрольным внедрением нейросетевых инструментов в корпоративную среду.
Механизм инцидента и характер раскрытых данных
По данным регуляторной отчетности от 7 мая, основной причиной нарушения безопасности стало человеческое упущение. Предполагается, что сотрудник кредитной организации загрузил массивы клиентской информации в сторонний онлайн-чат-бот с ИИ для выполнения рабочих задач. В результате сторонние алгоритмы получили доступ к сведениям, которые по закону должны находиться в защищенном контуре банка.
В ходе киберинцидента были раскрыты следующие категории данных:
- Персональные имена клиентов;
- Даты рождения;
- Номера социального страхования (SSN).
Подобные инциденты часто классифицируются как утечки по вине инсайдера, даже если действия сотрудника не имели злого умысла, а были продиктованы желанием оптимизировать рабочий процесс.
Реакция регуляторов и последствия для отрасли
Финансовая организация подала заявление по форме 8-K, что является стандартной процедурой для публичных компаний США при возникновении событий, имеющих значение для акционеров. Эксперты по безопасности отмечают, что использование «теневых ИИ-ресурсов» (Shadow AI) становится одной из главных угроз для банковского сектора в 2024–2026 годах.
Использование несанкционированных программных приложений на основе искусственного интеллекта привело к несанкционированному доступу к защищенной информации — отмечается в официальном документе финансовой структуры.
Перспективы усиления контроля
Данный прецедент может ускорить принятие более жестких протоколов безопасности в отношении использования генеративного искусственного интеллекта в финансовом секторе. Ожидается, что банки усилят мониторинг исходящего трафика и внедрят специализированные фильтры, предотвращающие копирование чувствительных данных в окна веб-браузеров. Для пострадавших клиентов это означает необходимость повышенной бдительности в отношении возможного фишинга и мошенничества с использованием похищенных личных данных.