В России действует федеральный закон №152 "О персональных данных", напомнил руководитель направления "Киберразведка" компании "Бастион" Константин Ларин. Он устанавливает, что нельзя собирать, обрабатывать и использовать личные данные - имена, адреса, дату рождения и т.д. - без согласия их владельца. Если же пользователь дал свое согласие, то сервис должен обеспечить защиту информации в процессе обработки.
Технически чат-бот приравнивается к любому интернет-сервису или сайту. Он, как и другие решения, работает с базами данных для предоставления ответа пользователю. Соответственно, на законодательном уровне к нему применяются те же требования по защите данных, объяснил технический директор Flowwow Дмитрий Шестернин.
Для обеспечения защиты нужна инфраструктура сквозной кибербезопасности на нескольких уровнях, отметил руководитель R&D-лаборатории Центра технологий кибербезопасности ГК "Солар" Максим Бузинов.
Во-первых, это защита канала связи с помощью технологий шифрования данных и решений класса WAF. Атакуя пользователей, хакеры используют уязвимости систем аутентификации в личных кабинетах и чат-ботах и "угоняют" куки-файлы для контроля над учетными записями и получения доступа к истории коммуникаций. Наиболее уязвимые в этом плане отрасли - финтех и e-commerce, так как в разработке клиентских онлайн-сервисов и приложений они массово используют открытый код.
"Дополнительным риском являются непроверенные датасеты, которые используются для разработки скриптов в чат-ботах. И если разработчики пропускают этапы проверки кода, датасетов, всегда есть риск, что сработают "закладки", которые приведут к потере персональных данных пользователей", - добавил Бузинов.
Второй контур защиты должна обеспечивать инфраструктура хранения данных: DLP-платформы, решения по управлению доступом к пользовательским данным.
Также некоторые компании часто передают сервис по поддержке чат-ботов подрядчикам, поэтому их тоже следует включать в инфраструктуру сквозной кибербезопасности, уточнил эксперт.
Кроме этого, разработчики могут использовать накопленные данные для дообучения своих чат-ботов. В таком случае все данные, идущие в обучающую выборку, должны быть обезличены и очищены от чувствительной информации, сказал Ларин.
При этом ни одна технология не гарантирует полной защиты. По мнению владельца продукта DION.Чаты платформы корпоративных коммуникаций DION (Холдинг Т1) Станислава Полянского, важна осведомленность сотрудников о киберугрозах.
Что касается чат-ботов в российском бизнесе, то говорить об их полной безопасности пока сложно, считает собеседник. Большая часть из них работает на базе сторонних платформ, например, в публичных мессенджерах - это ограничивает возможности мониторинга со стороны специалистов по информационной безопасности.
"Для бизнеса критически важно использовать корпоративные платформы унифицированных коммуникаций - именно такие решения позволяют обеспечить необходимый уровень защиты и контроля над чат-ботами, а также успешно интегрировать их в IT-инфраструктуру организации", - подчеркнул эксперт.
Как объяснил эксперт в области искусственного интеллекта компании Axenix Александр Стрельников, Cloud-боты и On-Premise-боты. В первом случае есть риск утечки персональных данных, во втором же - "ситуация сильно лучше", поскольку все остается в контуре заказчика, ничего не вылетает наружу. Весь крупный бизнес в России фокусирует на On-prem-ботах. Боты с Cloud они могут использовать только в качестве "болталок".
Для того, чтобы случайно не стать жертвой чат-ботов, Бузинов порекомендовал в беседах с ними не раскрывать персональные данные, личную информацию, платежные данные и контакты. Также стоит заранее проверить подлинность ресурса.
"Пользователю стоит доверять чувствительные данные в переписке с чат-ботом, только если речь идет о канале общения с крупными и надежными компаниями, например, банками или технологическими корпорациями. У таких игроков высокий приоритет на обеспечение безопасности, что зачастую является сложным и дорогостоящим мероприятием", - дополнил старший менеджер практики разработки ПО Axenix Арсений Кондратьев.