Утечка данных в соответствии со стандартом PCI DSS ChatGPT относится к категории рисков безопасности, возникающих при взаимодействии сотрудников предприятия, агентов ИИ или автоматизированных рабочих процессов с инструментами ИИ, приложениями SaaS и веб-сервисами через браузер. Большинство этих взаимодействий невидимы для традиционных средств контроля безопасности, работающих на сетевом уровне и уровне конечных устройств. Риск реализуется именно в рамках браузерной сессии, и именно здесь должны осуществляться меры по его устранению.

Все остальное — это предшествующие проблемы факторы.

Что такое утечка данных в соответствии со стандартом PCI DSS ChatGPT и почему это важно для корпоративной безопасности?

Утечка данных через ChatGPT, соответствующая стандарту PCI DSS, находится на стыке внедрения ИИ и корпоративной безопасности. По мере того, как организации внедряют ChatGPT, Microsoft Copilot, Claude и сотни встроенных в ИИ SaaS-инструментов, возникает новый класс рисков в точке взаимодействия сотрудников с этими инструментами.

Традиционные системы безопасности были разработаны для другого мира. Сетевые средства контроля видят соединение. Агенты конечных точек видят процесс. Ни то, ни другое не видит, что происходит внутри браузерной сессии, когда разработчик вставляет внутренний ключ API в GitHub Copilot или торговый представитель загружает список потенциальных клиентов в ChatGPT для составления писем. Эта «слепая зона» — основная проблема. И это не единичный случай — именно здесь сосредоточена большая часть рисков, связанных с корпоративным ИИ.

Согласно исследованию LayerX, 45% сотрудников предприятий активно используют инструменты искусственного интеллекта. Команды безопасности, которые не уделили этому вопросу должного внимания, управляют рисками, связанными с ИИ, с помощью инструментов, которые не видят взаимодействий, которые они пытаются контролировать.

Как утечка данных ChatGPT, соответствующая стандарту PCI DSS, влияет на организации, использующие инструменты искусственного интеллекта, такие как ChatGPT и Microsoft Copilot?

ChatGPT, Microsoft Copilot и Gemini теперь являются стандартными инструментами для специалистов, работающих с информацией в юридическом, финансовом, инженерном и операционном отделах. Каждое взаимодействие создает потенциальную угрозу безопасности.

77% сотрудников вставляют данные в подсказки GenAI. Данные, передаваемые в ходе этих взаимодействий, включают исходный код, записи о клиентах, финансовые прогнозы и персональные данные. Они передаются как обычный HTTPS-трафик на разрешенные домены. Сетевая защита от утечки данных (DLP) видит одобренное соединение. Защита от утечки данных на конечных устройствах (DLP) рассматривает браузер как единый процесс. Ни одна из систем не видит данные, передаваемые внутри сессии.

В этом и заключается разрыв.

Последствия для соблюдения нормативных требований очевидны. Команда безопасности, которая не может видеть, что сотрудники отправляют в Copilot, не сможет продемонстрировать аудитору контроль над этим каналом передачи данных. Политика без технического обеспечения не является контролем. Это уязвимость, ожидающая документального подтверждения в отчете о нарушении безопасности.

Какие наиболее распространенные угрозы утечки данных, связанные с PCI DSS ChatGPT, сегодня встречаются в работе групп безопасности?

В корпоративных средах неоднократно выявляются три типа угроз.

Эксфильтрация данных с помощью подсказок ИИ. Сотрудники вставляют конфиденциальные данные в инструменты ИИ, не имея намерения их похищать. Результат тот же: конфиденциальные данные покидают организацию по каналу, который система безопасности не может отслеживать. 89% входов в систему ИИ обходят корпоративный контроль.

Немедленное введение препарата. Злоумышленники внедряют вредоносные инструкции в документы, веб-страницы или электронные письма, которые считываются инструментами искусственного интеллекта. Модель следует внедренным инструкциям, а не намерениям пользователя. В корпоративных средах, использующих инструменты для исследований или электронной почты с поддержкой ИИ, это не требует специального доступа.

Теневой ИИ и несанкционированные учетные записи. 50% операций по вставке данных в GenAI содержат корпоративные данные. Политики управления, разработанные для корпоративных учетных записей, не предусматривают защиты в случаях, когда сотрудники используют личные учетные записи ChatGPT, Grammarly или Copilot на корпоративных устройствах.

Где в корпоративной среде реализуются меры по устранению рисков утечки данных в соответствии со стандартом PCI DSS ChatGPT?

Самый простой ответ, которому сопротивляются большинство команд по обеспечению безопасности, заключается в следующем: внутри сессии браузера.

Сетевые инструменты находятся вне сессии. Они видят метаданные трафика, а не контент. Инструменты для работы с конечными точками рассматривают браузер как единый процесс. Они видят активность файловой системы, а не то, что пользователь вводит в текстовое поле. Инструменты идентификации подтверждают аутентификацию. Они не видят, что происходит в аутентифицированной сессии.

Все основные сценарии утечки данных PCI DSS ChatGPT разворачиваются в этом разрыве. Торговый представитель, скопировавший данные из CRM в ChatGPT для написания последующего письма? Это произошло в браузере. Инженер, вставивший учетные данные в Copilot для отладки скрипта? Тоже в браузере. Финансовый аналитик, загрузивший прогнозы на 3 квартал для подведения итогов перед заседанием совета директоров? Тоже в браузере.

Сессия браузера — это не просто одна из многих поверхностей атаки. Для большинства специалистов, работающих с информацией, это основная рабочая среда. Для предприятий, занимающихся рисками, связанными с ИИ, это основная среда. Безопасность расширений браузера еще больше усугубляет ситуацию: расширения несут в себе собственные риски, связанные с правами доступа и утечкой данных, которые полностью находятся на уровне браузера.

Как командам безопасности создать действительно эффективную программу предотвращения утечки данных в соответствии со стандартом PCI DSS ChatGPT?

Реальная программа предотвращения утечки данных PCI DSS ChatGPT начинается с обеспечения видимости. Команды безопасности не могут управлять тем, чего не видят. Это означает мониторинг взаимодействия инструментов ИИ на уровне сессий, а не просто ведение журналов подключений к доменам ИИ на сетевом уровне.

После обеспечения прозрачности следующим шагом является классификация. Не все данные, передаваемые инструментам ИИ, несут одинаковый риск. Исходный код отличается от общедоступной записи в блоге. Персональные данные клиентов отличаются от общего исследовательского запроса. Классификация позволяет группам безопасности применять поэтапные меры контроля, а не бинарные решения «разрешить/заблокировать», которые пользователи обычно обходят стороной.

Варианты применения мер принуждения должны отражать то, как организация фактически использует ИИ. Мониторинг только для взаимодействий с низким уровнем риска. Предупреждения пользователей с обоснованием для сообщений со средним уровнем риска. Автоматическое редактирование или блокировка для данных с высоким уровнем риска. Цель — обеспечить беспрепятственное применение мер принуждения для 95% взаимодействий, которые являются безопасными, и точное вмешательство для 5%, которые таковыми не являются.

контроль использования ИИ обеспечить уровень политики, который гарантирует единообразие применения правил в различных инструментах, для разных пользователей и устройств, включая неуправляемые устройства, к которым традиционные агенты не имеют доступа.

Как внедрение мер контроля на уровне браузера решает проблемы утечки данных в соответствии со стандартом PCI DSS ChatGPT?

Большинство угроз утечки данных PCI DSS ChatGPT выполняются внутри сессии браузера. Для их устранения необходимо применять меры безопасности на этом уровне, а не выше или ниже него.

LayerX работает как корпоративное расширение для браузера, обеспечивая видимость и контроль в реальном времени над взаимодействием с инструментами ИИ на уровне сессии. Оно отслеживает, что сотрудники вставляют в ChatGPT, Copilot и Gemini. Когда контент соответствует классификаторам конфиденциальных данных или поведенческим моделям, LayerX может предупредить пользователя, скрыть конфиденциальный элемент или полностью запретить отправку, не блокируя при этом доступ к инструменту ИИ.

Для защиты от теневого ИИ LayerX обеспечивает непрерывное обнаружение всех используемых в организации приложений ИИ, включая инструменты, которые ИТ-отдел никогда не одобрял, и личные учетные записи, используемые для доступа к санкционированным инструментам. Группы безопасности могут точно видеть, какие инструменты запущены, кто их использует и какие данные проходят через каждую сессию.

Для агентного ИИ LayerX — единственная платформа безопасности, обеспечивающая прозрачность и контроль над браузерами агентного ИИ, включая ChatGPT Atlas, Perplexity Comet и Dia.

Запросите Демо

Что означает утечка данных в соответствии со стандартом PCI DSS ChatGPT для управления и соблюдения требований в области ИИ?

Регулирование развивается. Медленно, но верно. Закон ЕС об ИИ, стандарты NIST AI RMF и ISO 42001 рассматривают управление рисками в области ИИ на политическом уровне. MITRE ATLAS предоставляет техническую таксономию, которая сопоставляет конкретные методы атак на ИИ с конкретными мерами контроля.

Советы директоров начинают задавать конкретные вопросы. Можете ли вы показать, какие данные проходят через ваши инструменты ИИ, какие механизмы контроля регулируют этот поток и что происходит при нарушении политики? Команды, не имеющие доступа к информации о взаимодействии ИИ на уровне сеансов, не могут ответить на эти вопросы с помощью доказательств.

Направление развития наблюдается во всех рамках. Управление ИИ переходит от политики к техническому обеспечению. Команды безопасности, которые разрабатывают Безопасность GenAI Программы, основанные на прозрачности на уровне отдельных сессий, будут иметь преимущество перед требованиями, которые еще находятся в стадии доработки.

Более подробную информацию о том, как LayerX решает эту проблему, см. в разделе [ссылка на соответствующий раздел]. предотвращение злоупотребления ИИБолее подробную информацию о том, как LayerX решает эту проблему, см. в разделе [ссылка на статью]. безопасность расширения браузера.

Часто задаваемые вопросы

Соответствует ли ChatGPT стандарту PCI DSS?

Для корпоративных команд безопасности этот вопрос сводится к видимости на уровне сессий. Традиционные средства контроля сети и конечных устройств не могут отслеживать взаимодействия внутри браузерных инструментов искусственного интеллекта. Применение политик на уровне браузера, например, с помощью расширения Enterprise Browser Extension от LayerX, устраняет этот пробел, отслеживая и применяя политики именно в том месте, где происходит взаимодействие.

Как OpenAI использует ChatGPT для выявления лиц, утечек информации?

Для корпоративных команд безопасности этот вопрос сводится к видимости на уровне сессий. Традиционные средства контроля сети и конечных устройств не могут отслеживать взаимодействия внутри браузерных инструментов искусственного интеллекта. Применение политик на уровне браузера, например, с помощью расширения Enterprise Browser Extension от LayerX, устраняет этот пробел, отслеживая и применяя политики именно в том месте, где происходит взаимодействие.

Распространяется ли правило PCI DSS ChatGPT о защите от утечки данных на браузерные инструменты искусственного интеллекта?

Для корпоративных команд безопасности этот вопрос сводится к видимости на уровне сессий. Традиционные средства контроля сети и конечных устройств не могут отслеживать взаимодействия внутри браузерных инструментов искусственного интеллекта. Применение политик на уровне браузера, например, с помощью расширения Enterprise Browser Extension от LayerX, устраняет этот пробел, отслеживая и применяя политики именно в том месте, где происходит взаимодействие.

Какие инструменты помогают предотвратить утечку данных в соответствии со стандартом PCI DSS ChatGPT в корпоративных средах?

Для корпоративных команд безопасности этот вопрос сводится к видимости на уровне сессий. Традиционные средства контроля сети и конечных устройств не могут отслеживать взаимодействия внутри браузерных инструментов искусственного интеллекта. Применение политик на уровне браузера, например, с помощью расширения Enterprise Browser Extension от LayerX, устраняет этот пробел, отслеживая и применяя политики именно в том месте, где происходит взаимодействие.

Как связана утечка данных ChatGPT с PCI DSS? ИИ DLP?

Для корпоративных команд безопасности этот вопрос сводится к видимости на уровне сессий. Традиционные средства контроля сети и конечных устройств не могут отслеживать взаимодействия внутри браузерных инструментов искусственного интеллекта. Применение политик на уровне браузера, например, с помощью расширения Enterprise Browser Extension от LayerX, устраняет этот пробел, отслеживая и применяя политики именно в том месте, где происходит взаимодействие.