Каждый год IBM совместно с Ponemon Institute публикует исследование стоимости утечек данных — «Cost of a Data Breach Report». Отчёт 2025 года установил новый рекорд: средняя стоимость одной утечки достигла $4.88 млн. Это на 10% больше, чем годом ранее, и тренд неуклонного роста продолжается уже пятый год подряд.
Стоимость утечки складывается из множества компонентов: расследование инцидента, уведомление пострадавших, юридические расходы, штрафы регуляторов, компенсации клиентам, потеря бизнеса, восстановление систем, репутационный ущерб. Для крупных утечек в регулируемых отраслях (здравоохранение, финансы) стоимость может превышать $10 млн. Для небольших компаний даже «средняя» утечка может оказаться фатальной.
Впервые за 20-летнюю историю отчёта IBM выделил атаки на AI-модели и AI-приложения как отдельный вектор. 13% организаций, пострадавших от утечек в 2025 году, сообщили, что инцидент был связан с их AI-системами. Это новая категория, которой буквально не существовало два года назад.
Что подразумевается под «атаками на AI»? Спектр широк: от prompt injection (внедрение вредоносных инструкций через пользовательский ввод) до кражи обучающих данных, от манипуляции с fine-tuned моделями до эксплуатации API-эндпоинтов AI-сервисов. Атакующие осознали, что AI-системы — это новая поверхность атаки, часто менее защищённая, чем традиционная инфраструктура.
13% — это отправная точка, а не финальная цифра. По мере того как всё больше компаний внедряют AI в критические бизнес-процессы, доля AI-связанных инцидентов будет только расти. Аналитики прогнозируют, что к 2027 году она может достичь 25-30%.
Пожалуй, самая шокирующая находка отчёта: 97% организаций, пострадавших от AI-связанных инцидентов, не имели контроля доступа к своим AI-системам. Девяносто семь процентов. Это означает, что практически все компании, внедряющие AI, делают это без элементарных мер безопасности.
Что значит «отсутствие контроля доступа» в контексте AI? Это целый спектр проблем: AI-модели доступны любому сотруднику без аутентификации, API-ключи к AI-сервисам захардкожены в код и доступны через репозитории, нет разграничения прав (кто может обучать модель, кто — только использовать), нет аудита запросов к AI-системам, нет мониторинга аномального поведения.
Причина этого массового пренебрежения проста: AI-системы внедряются командами разработки и data science, а не командами безопасности. Для разработчика приоритет — функциональность и скорость, а не контроль доступа. В результате AI-модель, имеющая доступ к чувствительным данным компании, может быть доступна кому угодно — от стажёра до внешнего злоумышленника.
Проблема контроля доступа усугубляется явлением shadow AI — неконтролируемого использования AI-инструментов сотрудниками. Когда разработчик подключает AI-ассистент к корпоративному репозиторию через личный аккаунт или менеджер загружает финансовые данные в бесплатную версию ChatGPT, поверхность атаки расширяется за пределы видимости команды безопасности.
Shadow AI создаёт парадоксальную ситуацию: компания может инвестировать миллионы в защиту своей инфраструктуры, но все эти инвестиции обесцениваются, когда чувствительные данные уходят через неконтролируемый AI-канал. Это как строить крепость с толстыми стенами, оставив калитку открытой.
Данные IBM показывают, что утечки, связанные с shadow AI, обнаруживаются значительно позже — компания может даже не знать, что инцидент произошёл, потому что не имеет видимости в AI-активность сотрудников.
Среднее время обнаружения и локализации утечки данных в 2025 году составляет 277 дней. Почти девять месяцев от момента проникновения до момента, когда компания понимает, что произошло, и останавливает атаку. За это время злоумышленник успевает изучить внутреннюю инфраструктуру, получить доступ к наиболее ценным данным и создать устойчивые backdoor-каналы.
Есть и позитивная сторона: компании, использующие AI для обнаружения угроз (AI-powered security), сокращают время обнаружения в среднем на 100 дней. AI, применённый к задачам кибербезопасности — анализу логов, обнаружению аномалий, корреляции событий — демонстрирует значительную эффективность. Здесь возникает интересная двойственность: AI как источник угрозы и AI как инструмент защиты.
Отчёт IBM выявил примечательный парадокс. Компании, активно использующие AI для целей безопасности (AI-powered security operations), экономят в среднем $2.2 млн на каждой утечке по сравнению с компаниями, не использующими AI в безопасности. Это одна из самых значительных экономий среди всех изученных факторов.
Одновременно компании, внедрившие AI без адекватного контроля, несут повышенные расходы при утечках. Стоимость инцидентов, связанных с AI-системами, выше средней — из-за сложности расследования, масштаба скомпрометированных данных и сложности восстановления.
Получается формула: AI для безопасности экономит $2.2 млн, AI без безопасности стоит ещё больше. Ключевой фактор — не наличие или отсутствие AI, а то, как он интегрирован в систему безопасности компании. AI с контролем — мощный защитник. AI без контроля — открытая дверь для атакующего.
Генеративный AI занимает уникальную позицию в ландшафте кибербезопасности: он одновременно является инструментом защиты и вектором атаки. Эта двойственность создаёт новые вызовы для стратегии безопасности.
AI как инструмент защиты: автоматический анализ миллионов событий безопасности, обнаружение аномалий, которые пропускает человек, генерация playbooks для реагирования на инциденты, сокращение времени обнаружения на 100+ дней. Компании, инвестирующие в AI-powered SOC (Security Operations Center), получают измеримое преимущество.
AI как вектор атаки: prompt injection, data poisoning (отравление обучающих данных), model stealing (кража модели), adversarial attacks (состязательные атаки), jailbreaking. Каждая AI-система — это потенциальная точка входа, и традиционные средства защиты (файрволы, IDS/IPS, WAF) не адаптированы к AI-специфичным угрозам.
Компании должны развивать оба направления одновременно: использовать AI для усиления защиты и защищать свои AI-системы от атак. Это требует нового класса специалистов — AI Security Engineers — и новых инструментов, специфичных для AI-угроз.
Если 97% пострадавших организаций не имели контроля доступа к AI, то первый и наиболее очевидный шаг — этот контроль установить. Что это означает на практике?
Данные IBM рисуют чёткую картину: AI стремительно становится частью ландшафта киберугроз. $4.88 млн за утечку, 13% AI-связанных инцидентов, 97% без контроля доступа — это не прогноз, а текущая реальность. И эта реальность будет только ухудшаться по мере того, как AI проникает глубже в бизнес-процессы.
Но те же данные показывают и путь решения. Компании, которые осознанно интегрируют AI в безопасность и одновременно защищают свои AI-системы, получают измеримое преимущество — экономию в $2.2 млн на инциденте и сокращение времени обнаружения на 100 дней. Разница между AI как оружием и AI как щитом — в контроле, политиках и процессах. Технология нейтральна; определяющую роль играет то, как она внедрена.
Методология SAID включает правило «AI как часть периметра безопасности»: каждая AI-система в организации должна проходить через тот же контроль доступа, аудит и мониторинг, что и любая другая критическая система. SAID предусматривает обязательную инвентаризацию AI-инструментов, ролевую модель доступа к моделям и данным, а также AI-специфичные процедуры реагирования на инциденты. Цель — превратить AI из вектора атаки в контролируемый актив.