Держспецзв’язку затвердила рекомендації з кіберзахисту систем, які використовують штучний інтелект
Державна служба спеціального зв’язку та захисту інформації України повідомила, що затвердила рекомендації з кіберзахисту інформаційно-комунікаційних систем (ІКС), які використовують технології штучного інтелекту (ШІ).
Відповідний наказ від 23 лютого 2026 року № 154 видано на виконання плану заходів з реалізації Концепції розвитку штучного інтелекту в Україні на 2025 – 2026 роки, ухваленої Урядом.
Документ розроблено як практичний орієнтир для власників та розпорядників державних і приватних інформаційних, електронних комунікаційних та технологічних систем. Рекомендації мають добровільний характер і призначені для використання під час розробки планів кіберзахисту та оцінки ризиків при впровадженні технологій ШІ.
Документ пропонує комплексний підхід до безпечного впровадження ШІ та деталізує таксономію специфічних кіберзагроз, характерних саме для таких систем, а також кроки для їх нейтралізації.
Серед ключових векторів загроз, які розглядаються в рекомендаціях:
- атаки на ланцюги постачання технологій ШІ (компрометація ПЗ, апаратного забезпечення або API);
- «отруєння» даних та моделей ШІ (навмисне внесення спотворених даних до навчальної вибірки для погіршення роботи системи);
- змагальні атаки (створення спеціальних вхідних даних для провокування помилкових рішень ШІ);
- атаки типу «промпт-ін’єкція» (введення маніпулятивних запитів для обходу механізмів захисту та витоку даних);
- інверсія та крадіжка моделі ШІ (отримання несанкціонованого доступу до внутрішньої структури, навчальних даних або створення копій моделі).
Для кожної із загроз фахівці Держспецзв’язку розробили перелік дієвих заходів з кіберзахисту. Серед них:
- упровадження методу суперечливого навчання (своєрідне «щеплення» для ШІ, коли його навмисно тренують на спотворених даних, щоб виробити стійкість до хакерського обману);
- використання федеративного навчання (підхід, за якого ШІ навчається локально на пристроях користувачів, не передаючи їхні особисті дані на центральні сервери);
- забезпечення диференціальної конфіденційності (математичний захист, який унеможливлює витягнення даних конкретної людини із загального масиву інформації);
- жорстка фільтрація вхідних запитів, постійний моніторинг аномалій та забезпечення високої якості (релевантності) наборів даних.
Також в рекомендаціях наголошується на необхідності інтеграції управління ризиками ШІ у загальну систему кібербезпеки організацій з використанням передових міжнародних стандартів, таких як ISO/IEC 23894:2023, ISO/IEC 42001:2023 та профільних фреймворків NIST.
У Держспецзв’язку додали, що використання цих рекомендацій допоможе українським установам та організаціям безпечно інтегрувати інноваційні технології, уникаючи специфічних вразливостей та захищаючи критично важливі дані від новітніх векторів кібератак.
Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.
