С появлением инструментов сканирования уязвимостей на основе искусственного интеллекта у техкомпаний, пожалуй, больше нет причин не знать об ошибках в своих продуктах, считает главный ИБ-специалист Европейского агентства по кибербезопасности (ENISA) Ханс де Врис.
Ярким примером подобных технологий, которые быстро развиваются в текущем году, являются передовые модели Claude Mythos и GPT5.5-Cyber: они способны находить и исправлять ошибки ПО с невероятной скоростью и в беспрецедентном масштабе. По словам эксперта, Закон ЕС о киберустойчивости (CRA) уже требует защиты по умолчанию и на этапе проектирования. Этот документ вступил в силу в декабре 2024 года, и основные обязанности, введённые им, начнут действовать с 11 декабря 2027 года, а обязательства по отчётности — с 11 сентября 2026 года.
«Для меня обеспечение безопасности by design — это фактически лицензия на ведение бизнеса прямо сейчас, — пояснил де Врис. — Иначе ваш противник обязательно злоупотребит уязвимым софтом, и вас, вероятно, привлекут к ответственности. Если вы не используете ИИ рекомендованным образом, вы не добьётесь успеха через год или два».
Директор по операциям Национального центра кибербезопасности Великобритании Пол Чичестер со своей стороны заявил, что мы вступаем в фазу, когда в плохо написанных решениях будут обнаруживаться уязвимости, однако, всего одна брешь не означает автоматическую компрометацию модели. Те, кто использует теневые ИТ-системы или не имеет сложной многоуровневой защиты, будут очень заинтересованы в применении нейросетей для устранения слабых мест в своих продуктах. Со слов Чичестера, ИИ позволит обеспечить безопасность софта гораздо более единообразным способом.
Усам Оздемиров
.jpg)
