По мере того как ИИ-системы всё глубже внедряются в критическую инфраструктуру и процессы принятия решений, специалисты по кибербезопасности сталкиваются с простой, но тревожной истиной: искусственный интеллект не является безопасным по умолчанию.
В 2025 году Европейский институт телекоммуникационных стандартов (ETSI) выпустил TS 104 223 — ключевую техническую спецификацию, определяющую базовые требования кибербезопасности для ИИ-систем — от фундаментальных моделей до специализированных решений.
В этой статье рассматривается значение TS 104 223, его подход на основе жизненного цикла и последствия для системных архитекторов, CISO, специалистов по соответствию требованиям и разработчиков ИИ по всему миру.
Что такое ETSI TS 104 223?
ETSI TS 104 223 описывает структурированную модель кибербезопасности, охватывающую пять фаз жизненного цикла ИИ:
Безопасная разработка архитектуры (Secure Design)
Безопасная разработка ПО (Secure Development)
Безопасное развертывание (Secure Deployment)
Безопасное сопровождение (Secure Maintenance)
Безопасное завершение жизненного цикла (Secure End-of-Life)
Стандарт охватывает как традиционные аспекты кибербезопасности (управление доступом, патчи, уязвимости), так и специфические для ИИ угрозы — такие как отравление данных, инверсия модели, инъекция запросов (prompt injection) и враждебное использование моделей.
«Безопасность в ИИ больше не может быть дополнением. Она должна быть заложена на этапе проектирования, постоянно проверяться и поддерживаться на всём протяжении жизненного цикла системы.»
— TS 104 223, Пункт 5
Чем отличается безопасность ИИ?
В отличие от обычного ПО, ИИ-системы:
Обучаются на чувствительных или непроверенных данных
Адаптируются под пользователя (обучение, reinforcement learning)
Генерируют непредсказуемые результаты, иногда — в массовом масштабе
Работают в сложных цепочках поставок: данные, подсказки (prompts), API, модели
Из этого вытекают новые типы угроз:
Отравление данных в тренировочных пайплайнах
Инъекции подсказок (prompt injection) в языковые модели
Атаки по определению принадлежности (membership inference)
Утечка моделей через незащищенные API
Недетерминированное поведение с этическими и правовыми последствиями
Классическое моделирование угроз становится недостаточным.
Основные принципы ETSI TS 104 223
1. Безопасность по дизайну
ИИ-системы должны проектироваться с учетом безопасности и границ риска с самого начала.
Угрозы должны моделироваться как классические, так и специфичные для ИИ
Компоненты от внешних поставщиков требуют специфической проверки
Документирование и возможность аудита — критичны для соответствия требованиям и расследований
2. Доступ на основе риска и защита API
Минимизировать доступ к LLM и предсказательным моделям через API
Ограничивать частоту обращений, вести мониторинг злоупотреблений
Настраивать доступ на основе необходимости, а не по умолчанию
3. Документирование активов и отслеживаемость
Организации обязаны:
Вести полный реестр данных для обучения, версий моделей, подсказок, зависимостей
Использовать криптографические хэши для проверки подлинности моделей
Логировать каждое изменение в подсказках, в обучении и поведении моделей
4. Безопасная цепочка поставок
ИИ-пайплайн выходит за пределы внутренних процессов:
Сторонние поставщики данных, облачные сервисы и готовые модели — потенциальные точки риска
Необходимы SBOM (списки компонентов ПО) и прозрачность в отношении обучающих данных
5. Человеческий контроль и ответственное ИИ
Обеспечить интерпретируемость вывода модели
Честно сообщать об ограничениях и возможных ошибках конечным пользователям
Внедрять технические ограничения для соблюдения нормативов и принципов управления
Практические действия для специалистов по безопасности и GRC
Заключение
ИИ-системы уже сегодня определяют, как принимаются решения — в здравоохранении, финансах, обороне и обществе в целом.
Но меры безопасности не поспевают за этим изменением.
ETSI TS 104 223 следует воспринимать не как рекомендацию, а как архитектурную основу стратегии.
Это призыв к действию для тех, кто разрабатывает, внедряет или регулирует ИИ:
Безопасность должна масштабироваться вместе с интеллектом.
