В современном мире множество разработчиков добавляют искусственный интеллект в свои решения. Однако важно различать, где это дань моде, а где — реально полезные функции, упрощающие работу пользователей. Полгода назад мы внедрили ИИ-компонент в DLP-систему «СёрчИнформ КИБ». С самого начала мы фокусировались на практической пользе, а не на декоративном использовании технологии. Теперь делимся кейсом: как это функционирует и какие преимущества дает специалистам по информационной безопасности.
Для чего ИИ в DLP-системе?
Искусственный интеллект — эффективное средство с широким потенциалом. Однако его необдуманное применение приводит к неоправданному удорожанию продукта. Например, поиск утечек паспортных данных эффективнее через классические регулярные выражения. Поэтому мы используем ИИ только там, где традиционные методы недостаточны, четко определив зоны его ответственности.
Изначально рассматривались классификаторы на базе машинного обучения, так как нейросети успешно идентифицируют объекты по схожести, выявляют закономерности и отклонения в массивах данных. Для инфобезопасности это критично: автоматизировать анализ сложных форматов (аудио, видео, изображений), ранее требовавших ручной проверки. Например, при расследовании инцидентов: кто использовал компьютер во время утечки? Зачем сотрудник загрузил подозрительные фото в облако? О чем велись переговоры с контрагентом перед срочным подписанием договора? Так в КИБ появились распознавание лиц на снимках с камер, категоризация изображений без OCR-анализа («похоже на сканы документов»), расшифровка аудиозаписей. Это ускорило стандартные процессы, но не предлагало принципиальных инноваций.
С развитием технологий ИИ стал полноценным партнером ИБ-эксперта, способным делиться знаниями и поддерживать принятие решений. Здесь ключевую роль играют LLM (большие языковые модели), отличающиеся от классических алгоритмов: они интерпретируют естественную речь, учитывают контекст, обучаются на лету и анализируют множество параметров, недоступных для ручных настроек политик.
Такие решения позволяют выявлять инциденты на новом уровне. Главное — адаптировать ИИ под специфику задач. Внедряя в КИБ модуль «ИИ Ассистент КиберЗащиты» от «Системных технологий», мы предоставили данные для обучения модели. На основе анализа запросов клиентов были разработаны промпты, повышающие точность обнаружения нарушений. Результат — готовые ИИ-политики, интегрированные в систему.
Принцип действия ИИ-политик
Модуль анализирует данные из почты, мессенджеров и соцсетей, включая вложения, применяя заданные правила. Локальное развертывание гарантирует безопасность — корпоративная информация не передается внешним серверам.
Политики содержат предустановленные промпты с условиями для выявления нарушений. Это избавляет ИБ-специалистов от ручного подбора формулировок и оптимизации токенов.
В промпты встроены:
- цель анализа;
- ключевые триггеры;
- примеры корректных и ошибочных срабатываний;
- исключения (например, слово «премия» в сообщении руководителя vs. в переписке с подрядчиком);
- пояснения терминов (например, различия между личной и корпоративной выгодой).
Сейчас модуль обнаруживает:
- Утечки конфиденциальной информации: запросы к закрытым данным, кража интеллектуальной собственности, продажа информации, передача чужих платежных реквизитов.
- Мошенничество: схемы с откатами, просьбы о неофициальных переводах, скрытая занятость, удаление переписок.
- Потенциально рискованных сотрудников: нарушения законодательства, опасные привычки.
- Конфликты в команде: оскорбления, сплетни, напряженность.

Пример ИИ-политик в «СёрчИнформ КИБ».
Эти политики доступны сразу после интеграции модуля. В планах — добавить возможность редактирования промптов и создания пользовательских правил. Сейчас базовый набор покрывает основные риски, а компания открыта к запросам на разработку новых сценариев.
Дополнительные функции модуля: суммаризация длинных текстов и перевод на 120+ языков (русский, английский, арабский и др.) в реальном времени. Это сокращает время на анализ многостраничных документов и снижает риски ошибок из-за усталости аналитика или языкового барьера.
Преимущества внедрения
Ключевая цель ИИ-модуля — выявление скрытых угроз. Это позволяет специалистам:
- Расширить охват данных
LLM выявляют связи между разрозненными фрагментами информации. Например, ИИ определяет, что сообщения из разных частей чата относятся к одной теме, даже при обсуждении параллельных вопросов. Традиционные DLP-системы анализируют каждое письмо отдельно, тогда как ИИ оценивает диалог целиком.
Пример: сотрудник отправляет фрагменты номера криптокошелька в разных сообщениях. Классические правила не обнаружат угрозу, но ИИ соберет данные воедино и выявит попытку нелегального перевода средств.
Анализ не зависит от языка переписки — результаты автоматически переводятся специалисту.
- Учитывать контекст
Система распознает эмоциональную окраску, игру слов, сленг. Это помогает выявлять попытки замаскировать нарушения или обсуждать их иносказательно.

Иллюстрация работы с контекстом: ИИ отличает нейтральную переписку от подозрительной, анализируя тон и скрытые смыслы.
- Повысить точность решений
В отчетах модуль выделяет рискованные фрагменты, объясняя логику обнаружения инцидента. Это снижает риск «галлюцинаций» ИИ и позволяет специалисту проверить обоснованность срабатывания. Готовые выводы экономят время на составление докладов.

Пример отчета: сотрудник предлагает услуги по сбору данных для зарубежного клиента. ИИ переводит переписку, выделяет суть инцидента и аргументирует выводы.
Итог: ИБ-специалист получает не просто автоматизатор задач, а интеллектуального помощника, повышающего эффективность. Система выявляет больше скрытых угроз, сокращает ложные срабатывания и пропущенные инциденты в больших данных.
Локальная установка модуля минимизирует риски утечек и обеспечивает кастомизацию под нужды компании. Для работы требуется выделенный сервер с GPU.
Протестировать «СёрчИнформ КИБ» с ИИ-модулем можно бесплатно — оставьте заявку на демонстрацию.
Автор– Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».
Реклама. Рекламодатель ООО «СёрчИнформ», ИНН 7704306397,erid:2SDnjeJo8jk
Источник: http://www.securitylab.ru/analytics/574123.php
