Покупка ещё одного инструмента кибербезопасности сама по себе не решит проблему ИИ-атак. Для гендиректора и совета директоров главный вопрос теперь звучит иначе: не «можем ли мы гарантированно не допустить взлома?», а «сможем ли мы быстро обнаружить инцидент, ограничить ущерб, восстановить ключевые процессы и объяснить свои действия клиентам, партнёрам и регуляторам?»

Британский NCSC — Национальный центр кибербезопасности Великобритании — прямо формулирует это как задачу уровня совета директоров: киберриск уже не является только ИТ-вопросом, потому что инциденты могут остановить операции, повредить репутации и привести к серьёзным финансовым и юридическим последствиям^[1]. Всемирный экономический форум в Global Cybersecurity Outlook 2025 также фиксирует ухудшение картины: 72% опрошенных организаций сообщили о росте киберрисков, а почти 47% назвали развитие атакующих возможностей с помощью генеративного ИИ ключевой причиной беспокойства^[6].

Главная установка: не «неуязвимость», а устойчивость

В эпоху ИИ кибербезопасность — это не только защита периметра. Это связка из предотвращения, обнаружения, сдерживания, восстановления и управленческой ответственности. NCSC описывает киберустойчивость для лидеров как стратегическую способность готовиться к атакам, реагировать на них и восстанавливаться после них^[1].

Совету директоров не нужно погружаться в каждую техническую настройку. Но он обязан регулярно получать ответы на вопросы бизнеса:

• какие процессы критичны для клиентов, выручки, обязательств и регуляторной отчётности;
• сколько часов или дней компания реально выдержит без каждого из них;
• совпадает ли желаемое время восстановления с фактическим;
• кто принимает решения при атаке на облачную инфраструктуру, систему идентификации, поставщика или резервные копии;
• кто имеет право остановить рискованный релиз, отключить систему или запретить опасное исключение.

NCSC подчёркивает: организации должны сосредоточиться на том, что они могут контролировать в киберзащите, но при этом готовиться и к тому, что контролировать невозможно^[3]. Для совета директоров это означает переход от отчётов в стиле «сколько атак отбили» к управлению реальной способностью бизнеса продолжать работу.

7 решений, которые нужно принять за 90 дней

1. Сделать киберриск постоянным пунктом повестки совета директоров

Кибербезопасность нельзя оставлять в формате редкого технического отчёта. NCSC указывает, что киберинциденты затрагивают операции, репутацию, финансы и юридические последствия, поэтому это приоритет для совета директоров^[1]. В корпоративных раскрытиях также заметна тенденция: компании чаще и подробнее описывают надзор за ИИ и киберрисками^[4].

На уровне совета нужно смотреть не на количество серверов, межсетевых экранов или лицензий. Важнее другое: риск остановки критичных процессов, незакрытые критические уязвимости, привилегированные учётные записи, время обнаружения и локализации атак, готовность к восстановлению и контроль за использованием ИИ^[1][5]. WEF также предлагает топ-руководителям начинать с вопроса, установлен ли приемлемый уровень риска для ИИ-технологий и понятны ли параметры принятия решений по их внедрению^[6].

2. Оцифровать критичные процессы и время восстановления

ИИ может ускорять фишинг, подбор сценариев атак и социальную инженерию, но руководству нужно защищать не абстрактную «инфраструктуру», а конкретные бизнес-функции. Для каждого критичного процесса CEO должен видеть максимальное допустимое время простоя, запасной сценарий работы, ответственного за восстановление и порядок коммуникаций с клиентами, рынком и регуляторами^[1][3].

Резервные копии нельзя считать рабочими только потому, что они «где-то есть». Совет директоров должен знать, изолированы ли они от основной среды, проверялись ли восстановлением, сколько времени реально занимает возврат систем и данных. Именно такая подготовка отражает подход NCSC: управлять тем, что можно контролировать, и заранее готовиться к событиям, которые невозможно полностью предотвратить^[3].

3. Использовать ИИ в защите, но оценивать его по результату

Если атакующие применяют генеративный ИИ, защита не может оставаться полностью ручной. Компании всё чаще нуждаются в автоматизации мониторинга, обнаружения аномалий, приоритизации тревог и помощи аналитикам при расследовании. WEF предлагает оценивать, какие уязвимости и бизнес-риски создаёт внедрение ИИ, какие контроли нужны и какой остаточный риск компания готова принять^[5][6].

Но ИИ-защита — не волшебный щит. Совет директоров должен спрашивать не «какой ИИ-инструмент мы купили?», а «улучшились ли время обнаружения, время сдерживания атаки, качество журналирования, обработка ложных срабатываний, ответственность владельцев процессов и порядок утверждения исключений?»^[1][5]

4. Ввести правила для собственного использования ИИ и данных

Риск создают не только атакующие. Собственные ИИ-инструменты компании тоже могут привести к утечке данных, избыточным правам доступа, непрозрачным решениям и ошибкам контроля. WEF рекомендует руководителям оценивать уязвимости, бизнес-эффекты, необходимые меры контроля и остаточный риск, возникающие при внедрении ИИ^[5].

Совместный бюллетень по кибербезопасности, опубликованный на ресурсах Минобороны США, подчёркивает: защита данных, используемых в системах искусственного интеллекта и машинного обучения, важна для точности и целостности результатов ИИ^[2]. Поэтому совет директоров должен требовать понятных правил для внутренних ИИ-сервисов, внешних ИИ-инструментов, приложений на базе больших языковых моделей и сценариев, где в ИИ могут попадать конфиденциальные данные^[2][5].

Отдельно нужно закрепить доступ к обучающим данным, промптам, журналам, векторным базам, RAG-данным и весам моделей — то есть к тем элементам, изменение или утечка которых может повлиять на работу ИИ-системы^[2][5].

5. Связать полномочия CISO с реальной властью в бизнесе

Если директор по информационной безопасности отвечает за риски, но не может остановить опасное исключение, повлиять на бюджет или донести проблему до руководства без фильтров, компания плохо готова к скорости ИИ-атак. Поскольку NCSC рассматривает киберриск как приоритет совета директоров, CISO должен быть не только техническим руководителем, но и участником управления бизнес-рисками^[1].

Совету директоров стоит проверить, есть ли у CISO полномочия:

• останавливать рискованные изменения систем;
• отклонять опасные исключения;
• проводить обязательную проверку ИИ-инициатив;
• требовать устранения критических уязвимостей от бизнес-подразделений;
• участвовать в оценке рисков ключевых поставщиков.

Подход WEF к управлению ИИ-киберрисками также делает акцент на оценке рисков, контролей и остаточного риска на уровне старших владельцев риска, а не только ИБ-команды^[5].

6. Пересмотреть поставщиков, облако и договоры

ИИ-атаки редко ограничиваются «периметром» одной компании. Слабым местом может стать SaaS-сервис, облачная платформа, подрядчик по разработке, MSP, обработчик данных или важная дочерняя структура. NCSC отдельно говорит о необходимости повышать устойчивость по всей цепочке поставок^[3].

Для критичных поставщиков договоры должны отвечать на практические вопросы: какие требования к аутентификации действуют, какие журналы событий доступны, в какие сроки поставщик обязан сообщить об инциденте, как он использует ИИ, как защищает данные, как делает резервные копии, допускает ли аудит и что обязан сделать при восстановлении^[3][5]. Чем позже компания получает уведомление или логи от поставщика, тем позже она может принять решение о сдерживании и восстановлении^[3][5].

7. Заменить «количество инцидентов» на метрики устойчивости

Число инцидентов само по себе мало говорит о том, стала ли компания сильнее. Для совета директоров важнее метрики, показывающие скорость обнаружения, сдерживания и восстановления, а также состояние критичных зависимостей^[1][3].

Область	Что должен видеть совет директоров
Непрерывность бизнеса	Максимально допустимое время простоя по критичным процессам, фактическое время восстановления, наличие обходных процедур[1][3]
Обнаружение, сдерживание, восстановление	Время обнаружения, время локализации, время восстановления, время до управленческого решения[1][3]
Идентификация и доступ	Количество привилегированных учётных записей, неактивные аккаунты, исключения по доступу, контроль критичных аккаунтов[1][5]
Активы и уязвимости	Незакрытые критические уязвимости, просроченные исправления, видимость внешне доступных активов[1][5]
Резервное копирование	Наличие изолированных копий, успешность тестов восстановления, фактическое время восстановления[1][3]
AI-гавернанс	Инвентаризация ИИ-инструментов, исключения по загрузке конфиденциальных данных, доля ИИ-проектов, прошедших проверку[2][5]
Риски третьих сторон	Требования к ключевым поставщикам, сроки уведомления об инциденте, доступность логов, зависимость восстановления от подрядчиков[3][5]

Практический план на первые 90 дней

Дни 0–30: сделать риск видимым для руководства

1. Провести специальное заседание или расширенный блок совета директоров по ИИ-киберрискам^[1][5].
2. Составить список критичных процессов и определить для каждого максимально допустимое время простоя и реальное время восстановления^[1][3].
3. Поручить CISO подготовить оценку рисков, включающую и атаки с применением генеративного ИИ, и риски собственного использования ИИ^[5][6].
4. Временно ограничить загрузку конфиденциальных данных в неутверждённые ИИ-инструменты и установить порядок исключений^[2][5].

Дни 31–60: укрепить контроль и восстановление

5. Усилить контроль доступа для руководителей, администраторов и владельцев привилегированных учётных записей^[1][5].
6. Провести тест восстановления из изолированных резервных копий по сценарию ransomware; WEF в прогнозе на 2025 год отмечает, что ransomware остаётся одной из главных проблем^[6].
7. Инвентаризировать ключевых поставщиков и проверить договорные условия по логам, уведомлению об инцидентах, использованию ИИ, защите данных и помощи при восстановлении^[3][5].

Дни 61–90: закрепить через учения и KPI

8. Провести управленческое учение с участием CEO, CFO, юристов, коммуникаций, CISO и руководителей бизнес-направлений^[1][3].
9. Включить в дашборд совета директоров время обнаружения, время сдерживания, время восстановления, критические незакрытые уязвимости и аудит использования ИИ^[1][5].
10. Пересмотреть линию отчётности CISO, его право эскалации, полномочия по ИИ-проверкам и бюджет, а затем возвращаться к этим вопросам на последующих заседаниях совета директоров^[1][5].

Вопросы, которые совет директоров должен задавать регулярно

• Определён ли допустимый уровень риска для наших ИИ-технологий^[6]?
• Если остановится критичный процесс, кто и за сколько часов запускает клиентские, юридические и коммуникационные действия^[1][3]?
• Кто может изменять данные, используемые в ИИ/ML-системах, и как проверяется их целостность^[2]?
• Может ли CISO напрямую эскалировать опасные исключения и неустранённые риски на уровень руководства^[1][5]?
• Если будет скомпрометирован ключевой поставщик, за сколько часов мы это обнаружим и сможем перейти на запасной сценарий^[3][5]?

Вывод простой: задача CEO и совета директоров — не обещать абсолютную защиту от ИИ-кибератак. Их задача — определить допустимый риск, дать CISO полномочия и ресурсы, ограничить неуправляемое использование ИИ, проверить поставщиков и регулярно доказывать, что компания действительно способна восстановить критичные процессы^[1][3][5]. В кибербезопасности эпохи ИИ выигрывает не тот, кто заявляет о полной неуязвимости, а тот, кто быстрее видит проблему, ограничивает ущерб и продолжает работу.