Logo Altel
USD
463.91
+2.65
EUR
544.63
+2.05
RUB
6.26
+0.08
BRENT
106.30$
-0.29
WTI
100.77$
-0.29
go to finance.kapital.kz
Logo Kapital.kz
Search Icon

Тіл

rukk

Әрдайым байланыстамыз

Icon_FacebookIcon_TwitterIcon_TelegramIcon_Instagram
Search Icon

Тіл

rukk
Burger Icon
Freedom Broker
Жарнама
Жарнама

Неліктен бизнеске киберқауіпсіздік жүйесін қайта қарау аса маңызды?

AI енді тиімділікті арттыратын «қосымша құрал» емес, өте жылдам шабуылдардың катализаторына айналды

Kapital.kz
Kapital.kz

Автор: ақпараттық қауіпсіздік саласының сарапшысы, Target Information Security компаниясының жетекшісі Лаура Тілепина

Жуырда ғана жасанды интеллектіні бизнесті дамытуға арналған әмбебап құрал ретінде қабылдайтын. Ол мәтінді жылдам жазады, құжаттарды талдайды, клиенттермен байланысады, күнделікті операцияларды автоматтандырады. Алайда 2026 жылы бір нәрсе айқын болды: AI тек бизнес-процестерді ғана емес, кибершабуылдарды да дәл сондай жылдамдықпен үдетеді. Бірақ бүгінгі басты мәселе технологияның өзінде емес. Компаниялар AI-ды ақпараттық қауіпсіздік жүйесін қайта бейімдеуден әлдеқайда жылдам енгізіп жатыр. Бизнес AI-сервистерді қосуда: қызметкерлер оған құжаттарды жүктейді, бөлімдер коммуникацияларды автоматтандырады, маркетинг генеративті құралдарды пайдаланады, ал IT мамандары AI-агенттерді енгізіп жатыр. Бірақ оған қандай деректер түсетіні, қолжетімділік қалай бақыланатыны, құралдардың өзі қалай тексерілетіні және олардың шабуылдаушы үшін жаңа кіру нүктесіне айналмайтыны әрдайым түсінікті емес.

2026 жылы басшылар үшін «бізге AI керек пе?» деген сұрақ өзектілігін жоғалтты. Қазір «AI-ды жаңа шабуыл алаңына айналдырмай қалай енгізуге болады?» деген мәселе маңызды болып отыр.

World Economic Forum жариялаған Global Cybersecurity Outlook 2026 сауалнамасына қатысқан респонденттердің оннан тоғызы AI-ды алдағы бір жылда киберқауіпсіздікке ең көп әсер ететін фактор деп атаған. Респонденттердің 87%-ы AI-related vulnerabilities 2025 жылдың өзінде ең жылдам өсіп жатқан тәуекелге айналғанын атап өтті. Тағы бір маңызды жайт, былтыр ұйымдардың тек 37%-ы ғана AI-құралдарының қауіпсіздігін бағаласа, 2026 жылы бұл көрсеткіш 64%-ға жеткен.

Бизнес AI-ды жай ғана іске қосып, кейін ұмыта салуға болмайтынын түсінді. Себебі технологияны енгізу жылдамдығы қорғаныс жүйесінің даму қарқынынан әлі де озып тұр. Мамыр айындағы жаңалықтардың өзі осы айырмашылықты растайды. 2026 жылғы 11 мамырда Reuters Google Threat Intelligence Group деректеріне сүйене отырып, шабуылдаушылардың бұрын белгісіз болған осалдықтарды анықтау және соған лайық эксплойт таңдау үшін AI қолдана бастағанын хабарлады. Шабуыл жаппай қолданылмай тұрып тоқтатылған. Бірақ мұндағы ең маңыздысы – фактінің өзі. AI енді тек «фишинг көмекшісі» рөлінен шығып, бағдарламалық қамтамасыз етудегі әлсіз тұстарды іздейтін және шабуылдың техникалық бөлігін жеделдететін құралға айналып келеді. Associated Press мәліметінше, Google бұл оқиғаны киберқауіпсіздік мамандары ұзақ жылдар күткен кезең деп бағалайды. Қаскөйлер AI-ды осалдықтармен тез әрі тиімді жұмыс істеу үшін қолдана бастады. Нарық қорғаныс жүйесі әлі бейімделіп үлгермеген, ал шабуылдаушы тарап жаңа үдеткішке ие болған өтпелі кезеңге қадам басты.

Бұрын кибершабуылдар көп уақытты, қол еңбегін және жоғары біліктілікті талап ететін. Қаскөйлер компания мен қызметкерлер туралы ақпаратты қолмен жинап, ұжым құрылымын зерттеп, фишинг хаттарын дайындап, осалдықтарды іздеп, қорғанысты айналып өтіп, жүйеге еніп, деректерді ұрлауға мәжбүр болатын. AI бұл циклді қысқартады. Ол компания мен қызметкерлер туралы ашық деректерді жинауды жеделдетіп қана қоймай, қарапайым сауатты емес, нақты адамға бейімделген фишинг жасауға мүмкіндік береді. Хат алушының қызметі, коммуникация стилі, жұмыс контексті, соңғы жарияланымдары, серіктестері, тіпті компанияның ішкі терминологиясы ескерілуі мүмкін. Бұл енді «алыс елдегі ханзаданың хаты» емес. Бұл кәдімгі жұмыс хат-хабарындай көрінетін хабарлама.

AI көмегімен шабуылдаушылар әлеуметтік инженерия әдістерін жылдам жетілдіріп, зиянды код немесе deepfake жасап, басшының дауысын салып, бухгалтерге, HR бөліміне, қолдау қызметіне немесе мердігерлерге сенімді хабарламалар дайындай алады. Міне, дәл осы жерде менеджмент үшін қауіп пайда болады. Жасанды интеллект шабуылды міндетті түрде «данышпандық» етпейді, бірақ оны жылдам, арзан және ауқымды етеді. Ал бұл бизнес үшін өте қауіпті комбинация. Бұрын қаскөйдің оғаш нәрсе жазып қоюына үміт артуға болатын. Қазір ондай кездейсоқ қателіктер азайды, ал зиянды шабуылдардың жылдамдығы артты.

Ең қауіпті әсер – уақыттың қысқаруы

Киберқауіпсіздікте осалдықтардың өзі ғана емес, жылдамдық та маңызды. Яғни алғашқы ену сәтінен бастап деректердің ұрлануына немесе процестердің тоқтауына дейін қанша уақыт өтетіні шешуші рөл атқарады.

Palo Alto Networks Unit 42 жариялаған Global Incident Response Report 2026 есебіне сәйкес, шабуылдардың жылдамдығы күрт артқан. Инциденттердің ең жылдам 25%-ында деректердің сыртқа шығарылуына орта есеппен 1,2 сағат кеткен. Бір жыл бұрын бұл көрсеткіш 4,8 сағат болған. AI-assisted-шабуылдарды модельдеу нәтижесі бойынша деректерді ұрлау уақыты 25 минутқа дейін қысқаруы мүмкін.

Бұл басқарушылық логиканы түбегейлі өзгертеді. Бұрын ақпараттық қауіпсіздік қызметі күмәнді белсенділікті жұмыс күні ішінде байқайды деген үміт болатын. Қазір мұндай стратегияның болашағы жоқ. Шабуыл компания жиналыс өткізіп үлгергенше негізгі кезеңдерден өтіп кетеді. CEO үшін бұл бір нәрсені білдіреді: киберқауіпсіздікті енді тек құжаттар, бір реттік аудиттер мен формалды саясаттарға сүйеніп құруға болмайды. Егер мониторинг, әрекет ету, қолжетімділікті басқару және резервтік қалпына келтіру жүйелері іс жүзінде жұмыс істемесе – компания деректер ұрланғаннан кейін ғана инцидент туралы білуі мүмкін.

AI – жаңа шабуыл алаңы

Көбіне екі тәуекел шатастырылады. Біріншісі – қаскөйлер AI-ды компанияға қарсы қолданады. Бұл фишинг, deepfake, жедел барлау, шабуылдарды автоматтандыру, код генерациялау және осалдықтарды іздеу. Екіншісі – компанияның AI-ды қауіпсіздік талаптарын бұза отырып енгізуі. Бұл қауіп те кем емес.

Мысалы, қызметкерлер қоғамдық AI-сервистерге келісімшарттарды, жеке деректерді, коммерциялық ұсыныстарды, техникалық құжаттаманы, ішкі регламенттерді, бастапқы кодты немесе клиенттер туралы ақпаратты жүктеуі мүмкін. Көбіне бұл жаман ниеттен емес: «Мен тапсырманы тезірек орындағың келеді». Бірақ компания үшін бұл деректердің таралуы, құпиялылықтың бұзылуы және ықтимал реттеушілік жауапкершілік мәселесіне айналады.

Тағы күрделірек деңгейі бар: AI-құралдарын корпоративтік жүйелерге, поштаға, CRM-ге, деректер базасына және ішкі чаттарға қосады. Егер мұндай құрал дұрыс бапталмаса, ол артық құқықтарға ие болуы мүмкін. Ал ол бұзылған жағдайда шабуылдаушы деректерге кедергісіз қол жеткізетін арнаға ие болады.

AI-ды «ыңғайлы сервис» деп қарастыруға болмайды. Бұл – тәуекелдерді бағалау, қолжетімділікті бақылау, мониторинг, жеткізушіні тексеру және деректерге шектеу қою қажет жаңа цифрлық активтер класы.

Неліктен бұл Қазақстан үшін өте маңызды?

Қазақстан үшін AI мен киберқауіпсіздік тақырыбы – теориялық емес, практикалық мәселе. Ел деректерді, цифрлық жүйелерді, маңызды инфрақұрылымды және мемлекеттік ақпараттық жүйелермен интеграцияларды қорғауға қойылатын талаптардың күшеюін бастан кешіріп отыр.

Қазақстан Үкіметінің 2026 жылғы 25 ақпандағы №119 қаулысымен АКТ және ақпараттық қауіпсіздік саласындағы бірыңғай талаптарға өзгерістер енгізілді. Ақпараттық қауіпсіздік талаптары енді тек мемлекеттік органдар мен квазимемлекеттік құрылымдарға ғана емес, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері мен операторларына да міндетті.

Осы қаулыда мемлекеттік органдар мен жергілікті атқарушы органдарда AI саласындағы тәуекелдерді басқару үшін СТ РК 23894-2025 ұлттық стандарты қолданылатыны бөлек көрсетілген. Бұл – маңызды сигнал. Жасанды интеллект біртіндеп эксперименттік аймақтан реттелетін тәуекелдерді басқару аймағына өтіп жатыр.

Бизнес көбіне қай жерде қателеседі?

Бірінші қате түсінік – AI тек IT-бөлімнің мәселесі деп ойлау. Шын мәнінде AI заң, комплаенс, қауіпсіздік, HR, маркетинг, сату, клиенттік сервис және топ-менеджментке қатысты.

Екінші қате түсінік – деректерді жіктемей AI енгізу. Кез келген ақпаратты сыртқы сервистерге жіберуге болмайды.

Үшінші қате түсінік – жеткізушіні бағаламай AI енгізу. Компания деректерді қайда сақтайтынын, олар модельді оқыту үшін қолданылатынын, кімнің қол жеткізе алатынын, лог жүргізілетінін, деректерді жоюға болатынын, қандай қорғаныс механизмдері мен келісімшарттық міндеттемелер бар екенін түсінуі керек.

Төртінші қате түсінік – қолжетімділікті басқару жүйесін қайта қарамау. Корпоративтік поштаға, CRM-ге немесе білім базасына қол жеткізген AI-құралы тек минималды қажетті құқықтарға ие болуы тиіс.

Компания басшысы не істеуі керек?

  • AI-құралдарының инвентаризациясын жүргізу;

  • AI пайдалану саясатын бекіту;

  • қолжетімділік моделін қайта қарау;

  • мониторингті күшейту;

  • инциденттерге әрекет ету сценарийлерін жаңарту;

  • қызметкерлерді шабуылдардың жаңа түрлеріне оқыту.

CEO үшін негізгі қорытынды мынадай: AI кибершабуылдарды «сиқырлы» етпейді, бірақ оларды жылдам, арзан әрі сенімді етеді. Егер басшы қандай AI-құралдары қолданылатынын, оларға қандай деректер түсетінін және компания шабуылды қалай анықтайтынын білмесе – онда қауіп болашақта емес, ол қазірдің өзінде операциялық модельдің ішінде.

Қазақстандық бизнес үшін бұл мәселе ерекше өзекті. Цифрландыру қарқын алып келеді, реттеу күшейіп жатыр, жеке деректерді қорғау мен интеграцияларға қойылатын талаптар қатаңдауда, ал шабуылдар жылдамдап барады. Жеңіске AI-ды «сән үшін» бірінші болып енгізген компания емес, оны қауіпсіз, басқарылатын және салдарын түсіне отырып енгізген компания жетеді. AI артықшылыққа айналуы мүмкін. Бірақ бір шартпен ғана: егер компания оны басқара алса, жай ғана бақылаусыз ішке жібермесе.

Kapital.kz іскерлік ақпарат орталығының материалдарымен жұмыс істегенде тек 30% мәтінді ғана пайдалану, міндетті түрде көзге гиперсілтеме қою арқылы рұқсат етіледі. Толық материалды пайдалану үшін редакцияның рұқсатын алу қажет.

Kapital.kz-ті оқыңыз

TelegramInstagramFacebook
Telegram Kapital.kz