Безпека в епоху ШІ: зміна логіки захисту банківських даних

Журналіст видання «Чжунцзін» Го Цзяньхань, Пекінський репортаж

У міру того, як епоха ШІ (AI) спричиняє збирання й використання величезних масивів даних, зростає значущість безпеки даних.

Розвиток технологій ШІ відбувається швидко, і штучний інтелект проникатиме в ухвалення бізнес-рішень банків та в їхню господарську діяльність швидше, ніж очікувалося. Раніше низка банків публічно оголосила про постійне просування будівництва цифрової трансформації, сприяння переходу робочих моделей до підходу, керованого даними. Водночас ринок і регуляторні органи також перевіряють, чи здатні банки синхронно посилювати свої можливості захисту даних; захист безпеки даних банку безпосередньо впливає на рівень його комплаєнсної діяльності.

Журналісти «Чжунцзінь цзиньбао» звернули увагу: станом на 26 березня серед адміністративних стягнень, оприлюднених НБК (Народний банк Китаю) та його територіальними підрозділами, випадків, які прямо стосуються порушень «управління безпекою даних» або «управління кібербезпекою», уже понад 30.

Заступник генерального директора підрозділу з постачання активів даних компанії «Шэньчжоу синьсінь» Чжан Кунь зазначив: «У епоху AI банківське управління безпекою даних потребує інновацій і модернізації на основі традиційного управління даними. Ключове — створити систему прецизійного управління, яка “від моменту створення даних чітко позначає призначення, повноваження та життєвий цикл”, поєднуючи органічно технічні засоби й нормативні обмеження: з одного боку, забезпечувати безпеку даних і відповідність вимогам, а з іншого — підтримувати здоровий розвиток технологій AI».

На початку року — понад 30 кейсів зі стягненнями

У стартовий рік, коли розпочинається «п’ятнадцята п’ятирічка та п’ятирічка», банківська галузь стикається з дедалі складнішим безпековим середовищем. Від пасивного комплаєнсу до активного протидіяння, від точкового управління до системної операційної моделі: суперництво навколо безпеки даних видно вже з того, які стягнення розпочав регулятор на початку року.

Зі згаданих вище повідомлень НБК про стягнення за порушення безпеки даних і кібербезпеки видно, що штрафи отримали відділення державних великих банків у частині провінцій, а також акціонерні банки та міські і сільські комерційні банки.

З огляду на окремі стягнення: фермерський комерційний банк «Руйфэн» оштрафували на 316,8 млн юанів, і ця сума є однією з найвищих серед сум стягнень у першому кварталі 2026 року. У повідомленнях про адміністративні стягнення НБК зазначено, що «Руйфэн Банк» притягнули до відповідальності через низку порушень, зокрема вимог щодо управління фінансовою статистикою, правил управління рахунками, положень щодо управління безпекою даних і кібербезпекою, а також непроведення належної комплексної перевірки клієнтів і неповідомлення про великі операції тощо. Щодо цієї ухвали представники «Руйфэн Банку» повідомили журналісту: «Це стягнення за ранній період (за попередні два роки), нині вже виконані заходи з виправлення. Основне стосується неналежного використання даних; щодо питань деталізації — у подальшому ми, спираючись на оновлення технологій і зміни в галузі, розробимо відповідні плани, а також закладемо інвестиції в модернізацію систем безпеки».

Крім того, дві банки в провінції Гуйчжоу були оштрафовані за «порушення правил збору, надання, запитування та пов’язаного управління кредитною інформацією». Ці два банки заявили, що наразі немає оприлюднюваних заходів з виправлення. Один із представників певного фермерського комерційного банку в межах провінції Гуйчжоу розповів журналісту: «Наразі комерційні банки з сільськогосподарською спеціалізацією під час виконання настанов і вимог щодо безпеки даних, кібербезпеки та інших операцій здебільшого керуються нормативами, розробленими на рівні об’єднання місцевих кредитних кооперативів/спілок. Коли банк був покараний за порушення, майбутні конкретні заходи з виправлення також визначаються на рівні цього об’єднання».

Аналіз підстав для стягнень у повідомленнях показує: найчастіше трапляються порушення вимог щодо управління кібербезпекою та управління безпекою даних. Далі — порушення правил збору, надання, запитування кредитної інформації та пов’язаних правил управління. Також трапляються випадки порушень, пов’язаних із неналежними технічними заходами, зокрема невжиттям заходів для запобігання комп’ютерним вірусам і мережевим атакам, а також відсутністю технічних заходів щодо запобігання проникненням у мережу тощо, що призводить до загроз для кібербезпеки.

За тим, що регулятор одночасно й часто оголошує штрафи, стоїть швидке формування системи нагляду за безпекою фінансових даних. Починаючи з 2024 року, Національне фінансове управління регулювання (Національна адміністрація фінансового нагляду) та НБК сформували формат «подвійного нагляду по двох лініях».

З відкритих даних видно: у грудні 2024 року Національна адміністрація фінансового нагляду опублікувала «Методичні правила з управління безпекою даних для банківських і страхових установ», які передбачають запровадження для банківських і страхових установ «оцінювання безпеки даних». У травні 2025 року НБК опублікував «Методичні правила з управління безпекою даних у сфері бізнесу Народного банку Китаю», які деталізують і чітко визначають мінімальні вимоги щодо комплаєнсу з безпеки даних у сфері бізнесу НБК, а також формулюють принцип «хто відповідає за бізнес, той відповідає за бізнес-дані, і хто відповідає за дані — той відповідає за безпеку даних».

У 2026 році темпи випуску політик просуваються стабільно. Офіс Національної адміністрації фінансового нагляду опублікував «Повідомлення про проведення спеціальної ініціативи щодо підвищення спроможності установ з управління безпекою даних», де висунуто загальні вимоги на кшталт «виявляти низку проблем, виправляти низку, повідомляти про низку, карати низку». Крім того, Офіс Центрального кіберінформаційного управління (державний орган з інтернет- і кіберпростору) опублікував для збору зауважень «Керівні вказівки щодо класифікації та стратифікації даних для фінансових інформаційних сервісів», додатково деталізуючи правила стратифікації для основних даних, важливих даних і чутливих загальних даних.

Фахівці вважають, що ключовий орієнтир регулятора полягає в тому, щоб вбудувати безпеку даних і кібербезпеку в систему корпоративного управління та щоденне управління діяльністю банків, забезпечивши перехід від етапного, пасивного комплаєнсу до довгострокового, безперервного управління.

«Мислення про зведення стін» переходить до «мислення про управління потоками»

Під тиском регуляторних політик слабкі ланки в побудові безпеки даних у банківській сфері стають дедалі більш очевидними. Які саме помітні слабкі ланки існують у банків у побудові безпеки даних у цей момент?

Чжан Кунь вважає, що перше — недостатні можливості для повного інвентаризаційного обліку активів даних. Багато банків не до кінця розуміють власні «дані під замком» і не мають ефективного єдиного управління, зокрема щодо «прихованих даних», розосереджених у різних бізнес-системах, середовищах тестування, персональних комп’ютерах і в історично успадкованих системах. Якщо не знати, де саме дані, то неможливо говорити про ефективний захист. Друге — недостатня видимість і контроль у процесі обігу даних. Один із найчастіших больових моментів у галузі звучить так: «дані видимі, але ними неможливо керувати», тобто дані в основних системах безпечні, але щойно їх різними способами експортують у Excel, тестові сховища або в сторонні системи, вони потрапляють у «зону сліпоти регулятора». Традиційні системи запобігання витоку даних (DLP) більше зосереджені на переміщенні файлів, однак для доступу до даних через виклики API, запити до баз даних тощо можливості моніторингу й контролю є відносно слабкими. Третє — проблеми з обізнаністю щодо безпеки та нормативною коректністю дій внутрішніх працівників. Навіть якщо технічні засоби найдосконаліші, якщо персонал не встигає за рівнем безпеки, все одно виникатиме великий ризик «вразливих місць», особливо коли бізнес-підрозділи обходять процедури безпеки або допускають порушення під час обміну й спільної роботи з даними, щоб підвищити ефективність.

Чжан Кунь вважає, що на тлі ухвалення політик і нормативних актів банки перебувають у ключовий період трансформації побудови безпеки даних — від «комплаєнсу, що керується вимогами» до «контролю ризиків». Але в умовах нинішнього регуляторного середовища в процесі практичного впровадження банки все ще стикаються з кількома викликами. Наприклад, банки створюють систему класифікації й стратифікації даних, але в реальному виконанні стикаються з проблемою «важко впроваджувати». Також, у міру прискорення міжнародної діяльності банків, все більше з’являються сценарії передавання даних за кордон; вимоги до комплаєнсу транскордонного руху даних посилюються, і банкам потрібно створити механізм оцінювання безпеки даних під час вивезення. Зараз рух даних багато в чому залежить від «нових каналів даних», таких як інтерфейси API та пряме підключення до баз даних, що також породжує нові вразливі місця й інші проблеми.

Насправді, в умовах глибокого застосування нових технологій на кшталт штучного інтелекту (AI) логіка захисту безпеки даних у фінансовій індустрії вже зазнала кардинальної зміни.

Керівник зі технологій відповідальної компанії, що займається керуванням хмарними обчисленнями та диспетчеризацією інтелектуальних обчислень, компанії «Цзяцзе Юньсінь» (佳杰云星) розповів журналісту: «Найбільший вплив на побудову безпеки банківських даних у епоху AI полягає в тому, що стратегії безпеки мають динамічно розгортатися разом із кожним викликом даних і кожним маршрутом. За традиційним шляхом доступу до даних “користувач — прикладна система — база даних” стратегії безпеки здебільшого будуються навколо мережевих меж і окремих застосунків. У епоху AI траєкторії доступу з ядром у вигляді AI-агентів стають дуже динамічними: користувач через AI-агент викликає різні інструменти та API, здійснюється доступ до ресурсів корпоративних даних через різні системи, а маршрут планується самостійно та відбувається транскордонний потік, через що традиційний контроль доступу, що базується на межах і застосунках, важко працює. Одночасно ризик витоку даних розширюється з одного сценарію до паралельних ризиків за кількома маршрутами. Крім того, щоб забезпечити виконання завдань агентом, йому легко надавати широкі повноваження, що породжує ризики, зокрема доступу понад повноваження. Усі ці фактори впливають на перехід стратегій захисту даних у епоху AI».

Як у епоху AI здійснюється управління безпекою банківських даних протягом усього життєвого циклу? Чжан Кунь вважає, що банкам потрібно побудувати AI-керуючу рамкову модель управління даними з опорою на самі дані, підвищуючи спроможність управління даними на різних етапах їхнього життєвого циклу. На етапі збору потрібно створити спеціальний механізм оцінювання для збирання даних для AI-додатків. Щодо потреб AI-проєктів потрібно по кожному полю чітко вказувати призначення та необхідність, дотримуючись принципу «обмеження цілей + мінімальна достатність». Також слід упровадити інструменти автоматизованого виявлення комплаєнсу: провести приватність-комплаєнс сканування даних під час їхнього завантаження в сховище, і створити механізм відстежуваності джерел даних, щоб гарантувати «чистоту» та законність тренувальних даних. На етапах зберігання й використання слід широко застосовувати технології підсилення приватності. Зокрема, використання технології диференційної приватності: шляхом додавання до даних математичного шуму атакувальник не зможе відновити конкретну інформацію про приватність окремих осіб з результатів моделі. Під час спільного використання потрібно створити механізм точкового управління обміном даними на основі сценаріїв. З огляду на особливості AI-додатків потрібно визначити межі обміну даними, способи їхнього обміну та вимоги до безпеки в різних сценаріях. Можна застосовувати технології на кшталт федеративного навчання, щоб, зберігаючи приватність даних, спільно використовувати цінність даних. На етапі знищення слід створити інтелектуалізований механізм автоматизації управління життєвим циклом: використовуючи автоматизовані інструменти для наскрізного маркування й управління даними, система автоматично ініціює процес безпечного знищення, коли дані завершують завдання тренування AI або перевищують встановлений комплаєнсним регламентом строк зберігання, і формує незмінний (незаперечний) документ-звіт про знищення.

Величезний обсяг новин і точне тлумачення — усе в додатку Sina Finance APP