AlexRedSec
@alexredsec
Крупные страховые компании с начала 2026 года начали активно внедрять сублимиты и исключения в полисы по инцидентам, связанным с ИИ
В частности такие гиганты, как QBE и Beazley, ввели ограничение выплат в размере 10% от суммы покрытия полиса при LLMjacking (кража вычислительных мощностей ИИ-инструментов), а также сузили область действия полисов для иных ИИ‑инцидентов, "заручившись поддержкой" Insurance Services Office, которую называют «невидимой рукой» рынка, — организация ISO фактически санкционировала внесение изменений в стандартные страховые продукты, разрешив страховым компаниям запрашивать у клиентов приобретение специальных расширений полисов для покрытия ИИ‑инцидентов.
Оно и понятно: страховщики боятся разориться, так как для страховых случаев, связанных с ИИ, пока нет необходимого объёма исторических данных об инцидентах, выплатах и влиянии на бизнес, чтобы сформировалась рыночная и адекватная тарифная сетка и условия страхования.
К тому же существует проблема в распределении ответственности за инциденты: например, кто виноват в галлюцинациях ИИ или утечке данных через промпты – разработчик ИИ-инструмента, интегратор, который внедрял этот продукт или конечный пользователь?
Параллельно с ужесточением политик страховые компании начали выпускать гайды, в которых рассказывают об актуальных угрозах, направленных на ИИ‑инструменты, и о мерах митигации, которыеможно нужно применять, чтобы не отказали в страховой выплате в случае инцидента.
Например, вышеупомянутая компания QBE выпустила руководство по защите от атак типа LLMjacking, где рекомендовала следующие меры защиты:
Внедрение строгой политики ротации API-ключей каждые 30-90 дней.
Использование уникальных API-ключей для различных сред (контура разработки, тестирования и продакшна).
Удаленный административный доступ только с разрешенных ip-адресов.
Настройка оповещений об использовании ресурсов и лимитов использования.
Настройка оповещений о всплесках активности, которые могут указывать на вредоносное использование ресурсов.
Отслеживание увеличения объема запросов или необычных шаблонов запросов.
Логирование всех обращений к API с фиксаций того, кто совершил запрос.
Аудит приложений на наличие жестко закодированных учетных данных в коде.
Внедрение и регулярная проверка механизмов защиты от промпт-инъекций.
Регулярные аудиты безопасности интеграций ИИ-систем.
Разработка четкого плана реагирования при выявлении подозрительной активности и/или взлома.
Внедрение технической возможности оперативного отзыва прав доступа для скомпрометированных учетных записей.
Учет всех зависимостей, используемых ИИ-системами.
#llmjacking #insurance #ai #mitigation #guide
В частности такие гиганты, как QBE и Beazley, ввели ограничение выплат в размере 10% от суммы покрытия полиса при LLMjacking (кража вычислительных мощностей ИИ-инструментов), а также сузили область действия полисов для иных ИИ‑инцидентов, "заручившись поддержкой" Insurance Services Office, которую называют «невидимой рукой» рынка, — организация ISO фактически санкционировала внесение изменений в стандартные страховые продукты, разрешив страховым компаниям запрашивать у клиентов приобретение специальных расширений полисов для покрытия ИИ‑инцидентов.
Оно и понятно: страховщики боятся разориться, так как для страховых случаев, связанных с ИИ, пока нет необходимого объёма исторических данных об инцидентах, выплатах и влиянии на бизнес, чтобы сформировалась рыночная и адекватная тарифная сетка и условия страхования.
К тому же существует проблема в распределении ответственности за инциденты: например, кто виноват в галлюцинациях ИИ или утечке данных через промпты – разработчик ИИ-инструмента, интегратор, который внедрял этот продукт или конечный пользователь?
Параллельно с ужесточением политик страховые компании начали выпускать гайды, в которых рассказывают об актуальных угрозах, направленных на ИИ‑инструменты, и о мерах митигации, которые
Например, вышеупомянутая компания QBE выпустила руководство по защите от атак типа LLMjacking, где рекомендовала следующие меры защиты:
Внедрение строгой политики ротации API-ключей каждые 30-90 дней.Использование уникальных API-ключей для различных сред (контура разработки, тестирования и продакшна).Удаленный административный доступ только с разрешенных ip-адресов.Настройка оповещений об использовании ресурсов и лимитов использования.Настройка оповещений о всплесках активности, которые могут указывать на вредоносное использование ресурсов.Отслеживание увеличения объема запросов или необычных шаблонов запросов.Логирование всех обращений к API с фиксаций того, кто совершил запрос.Аудит приложений на наличие жестко закодированных учетных данных в коде.Внедрение и регулярная проверка механизмов защиты от промпт-инъекций.Регулярные аудиты безопасности интеграций ИИ-систем.Разработка четкого плана реагирования при выявлении подозрительной активности и/или взлома.Внедрение технической возможности оперативного отзыва прав доступа для скомпрометированных учетных записей.Учет всех зависимостей, используемых ИИ-системами.#llmjacking #insurance #ai #mitigation #guide
❤ 3
👍 3
17 910
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram