Utimaco: la protección de sistemas de IA requiere transición a criptografía poscuántica

Utimaco считает, что для корпоративного ИИ главная проблема уже не в качестве моделей, а в защите данных, на которых эти модели обучаются и работают. Компания предупреждает: если строить AI-инфраструктуру только под сегодняшние угрозы, через несколько лет её придётся переделывать под постквантовую безопасность.

Главный барьер внедрения В eBook **AI

Quantum Resilience** говорится, что компании чаще всего тормозят внедрение ИИ не из-за отсутствия сценариев, а из-за риска утечки, подмены или компрометации собственных данных. Это особенно чувствительно для организаций, которые хотят обучать модели на внутренних документах, финансовой информации, интеллектуальной собственности и другой информации с долгим сроком ценности. Чем ценнее данные, тем дороже ошибка: компрометация training-пайплайна бьёт и по качеству модели, и по юридическим рискам. Проблема в том, что угрозы появляются на всём пути работы с ИИ. Речь не только о фазе inference, где обычно обсуждают prompt injection и утечку результатов. Опасности возникают ещё на этапе загрузки данных, обучения, хранения ключей, развёртывания модели и дальнейшей эксплуатации. Если один из этих слоёв остаётся без защиты, атакующий получает точку входа в систему целиком.

Три зоны риска

Utimaco выделяет три базовых направления, где AI-системы уязвимы уже сейчас, даже без полноценной эры квантовых компьютеров. Это не теоретические сценарии, а практические риски для компаний, которые собирают данные годами и потом используют их в моделях, ассистентах и внутренних AI-сервисах. * Отравление обучающих данных — злоумышленник может подмешать или изменить данные так, чтобы модель начала выдавать искажённые результаты, а заметить причину было сложно.

Кража или копирование моделей — если модель извлекают или воспроизводят, компания теряет интеллектуальную собственность и конкурентное преимущество. Раскрытие чувствительных данных — данные, используемые во время обучения или инференса, могут быть перехвачены, если среда и ключи защищены слабо. Отдельный риск связан с принципом harvest now, decrypt later: зашифрованные данные можно украсть сегодня, а расшифровать позже, когда появятся более мощные квантовые средства.

Поэтому защищать нужно не только текущие операции, но и архивы, датасеты и любые активы, которые должны оставаться закрытыми годами.

Как строить защиту

По оценке авторов, существующая криптография с открытым ключом может начать терять надёжность в пределах ближайшего десятилетия. Из-за этого миграцию на постквантовые алгоритмы нельзя откладывать до момента, когда риск станет массовым: пересборка протоколов, систем управления ключами, совместимости и производительности занимает годы. Авторы прямо указывают, что такая миграция затронет и interoperability между системами, и скорость работы инфраструктуры.

В качестве переходной стратегии Utimaco предлагает crypto-agility — способность менять криптоалгоритмы без полной переделки архитектуры, используя гибридный подход из классической и постквантовой криптографии, включая методы, предлагаемые NIST. Но одной криптографии недостаточно. В отчёте отдельно подчёркивается роль аппаратно защищённых сред и enclaves, которые изолируют ключи и чувствительные операции от обычной инфраструктуры.

В такой схеме ключи для шифрования данных и подписи моделей можно генерировать и хранить внутри доверенного контура, проверять целостность модели перед развёртыванием и защищать данные, которые обрабатываются во время inference. Дополнительно аппаратные модули позволяют делать внешнюю аттестацию среды и вести устойчивые к подделке журналы доступа, что полезно и для соответствия требованиям вроде EU AI Act.

Что это значит

Для компаний, которые строят ИИ на собственных данных, безопасность перестаёт быть «дополнительным слоем» и становится частью архитектуры продукта. Выиграют те, кто уже сейчас закладывает криптомиграцию, защиту ключей и аппаратные доверенные контуры, а не пытается чинить всё после первой серьёзной утечки или после прихода постквантовых угроз.