Федеральная служба по техническому и экспортному контролю (ФСТЭК России, подведомственна Минобороны) рекомендовала органам власти закрыть доступ к своим сайтам для иностранных поисковых ботов, например GPTBot компании OpenAI.
Как сообщает «Коммерсант», соответствующее письмо было разослано в федеральные органы исполнительной власти 20 августа 2024 года.
В документе говорится, что зарубежные краулеры «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать их в зарубежных моделях машинного обучения». Для предотвращения сбора этой информации ФСТЭК рекомендует ограничить доступ поисковых ботов, например GPTBot компании OpenAI, к файлам robots.txt сайтов и серверов.
При этом издание отмечает, что сама ФСТЭК пока не следует собственной рекомендации: в файле robots.txt сайта службы нет запретительной директивы для GPTBot. Нет ее и на сайтах МЧС, Минздрава, Минцифры. Зато в файлах robots.txt сайтов Минюста и ФСБ имеется запрет для всех краулеров в принципе.
Как сообщил изданию руководитель направления защиты на уровне веб-приложений DDoS-Guard Дмитрий Никонов, существуют боты, которые целенаправленно сканируют сайты в поисках устаревших плагинов, ошибок конфигурации и незащищенных элементов, таких как формы обратной связи, в которые можно встроить вредоносный код.
«Теоретически кто угодно, или бот, или хакер, может с помощью определенных команд выгрузить данные сайта», — говорит Никонов.
Руководитель департамента расследований ИБ-компании T.Hunter Игорь Бедеров так же отметил, что боты могут «обнаруживать и уязвимости веб-ресурсов, анализировать информационную защищенность той или иной онлайн-системы», после чего взлом уже может осуществлять человек. По его словам, «критичная для госорганов информация» было закрыта от индексирования.
При этом руководитель группы исследований и разработки технологий машинного обучения «Лаборатории Касперского» Владислав Тушканов отметил, что риски применения больших языковых моделей и нейросетей для кибератак на данный момент являются «скорее гипотетическими», а скрытие сервисов от поисковых ботов «не сможет полностью решить саму проблему».
Напомним, что в начале мая текущего года похожие рекомендации российским хостинг-провайдерам разослал подведомственный Роскомнадзору ФГУП «Главный радиочастотный центр» (ГРЧЦ). Ведомство рекомендовало блокировать возможности ботов Google, OpenAI и Apple по просмотру и анализу страниц для «исключения сбора информации о критических уязвимостях ресурсов», которые находятся в зоне ответственности компаний.
