If suddenly you see a message from one of the Russian information security vendors that they are integrating their product with ChatGPT, then I would ask such a vendor a number of questions:

• 1️⃣ How did they get around the OpenAI ban on working with Russia? And what will happen if such a fraud is revealed? Will you get your money back for non-working functionality?
• 2️⃣ What specific sensitive data about your organization’s security is transferred to a foreign cloud service?
• 3️⃣ How is the information transmitted and processed in ChatGPT protected?
• 4️⃣ Who and how checks the correctness of the information provided by ChatGPT as a response?
• 5️⃣ Will ChatGPT responses need to be improved?
• 6️⃣ To what extent does such a transfer comply with the legislation on the prohibition of the use of parts of the information system outside the Russian Federation (for governments and significant CII facilities)?
• 7️⃣ What specific ports and protocols must be allowed on the ITU in order to use the ChatGPT API calls?
• 8️⃣ Who will formally be considered a user of the ChatGPT service for OpenAI – a vendor of a product that interacts with it, or a consumer of this product?
• 9️⃣ Is ChatGPT an information security tool if it is used within any information security product?
• 1️⃣0️⃣ How does the vendor plan to certify their product with connection to uncontrolled ChatGPT?
• 1️⃣1️⃣ Why does the vendor not develop its own AI direction, but use foreign developments?

PS. So, I’m not against using ChatGPT in IB and have already written about it. It’s just that such use should be conscious (both on the part of the vendor and on the part of the customer) and not be based on hype.

——

Если вдруг у кого-то из российских ИБ-вендоров вы видите сообщение, что они интегрируют свой продукт с ChatGPT, то я бы задал такому вендору ряд вопросов:

• 1️⃣ Как они обошли запрет OpenAI на работу с Россией? И что будет, если такой обман вскроется? Вернут ли вам деньги за неработающий функционал?
• 2️⃣ Какие конкретно чувствительные данные о безопасности вашей организации передаются в иностранный облачный сервис?
• 3️⃣ Каким образом защищается передаваемая и обрабатываемая в ChatGPT информация?
• 4️⃣ Кто и как проверяет корректность представляемой ChatGPT в качестве ответа информации?
• 5️⃣ Потребуется ли доработка ответов от ChatGPT?
• 6️⃣Насколько такая передача соответствует законодательству о запрете использования частей информационной системы за пределами РФ (для госов и значимых объектов КИИ)?
• 7️⃣ Какие конкретно порты и протоколы должны быть разрешены на МСЭ, чтобы можно было пользоваться API-вызовами ChatGPT?
• 8️⃣ Кто формально будет считаться пользователем сервиса ChatGPT для компании OpenAI – вендор продукта, с ним взаимодействующего, или потребитель этого продукта?
• 9️⃣ Является ли ChatGPT средством защиты информации в случае использования его в рамках какого-либо ИБ-продукта?
• 1️⃣0️⃣ Как вендор планирует сертифицировать свой продукт с подключением к неконтролируемому ChatGPT?
• 1️⃣1️⃣ Почему вендор не развивает собственное ИИ-направление, а пользуется иностранными наработками?

ЗЫ. Так-то я не против использования ChatGPT в ИБ и уже писал об этом. Просто такое использование должно быть осознанным (и со стороны вендора, и со стороны заказчика), а не базироваться на хайпе.