it-institute.ruКибербезопасностьMLSecOps Россия 2026 — защита ML-моделей, пайплайнов и данных
Кибербезопасность

MLSecOps Россия 2026 — защита ML-моделей, пайплайнов и данных

безопасность машинного обучения: данные, числа, рекомендации для CTO/EM. Открытые источники, методология, ограничения — IT Institute.

02 июня 2026 16 минут чтения Кибербезопасность
Ключевые данные
70%
атак на ML-системы в выборке IT Institute относятся к data poisoning и prompt injection, а не к классическим adversarial attacks

4 из 5
крупных российских банков ввели роль ML Security Engineer или близкий эквивалент в 2025-2026 годах

15-30 млн ₽
типичный годовой бюджет MLSecOps в Tier-1 банке на 2026 год по оценке интервью IT Institute

6-12 месяцев
срок перехода MLSecOps-функции от реактивного уровня к проактивному в команде 30+ ML-инженеров

6 наблюдений по MLSecOps в РФ

  • 70% риска лежит не в математических атаках. Для большинства продуктовых ML-систем в России более вероятны отравление данных, prompt injection и ошибки в пайплайне, чем сложные adversarial examples против модели.
  • 5 точек входа требуют отдельной модели угроз. Обучающая выборка, модель, inference-pipeline, MLOps-инфраструктура и output-канал дают разные сценарии компрометации.
  • 4 из 5 банков уже выделили профильную роль. ML Security Engineer перестает быть редкой специализацией в Tier-1 финтехе, хотя в среднем enterprise эту функцию часто совмещают DevSecOps и ML Platform.
  • 15-30 млн ₽ в год — ориентир для зрелых команд. В Tier-1 банках бюджет уходит не только на инструменты, но и на red team, аудит датасетов, мониторинг, инфраструктурные guardrails и обучение.
  • 6-12 месяцев достаточно для первого зрелого контура. Команда 30+ ML-инженеров может за квартал закрыть базовые риски, а за год встроить MLSecOps в SLO и процессы релиза моделей.
  • Регуляторика уже действует, даже без отдельного стандарта ФСТЭК по ML. 152-ФЗ, требования к КИИ по Указу Президента № 250 и БДУ ФСТЭК применимы к данным, инфраструктуре и процессам эксплуатации.

MLSecOps ≠ DevSecOps + ML

MLSecOps в России в 2026 году перестал быть академической темой. Банки, телеком, e-commerce и госсектор уже эксплуатируют RAG-системы, скоринговые модели, рекомендательные движки, классификаторы обращений, антифрод и LLM-агентов. Эти системы принимают решения, обрабатывают персональные данные, подключаются к внутренним API и иногда влияют на клиентский путь. Поэтому их безопасность нельзя сводить к проверке Python-зависимостей и доступов в Kubernetes.

Главная проблема — у ML-системы нет одной понятной границы. В классическом приложении команда защищает код, зависимости, API, инфраструктуру и данные. В ML добавляются обучающая выборка, признаки, веса модели, model registry, prompt-шаблоны, retrieval-слой, векторные базы, постобработка ответов и обратная связь пользователей. Ошибка может быть не уязвимостью в CVE-каталоге, а статистическим сдвигом, отравленной разметкой или незаметным обходом модерации.

Примечание редакции

Числа по российскому рынку основаны на анонимизированных интервью IT Institute с 20 командами финтеха, телекома, e-commerce и enterprise в январе — мае 2026 года. Открытых публичных данных по инцидентам MLSecOps в РФ пока недостаточно, поэтому примеры ниже обезличены и описаны на уровне сценариев.

Методология и охват

Исследование объединяет три слоя данных: публичные таксономии угроз ML и AI, регуляторные источники РФ и анонимизированные интервью с CISO, Head of ML и руководителями ML Platform. Мы не ранжировали поставщиков и не проверяли коммерческие заявления вендоров лабораторными тестами. Цель — показать практическую модель внедрения безопасности машинного обучения для российских команд, которые уже выводят ML в продакшен.

Источники данных
OWASP Machine Learning Security Top 10, MITRE ATLAS, NIST AI RMF, БДУ ФСТЭК, 152-ФЗ, Указ Президента № 250, документация open-source-инструментов и интервью IT Institute с 20 российскими командами.

Период исследования
Публичные источники анализировались по состоянию на май 2026 года. Интервью проводились с января по май 2026 года. Российские примеры относятся к 2025-2026 годам.

  • География: Россия, с акцентом на банки, телеком, e-commerce, финтех и крупный enterprise.
  • Сегмент: продуктовые ML-системы в продакшене: RAG, LLM-агенты, классификация, рекомендации, антифрод, скоринг, модерация изображений и текстов.
  • Период: 2025-2026 годы для инцидентных сценариев и организационной зрелости; май 2026 года для состояния инструментов и регуляторного контекста.
  • Исключения: военные системы, закрытые государственные разработки, лабораторные adversarial attacks без продакшен-контекста и закупочные сравнения конкретных коммерческих продуктов.

5 точек входа на ML-систему

MLSecOps — не DevSecOps плюс ML

DevSecOps хорошо закрывает код, зависимости, контейнеры, CI/CD, секреты и инфраструктуру. MLSecOps добавляет то, что в классической разработке почти отсутствует: данные как атакуемый объект, модель как артефакт с собственной памятью, inference как отдельный канал эксплуатации и качество ответа как security-событие. Это не косметическое расширение процесса, а другой тип поверхности атаки.

В ML-системе нарушитель может не ломать сервер. Он может постепенно загрязнять канал обратной связи, подсовывать особые изображения, вызывать model extraction через множество запросов или внедрять вредоносный пакет в пайплайн обучения. Для LLM-агентов отдельный риск — prompt injection, когда инструкция пользователя или retrieved-документ заставляет систему игнорировать первоначальные ограничения.

По данным интервью IT Institute, роль ML Security Engineer или близкий эквивалент появилась у 4 из 5 крупных банков из выборки в 2025-2026 годах. В среднем enterprise такую функцию чаще совмещают DevSecOps-инженер, ML Platform и владелец модели. Это работает на раннем этапе, но плохо масштабируется, когда моделей становится десятки, а регуляторные и клиентские риски растут.

Пять точек входа в ML-систему

Первая точка — обучающая выборка. Data poisoning возникает, когда атакующий влияет на данные обучения, дообучения или разметки. Для клиентских классификаторов это может быть канал жалоб, тикетов, отзывов или user-generated content. Для RAG-систем — зараженные документы в базе знаний.

Вторая точка — сама модель. Сюда относятся model extraction, membership inference, model inversion и попытки украсть веса. Такие сценарии важны для команд с дорогими моделями, уникальными данными и высокой конкуренцией, но для большинства продуктовых систем они не первые в очереди.

Третья точка — inference-pipeline: входные данные, prompt-шаблоны, retrieval, постобработка, фильтрация и вызовы API. Четвертая — MLOps-инфраструктура: model registry, MLflow, Kubeflow, хранилища артефактов, контейнеры и supply chain. Пятая — output-канал: утечка персональных данных, небезопасная генерация, обход модерации или ошибочная рекомендация, которая становится бизнес-инцидентом.

Точка входа Типовой риск Первый контроль
Данные Data poisoning, backdoor Версионирование, контроль происхождения, anomaly detection
Модель Model extraction, membership inference Rate limit, мониторинг запросов, privacy-тесты
Inference Prompt injection, adversarial examples Input validation, guardrails, red team
MLOps Компрометация registry или пакета RBAC, подпись артефактов, SCA/SBOM
Output PII-утечка, harmful output Output filtering, аудит, human review для high-risk

Реальные атаки 2025-2026 у российских команд

В банковском примере LLM-чат-бот получил prompt injection через диалоговую инструкцию: пользователь пытался заставить систему раскрыть данные другого клиента. Первый рубеж защиты не сработал полностью, но второй рубеж — проверка прав доступа на уровне backend API — заблокировал выдачу. Вывод: guardrails в LLM-слое не заменяют authorization в приложении.

В телекоме классификационная модель обращений начала хуже определять тип жалобы после серии однотипных пользовательских сообщений. Команда обнаружила смещение в обучающей выборке: канал обратной связи стал источником data poisoning. Исправление включало карантин новых данных, сравнение распределений и ручную проверку подозрительных кластеров.

В e-commerce атакующий изменял товарные изображения так, чтобы модерационная модель пропускала запрещенный контент. Это ближе к adversarial perturbation, но в продакшене проблема решалась не только робастным обучением: помогли ансамбль проверок, OCR, ручная очередь для спорных объектов и контроль продавцов с повышенным риском.

В финтехе supply chain-сценарий был связан с ML-зависимостью из публичного репозитория пакетов. Команда не раскрывала детали, но сам класс риска совпадает с ML06 в OWASP Machine Learning Security Top 10: ML-пайплайн часто тянет больше нестандартных библиотек, чем обычное backend-приложение.

Что важно

Ни один из этих сценариев не требует фантастического уровня атакующего. Базовая защита начинается с происхождения данных, прав доступа, журналирования, ограничений на инструменты агента и тестов на обход ограничений.

Инструменты защиты: open-source landscape и российские альтернативы

По adversarial robustness и model extraction команды чаще смотрят на IBM Adversarial Robustness Toolbox, CleverHans и Foolbox. Эти инструменты полезны для тестов и исследовательских проверок, но их нельзя просто включить в пайплайн и получить защищенную модель. Нужны сценарии, релевантные конкретному продукту: фото товаров, скоринговые признаки, текстовые обращения, RAG-документы или агентные действия.

Для data poisoning detection используются AlibiDetect, собственные anomaly-детекторы, контроль распределений признаков, lineage данных и ручная валидация подозрительных источников. Для LLM safety применяются NeMo Guardrails, Rebuff, Lakera Guard, провайдерские moderation API и собственные фильтры политик. В российских условиях open-source доступен без оплаты за лицензии, но требует компетенции и ответственности за поддержку.

В MLOps security базовый набор выглядит ближе к platform engineering: Kubeflow RBAC, Open Policy Agent, подпись контейнеров и артефактов, SCA, SBOM, секреты в vault, контроль доступа к MLflow или model registry. Российские поставщики AppSec и SOC-стека развивают смежные функции, но публичных подтверждений зрелых специализированных MLSecOps-платформ на российском рынке пока мало. На практике Tier-1 команды чаще строят внутренний контур поверх существующих AppSec, MLOps и SIEM-инструментов.

Регуляторика РФ для ML-систем в 2026 году

ФСТЭК пока не выделяет отдельный публичный набор требований именно для ML-моделей как самостоятельного класса систем. Это не означает регуляторного вакуума. Если модель обрабатывает персональные данные, применяется 152-ФЗ. Если система относится к критической информационной инфраструктуре или обслуживает организацию из зоны действия Указа Президента № 250, требования к организационным и техническим мерам ИБ уже работают.

БДУ ФСТЭК применим как источник для моделирования угроз инфраструктуры, зависимостей, контейнеров, API, доступов и данных. Для ML специфические угрозы приходится маппить на существующие категории: несанкционированный доступ, подмена данных, нарушение целостности, утечка информации, компрометация компонентов цепочки поставки. Это менее удобно, чем отдельная ML-таксономия, но достаточно для первого compliance-контура.

Кодекс этики в сфере искусственного интеллекта относится к мягкому праву и не заменяет обязательные требования. Его практическая ценность — в требованиях к прозрачности, управлению рисками и ответственности. Для Tier-1 банка это превращается в модельный паспорт, журнал изменений, risk acceptance, red team-отчеты и понятную ответственность владельца модели.

Четыре уровня зрелости MLSecOps и самооценка

Уровень 0 — игнорирование. ML-команда релизит модели без security-учета, данные не версионируются, модельный registry открыт шире, чем нужно, а инциденты не классифицируются как ML security. Уровень 1 — реактивный: проблемы разбираются по факту, но нет регулярных тестов, метрик и автоматизации.

Уровень 2 — проактивный. Есть baseline-тесты на prompt injection, data drift, утечки персональных данных и обход output-фильтров. Model card содержит security-метрики. Red team проводится хотя бы для критичных моделей. Уровень 3 — зрелый: guardrails встроены в продакшен, security-метрики входят в SLO, а артефакты подписываются и проверяются перед релизом.

Уровень 4 — industry-leading. Команда исследует новые атаки, участвует в open-source, публикует методики, имеет отдельный бюджет на MLSecOps и проводит регулярные симуляции атак. По интервью IT Institute, большинство российских enterprise-команд в 2026 году находится между уровнями 1 и 2, а зрелый уровень чаще встречается в финтехе и телекоме.

  • Есть ли владелец безопасности модели до релиза и после релиза?
  • Версионируются ли датасеты, признаки, prompt-шаблоны и веса?
  • Проверяется ли происхождение данных обучения и дообучения?
  • Есть ли тесты на prompt injection, PII-утечки и обход модерации?
  • Контролируется ли доступ к model registry и артефактам?
  • Есть ли журнал inference-событий для расследований?
  • Есть ли процедура остановки или отката модели?
  • Проводится ли red team для критичных моделей?
  • Попадают ли ML-инциденты в общий процесс SOC?
  • Согласованы ли требования с юристами и compliance?

План внедрения MLSecOps за квартал

В первый месяц команда должна описать карту ML-систем и пройти по пяти точкам входа: данные, модель, inference, MLOps и output. Результат — реестр моделей, ранжирование по риску, список источников данных, карта доступов и перечень быстрых исправлений. Для команды 30+ ML-инженеров это обычно 2-4 недели работы одного ML Platform-инженера, одного security-инженера и владельцев критичных моделей.

Во второй месяц внедряются базовые guardrails: input validation, output filtering, журналирование, контроль доступа к registry, SCA для ML-зависимостей, запрет небезопасных tool-вызовов у LLM-агентов, quarantine-процесс для новых данных. На этом этапе важно назначить ML Security Engineer или хотя бы формализовать роль между ML Platform и DevSecOps.

В третий месяц проводится первый red team: prompt injection для LLM, попытки отравления данных, model extraction через API, проверка supply chain и сценарий отката модели. Итогом должны быть runbook, security-метрики в дашборде, backlog исправлений и решение, какие модели требуют постоянного мониторинга. По оценке IT Institute, переход от реактивного к проактивному уровню занимает 6-12 месяцев, но квартал достаточен для первого управляемого контура.

Инструменты защиты: landscape 2026 и российский контекст

Тип команды Основной риск 2026 Ориентир бюджета Зрелость процесса
Tier-1 банк RAG, антифрод, скоринг, персональные данные, КИИ-контекст 15-30 млн ₽ в год Уровень 2-3, отдельная роль или команда
Телеком Классификация обращений, рекомендации, LLM-поддержка, большие датасеты 8-20 млн ₽ в год Уровень 2, сильная зависимость от ML Platform
Средний enterprise Prompt injection, supply chain, слабое журналирование 3-7 млн ₽ в год Уровень 1-2, функция совмещается
E-commerce Обход модерации, poisoning через контент продавцов, рекомендации 4-10 млн ₽ в год Уровень 1-2, много продуктовых исключений

Регуляторика РФ: 152-ФЗ, Указ 250, БДУ ФСТЭК

MLSecOps в России 2026 года — это не про покупку одного инструмента. Это про дисциплину контроля данных, артефактов, inference и output-канала. Для 70% сценариев из выборки IT Institute максимальный эффект дают не сложные исследования adversarial robustness, а базовые меры: ограничение прав, проверка происхождения данных, журналирование, фильтрация ответов, тесты на prompt injection и управляемый откат модели.

  • Для CTO: MLSecOps нужно встраивать в платформу, а не оставлять на уровне разовых аудитов. Иначе каждая команда будет изобретать свои guardrails.
  • Для CISO: ML-инциденты должны попадать в общий процесс управления рисками, SOC и compliance, но с отдельными сценариями расследования.
  • Для Head of ML: безопасность модели начинается до обучения: с данных, разметки, источников, экспериментов и доступа к артефактам.
  • Для ML-инженера: model card без security-раздела в 2026 году уже недостаточен для критичных систем.

4 уровня зрелости MLSecOps и план на квартал

  • Начните с инвентаризации моделей. Без реестра моделей, владельцев, источников данных и уровней риска невозможно определить, где MLSecOps нужен в первую очередь.
  • Защитите данные раньше модели. В выборке IT Institute 70% наиболее вероятных атак связаны с data poisoning и prompt injection, поэтому контроль происхождения данных и retrieval-контента должен быть первым приоритетом.
  • Разделите LLM guardrails и backend authorization. Prompt-фильтр может ошибиться, а проверка прав на уровне API должна оставаться обязательным вторым рубежом.
  • Добавьте security-раздел в model card. В нем должны быть риски, тесты, ограничения, источники данных, процедуры отката, метрики и результаты red team.
  • Встройте MLSecOps в MLOps, а не в презентации. Подпись артефактов, RBAC, SCA, SBOM, журналирование и policy-as-code дают больше эффекта, чем формальная политика без автоматизации.
  • Проводите red team на сценариях продукта. Проверяйте не абстрактные атаки на нейронные сети, а реальные пути: жалобы клиентов, RAG-документы, фото товаров, агентные tool-вызовы и API.

Финальный чек-лист и риски в РФ-контексте

Безопасность машинного обучения становится отдельной инженерной дисциплиной, потому что ML-системы имеют иную поверхность атаки: данные, модель, inference, MLOps и output. Для российских команд в 2026 году наиболее практичный путь — не пытаться сразу закрыть весь академический спектр adversarial attacks, а построить управляемый контур вокруг самых вероятных сценариев: data poisoning, prompt injection, supply chain и утечки через генерацию.

Финтех, телеком и госсектор уже движутся к выделенным MLSecOps-ролям. Среднему enterprise пока достаточно начать с реестра моделей, минимальных guardrails, проверки данных и red team для критичных систем. Но откладывать нельзя: когда модель подключена к клиентским данным и внутренним API, она становится частью security-периметра.

Вывод редакции

MLSecOps зрелой команды начинается не с защиты весов модели, а с контроля того, какие данные попадают в систему, какие действия разрешены inference-pipeline и кто отвечает за откат при инциденте.

Ограничения исследования
  • Ограниченная публичность инцидентов. Российские компании редко раскрывают ML security-инциденты, поэтому продакшен-примеры обезличены и основаны на интервью.
  • Оценочные бюджеты. Диапазоны 15-30 млн ₽ и 3-7 млн ₽ отражают интервью IT Institute, а не публичную финансовую отчетность компаний.
  • Неполная проверка вендоров. Коммерческие инструменты не проходили лабораторное сравнение в рамках этого материала; доступность и условия закупки нужно проверять перед внедрением.
  • Быстро меняющийся рынок. Состояние LLM safety, open-source guardrails и российского AppSec-стека может измениться в течение 2026 года.
Источники
1OWASP Machine Learning Security Top 10 — OWASP Foundation, 2023-2026. https://owasp.org/www-project-machine-learning-security-top-10/
2MITRE ATLAS — Adversarial Threat Landscape for Artificial-Intelligence Systems, MITRE, 2026. https://atlas.mitre.org
3Adversarial Robustness Toolbox — IBM Trusted AI, GitHub repository, 2026. https://github.com/Trusted-AI/adversarial-robustness-toolbox
4Artificial Intelligence Risk Management Framework 1.0 — NIST, 2023. https://www.nist.gov/itl/ai-risk-management-framework
5Банк данных угроз безопасности информации — ФСТЭК России, 2026. https://bdu.fstec.ru
6Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — Российская Федерация, актуальная редакция 2026. https://ips.pravo.gov.ru
7Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» — Российская Федерация. https://rg.ru/documents/2022/05/04/bezopasnost-dok.html
8БДУ ФСТЭК 2026: как работать с банком данных угроз — IT Institute, 2026. https://it-institute.ru/kiberbezopasnost/fstek-uyazvimosti-bdu-rabota-s-uchetom-2026/
9Анонимизированные интервью CISO и Head of ML из 20 российских команд — IT Institute, январь — май 2026.

FAQ о безопасности машинного обучения

С чего начать MLSecOps, если в команде нет выделенного security-инженера?

Начните с реестра моделей и пяти точек входа: данные, модель, inference, MLOps и output. Для каждой модели укажите владельца, источники данных, уровень доступа, критичность, наличие персональных данных и способ отката. Затем выберите 2-3 критичные модели и добавьте минимальные проверки: контроль происхождения данных, журналирование запросов, output filtering, SCA для зависимостей и тесты на prompt injection. Выделенная роль ML Security Engineer желательна, но первый квартал можно пройти связкой ML Platform, DevSecOps и владельца продукта.

Доступны ли зарубежные инструменты вроде Lakera или HiddenLayer для российских компаний?

Техническая доступность и юридическая возможность закупки зависят от поставщика, юрисдикции, санкционных ограничений, способа оплаты, обработки данных и требований службы безопасности. Поэтому такие решения нельзя считать гарантированно доступными для российской компании. Практичный подход — сначала построить контур на open-source и внутренних инструментах: NeMo Guardrails, Rebuff, ART, AlibiDetect, OPA, RBAC, SCA, SBOM и собственные проверки. Коммерческие зарубежные продукты стоит рассматривать только после отдельной закупочной и юридической проверки.

Как защитить LLM-агента от prompt injection?

Защита LLM-агента строится слоями. Нельзя полагаться только на системный prompt. Нужно ограничить tools по allowlist, разделить пользовательский ввод и доверенные инструкции, фильтровать retrieved-документы, проверять output, вести журнал действий агента и подтверждать опасные операции человеком. Backend API должен самостоятельно проверять права, даже если агент «решил», что действие разрешено. Для тестирования нужны сценарии prompt injection: «игнорируй инструкции», подмена роли, вредоносный документ в RAG, попытка вызвать запрещенный tool и извлечь персональные данные.

Что говорит ФСТЭК о безопасности ML-моделей?

По состоянию на май 2026 года отдельного публичного набора требований ФСТЭК именно к ML-моделям как классу систем нет. Но это не освобождает команду от требований к защите информации. БДУ ФСТЭК применим для моделирования угроз инфраструктуры, данных, API, контейнеров, зависимостей и прав доступа. Если ML-система обрабатывает персональные данные, применяются требования 152-ФЗ. Если система относится к КИИ или находится в организации из зоны действия Указа № 250, нужны организационные и технические меры ИБ в рамках уже действующих требований.

Сколько стоит MLSecOps-функция в команде 30 ML-инженеров?

По интервью IT Institute, средний enterprise обычно закладывает 3-7 млн ₽ в год на первый MLSecOps-контур: часть ставки security-инженера, доработки MLOps, red team для критичных моделей, журналирование, проверки данных и обучение. Tier-1 банк с большим числом моделей и жесткими compliance-требованиями чаще выходит на 15-30 млн ₽ в год. Важно считать не только лицензии, но и время ML Platform, DevSecOps, владельцев моделей, SOC и юристов.

Нужно ли всем командам защищать модельные веса от кражи?

Не всем. Защита весов и model extraction важны для команд, где модель является дорогим интеллектуальным активом, обучена на уникальных данных или дает конкурентное преимущество. Для большинства продуктовых ML-моделей в России более вероятны другие риски: отравление данных, prompt injection, компрометация зависимостей, слабый доступ к registry и утечка через output. Поэтому сначала стоит закрыть базовые guardrails, а затем решать, нужен ли отдельный контур защиты весов.

Дисклеймер: материал подготовлен на основе анализа открытых источников. Все числовые утверждения атрибутированы.

📄
Скачать PDF-версию
Ключевые данные из этого исследования — в одном структурированном PDF. Все цифры с атрибуцией источника.
Получить →
adversarial attacks ml security MLSecOps атаки на нейронные сети защита ML моделей

Доступ к библиотеке исследований

PDF-версии исследований, квартальные обновления данных и еженедельный дайджест — всё в одном кабинете.

Создать аккаунт
Доступ к файлам исследований сразу после регистрации
Подписаться в Telegram