Field CISO публикует дорожную карту подготовки программ безопасности госсектора к массовому внедрению ИИ

Usman Chaudhary, Field CISO Google Public Sector, 30 мая 2026 опубликовал руководство для сотрудников безопасности в государственных учреждениях и на объектах критической инфраструктуры, в котором предложил дорожную карту подготовки программ защиты к массовому использованию ИИ. Автор формулирует суть в трёх маршрутах действий: создание внутренних рабочих процессов, закупка зрелых коммерческих AI‑решений и их интеграция в текущий стек безопасности. По его словам, сочетание этих подходов позволит быстрее адаптировать защиту к новым рискам и масштабировать операции без непропорционального увеличения нагрузки на персонал.

Чаудхари приводит конкретный пример платформы «Gemini for Government», которая, по его описанию, предоставляет агентный ИИ для более чем трёх миллионов федеральных гражданских и военных сотрудников и доступна на платформе с аккредитацией FedRAMP High и DOW Impact Level 5. В качестве примеров рабочих артефактов он упоминает кастомные workflow («Gemini Gems»), а также инструменты для агрегации метрик и анализа, в частности «Gemini for Workspace» и «NotebookLM» как изолированный агент для разбора контрактов и документации.

Дорожная карта структурирована по пяти ключевым рабочим областям CISO и рекомендует приоритизировать быстрые победы в первые 90 дней, ставить тактические цели на горизонт 0–6 месяцев и планировать стратегические задачи на 6 — 12 месяцев. Чаудхари предупреждает о росте темпа атак — «machine‑speed exploits» — и делает вывод, что реактивных мер уже недостаточно: после снижения рутины организации должны переводить усилия на укрепление общей позы безопасности, проактивный хантинг и структурную интеграцию ИИ в течение следующих 6 — 12 месяцев для повышения устойчивости критических сервисов.

В разделе тактического исполнения (0–6 месяцев) автор приводит практические кейсы для быстрой реализации. Для отчётности перед правлением он предлагает собирать метрики в защищённом корпоративном рабочем пространстве (примерно «Gemini for Workspace») и синтезировать двухстраничный риск‑нарратив с показателями сдерживания, оценкой потенциального влияния на гражданские сервисы и метриками времени безотказной работы ключевых производств. Для оптимизации поставщиков и расходов Чаудхари рекомендует загружать матрицы возможностей и контракты в изолированный агент (как пример — NotebookLM) для выявления дублирующих функций и выработки рекомендаций по консолидации.

Руководство подчёркивает ограничения и меры предосторожности: относиться к ИИ как к «музе», а не к оракулу — не передавать моделям окончательные административные решения; изолировать агентов; верифицировать выводы через сторонние исследования (например, Gartner или Forrester); и фокусироваться на быстро реализуемых, высокоценностных сценариях, чтобы минимизировать операционный риск. По замыслу автора такие шаги снизят нагрузку на персонал и повысят устойчивость критических сервисов при масштабировании ИИ.