Tehisintellekti ohutu kasutamise põhimõtted ja kaitsemeetmed

AI juhtimise ja kaitsemeetmete raamistiku loomise kaalutlused

2025. aastal ja 2026. aasta alguses tuli Health-ISAC tehisintellekti töörühma tehisintellektile keskendunud turvaspetsialistide meeskond kokku, et luua tehisintellekti juhtimisraamistike väljatöötamise juhiseid pakkuv tehisintellekti tehisintellekti näidispoliitika ja üksikasjalikud juhised tehisintellektiga seotud riskide haldamiseks. See sätestab selged määratlused genereeriva tehisintellekti ja õigusteaduse vahendite vastutustundliku kasutamise kohta, keelates kaitstud terviseteabe, isikuandmete ja konfidentsiaalsete andmete kokkupuute avalike tööriistadega ning nõudes tehisintellekti väljundite autoriseerimist, järelevalvet ja inimestepoolset läbivaatamist kliinilises, personalijuhtimise, juriidilises ja finantskontekstis.

Mõned dokumendi omadused hõlmavad järgmist:

• Tehisintellekti ametlik juhtimisstruktuur. Dokumendis esitatakse konkreetne tehisintellekti juhtimiskomitee mudel, millel on valdkondadevaheline esindatus (õigus-, privaatsus-, turvalisus-, tehnoloogia-, andmeteaduse, äri- ja eetikavaldkonnad) ning mis annab aru tippjuhtkonnale või juhatusele. See määratleb vastutusalad, toob näiteid mõõdikutest ja rõhutab, et juhtimine on kohustuslik, mitte valikuline.
• Sammastel põhinev tehisintellekti juhtimisraamistik. Dokumendis kirjeldatakse seitsme samba raamistikku: seadusandlus/regulatsioon/poliitika, tehisintellekti privaatsus ja eetika, kasutusjuhtude haldamine, mudeli elutsükli haldamine, lepingute sõlmimine ja kolmandate osapoolte kaasamine, tehisintellekti intsidentidele reageerimine ja rikkumiste haldamine ning tehisintellekti koolitus ja haridus. Igal sambal on konkreetsed eesmärgid ja omanikud.
• Praktiline rakendamise tegevuskava. Rakenduskava jagab töö neljaks etapiks: algatamine (komitee, põhimõtted, inventuur), riski- ja mõjuhindamine (DPIA-d, eelarvamuste auditid, turvaülevaated), raamistiku juurutamine (poliitikad, kasutusjuhtude registreerimine, elutsükli kontroll) ning jälgimine ja läbivaatamine (perioodilised ülevaated, ümberõpe, auditid).
• Üksikasjalik ja korduvkasutatav tehisintellekti vastuvõetava kasutamise poliitika. Dokument sisaldab täielikku näidispoliitikat koos eesmärgi ja ulatuse, juhtpõhimõtete, läbipaistvuse ja eetika, vastutuse ja järelevalve, andmete privaatsuse ja turvalisuse, konfidentsiaalsuse, vastuvõetavate ja keelatud kasutusviiside, jõustamise ja definitsioonidega, lisaks avalike tehisintellekti tööriistade lubatud ja keelatud kasutusviiside tabelit.
• Kaheksa tehisintellekti riskikategooriat on kaardistatud konkreetsete kaitsemeetmetega. See hõlmab süstemaatiliselt andmete privaatsust ja turvalisust, tarneahela ja kolmandate osapoolte riski, mudeli- ja väljundriski, eelarvamusi ja õiglust, regulatiivset ja vastavust, turvaauke, juhtimis- ja järelevalveriski ning varihalduslikku tehisintellekti ning seob igaühe konkreetsete kaitsemeetmetega, nagu andmete minimeerimine, SBOM-id, tarnija hoolsuskohustus, punaste meeskondade kaasamine, lepingulised kontrollid ja varihaldusliku tehisintellekti tuvastamine.

Autorid: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Sisu kaastöölised: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucsoni meditsiinikeskus)

TLP:VALGE Seda aruannet võib piiranguteta jagada.

• Seotud ressursid ja uudised
• Tervishoiu ja sotsiaalabi ohumaastiku aruanne
• Agentne tehisintellekt tervishoius on riskantne ettepanek
• Live@eXchange 2. päev – Health-ISAC meditsiiniseadmete turbeanalüütik
• Health-ISAC Hacking Healthcare 6
• Uued tervishoiutööstusele suunatud haavatavused
• Igakuine uudiskiri – juuni 2026
• Mida on tegelikult vaja turvalise tervishoiu tagamiseks
• Seadmete inventuur ja PHI kaardistamine on uue HIPAA kehtima hakkamisel kõige suuremad raskused
• Verizon DBIR: Tervishoid tõrjub sagenevaid sotsiaalse manipuleerimise rünnakuid
• Inimkonna küberriskide aruanne