Pääsisältö

Tekoälyn turvallisen käytön käytännöt ja suojatoimet

Huomioitavia asioita tekoälyn hallinta- ja suojauskehyksen luomisessa

Vuoden 2025 ja vuoden 2026 alussa Health-ISAC:n tekoälytyöryhmän tekoälyyn keskittynyt tietoturva-ammattilaisten tiimi kokosi yhteen laatiakseen raportin, joka tarjoaa ohjeita tekoälyn hallintakehysten kehittämiseen. Tuloksena oleva raportti tarjoaa mallin tekoälyn hyväksyttävän käytön käytännöistä ja yksityiskohtaiset ohjeet tekoälyriskien hallintaan. Se asettaa selkeät määritelmät generatiivisen tekoälyn ja oikeustieteen alojen vastuulliselle käytölle, kieltää suojattujen terveystietojen, henkilötietojen ja luottamuksellisten tietojen altistumisen julkisille työkaluille ja edellyttää tekoälyn tuotosten valtuuttamista, valvontaa ja ihmisen suorittamaa tarkastusta kliinisissä, henkilöstöhallinnon, oikeudellisissa ja taloudellisissa yhteyksissä.

Joitakin asiakirjan ominaisuuksia ovat:

  • Muodollinen tekoälyn hallintorakenne. Artikkelissa esitetään konkreettinen tekoälyn hallintokomiteamalli, jossa on toimintojen rajat ylittävä edustus (laki, yksityisyys, tietoturva, teknologia, datatiede, liiketoiminta, etiikka) ja joka raportoi ylimmälle johdolle tai hallitukselle. Siinä määritellään vastuut, annetaan esimerkkimittareita ja korostetaan, että hallinto on välttämätöntä, ei valinnaista.
  • Pilaripohjainen tekoälyn hallintakehys. Asiakirjassa kuvataan seitsemän pilarin viitekehys: lainsäädäntö/sääntely/politiikka, tekoälyn yksityisyys ja etiikka, käyttötapausten hallinta, mallin elinkaaren hallinta, sopimusten tekeminen ja kolmansien osapuolten käyttöönotto, tekoälytapahtumiin reagointi ja tietomurtojen hallinta sekä tekoälykoulutus. Jokaisella pilarilla on omat tavoitteensa ja vastuuhenkilönsä.
  • Käytännön tiekartta toteutusta varten. Toteutuksen etenemissuunnitelmassa työ jaetaan neljään vaiheeseen: Aloitus (komitea, periaatteet, inventaario), Riskien ja vaikutusten arviointi (DPIA:t, puolueellisuustarkastukset, tietoturvatarkastukset), Kehyksen käyttöönotto (käytännöt, käyttötapausten rekisteröinti, elinkaaren hallinta) sekä Seuranta ja arviointi (säännölliset tarkastukset, uudelleenkoulutus, tarkastukset).
  • Yksityiskohtainen, uudelleenkäytettävä tekoälyn käyttökäytäntö. Asiakirja sisältää täydellisen esimerkkikäytännön, joka sisältää tarkoituksen ja soveltamisalan, ohjaavat periaatteet, läpinäkyvyyden ja etiikan, vastuuvelvollisuuden ja valvonnan, tietosuojan ja -turvallisuuden, luottamuksellisuuden, hyväksyttävät ja kielletyt käyttötavat, valvonnan ja määritelmät, sekä taulukon julkisten tekoälytyökalujen sallituista ja kielletyistä käyttötavoista.
  • Kahdeksan tekoälyriskiluokkaa on yhdistetty tiettyihin suojatoimiin. Se kattaa systemaattisesti tietosuojan ja -turvallisuuden, toimitusketjun ja kolmansien osapuolten riskit, malli- ja tuotosriskit, puolueellisuuden ja oikeudenmukaisuuden, sääntelyn ja vaatimustenmukaisuuden, tietoturvahaavoittuvuudet, hallinto- ja valvontariskit sekä varjotekoälyn, ja yhdistää jokaisen konkreettisiin suojatoimiin, kuten tiedon minimointiin, SBOM-toimenpiteisiin, toimittajien due diligence -toimintaan, red teaming -toimintaan, sopimusvalvontaan ja varjotekoälyn havaitsemiseen.

 

Tekijät: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Sisällöntuottajat: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WHITE Tätä raporttia saa jakaa rajoituksetta.

 

Mitä Stryker-hyökkäys paljastaa lääkinnällisten laitteiden turvallisuudesta
HSCC julkistaa kolmannen osapuolen tekoälyn riski- ja toimitusketjun läpinäkyvyysoppaan