Politike i zaštitne mjere za sigurnu upotrebu umjetne inteligencije

Razmatranja za stvaranje okvira za upravljanje i zaštitne mjere umjetne inteligencije

Tijekom 2025. i početkom 2026. godine, tim stručnjaka za sigurnost usmjerenih na umjetnu inteligenciju u Radnoj skupini za umjetnu inteligenciju Health-ISAC okupio se kako bi izradio bijelu knjigu koja nudi smjernice o razvoju okvira upravljanja umjetnom inteligencijom. Rezultirajuća bijela knjiga pruža primjer Politike prihvatljive upotrebe umjetne inteligencije i detaljne smjernice o upravljanju rizicima umjetne inteligencije. Ona postavlja jasne definicije odgovorne upotrebe generativne umjetne inteligencije i LLM-ova, zabranjuje izlaganje zaštićenih zdravstvenih podataka, osobnih podataka i povjerljivih podataka javnim alatima te zahtijeva autorizaciju, nadzor i ljudski pregled rezultata umjetne inteligencije u kliničkom, HR, pravnom i financijskom kontekstu.

Neke značajke dokumenta uključuju:

• Formalna struktura upravljanja umjetnom inteligencijom. U radu se iznosi konkretan model Odbora za upravljanje umjetnom inteligencijom s međufunkcionalnom zastupljenošću (pravni, privatni, sigurnosni, tehnološki, podatkovni, poslovni, etički) koji izvještava višem vodstvu ili Upravnom odboru. Definira odgovornosti, daje primjere metrika i naglašava da je upravljanje nužno, a ne opcionalno.
• Okvir upravljanja umjetnom inteligencijom temeljen na stupovima. Dokument opisuje okvir od sedam stupova: zakonodavstvo/propisi/politika, privatnost i etika umjetne inteligencije, upravljanje slučajevima upotrebe, upravljanje životnim ciklusom modela, ugovaranje i uključivanje trećih strana, odgovor na incidente umjetne inteligencije i upravljanje povredama sigurnosti te obuka i obrazovanje o umjetnoj inteligenciji. Svaki stup ima specifične ciljeve i vlasnike.
• Praktični plan za provedbu. Plan implementacije dijeli rad u četiri faze: Inicijacija (odbor, načela, inventar), Procjena rizika i utjecaja (DPIA, revizije pristranosti, sigurnosni pregledi), Implementacija okvira (pravila, registracija slučajeva upotrebe, kontrole životnog ciklusa) te Praćenje i pregled (periodični pregledi, ponovna obuka, revizije).
• Detaljna, višekratno upotrebljiva Pravila prihvatljive upotrebe umjetne inteligencije. Dokument uključuje potpuni primjer politike sa svrhom i opsegom, vodećim načelima, transparentnošću i etikom, odgovornošću i nadzorom, privatnošću i sigurnošću podataka, povjerljivošću, prihvatljivim i zabranjenim načinima korištenja, provedbom i definicijama, plus tablicu „dopuštenih naspram nedopuštenih“ za javne alate umjetne inteligencije.
• Osam kategorija rizika umjetne inteligencije mapirano je na specifične zaštitne mjere. Sustavno pokriva privatnost i sigurnost podataka, rizik opskrbnog lanca i treće strane, rizik modela i rezultata, pristranost i pravednost, regulatorne i usklađene propise, sigurnosne ranjivosti, rizik upravljanja i nadzora te shadow AI, te svaku uparuje s konkretnim zaštitnim mjerama kao što su minimiziranje podataka, SBOM-ovi, dubinska analiza dobavljača, crveno timsko stvaranje, ugovorne kontrole i otkrivanje shadow AI-a.

Autori: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Suradnici na sadržaju: Murphy, Bill (LeanTaaS), Gosnell, Joe (Medicinski centar Tucson)

TLP:BIJELO Ovo izvješće se može dijeliti bez ograničenja.

• Povezani izvori i vijesti
• Izvješće o stanju prijetnji u zdravstvu i socijalnoj pomoći
• Agentska umjetna inteligencija u zdravstvu je rizičan prijedlog
• Live@eXchange 2. dan – Analitičar sigurnosti medicinskih uređaja Health-ISAC-a
• Health-ISAC Hacking Healthcare 6
• Nove ranjivosti usmjerene na zdravstvenu industriju
• Mjesečni bilten – lipanj 2026
• Što je stvarno potrebno za sigurnu zdravstvenu skrb
• Inventar uređaja i mapiranje zaštićenih zdravstvenih podataka (PHI) bit će najteži izazovi kada se uvede novi HIPAA.
• Verizon DBIR: Zdravstvo se odupire sve većim napadima socijalnog inženjeringa
• Izvješće o stanju ljudskih kibernetičkih rizika