Pereiti į pagrindinį turinį

Dirbtinio intelekto saugaus naudojimo politika ir apsaugos priemonės

Svarstymai kuriant AL valdymo ir apsaugos priemonių sistemą

2025 m. ir 2026 m. pradžioje dirbtinio intelekto saugumo specialistų komanda iš „Health-ISAC“ dirbtinio intelekto darbo grupės susibūrė parengti informacinį dokumentą, kuriame pateikiamos dirbtinio intelekto valdymo sistemų kūrimo gairės. Gautame informaciniame dokumente pateikiamas dirbtinio intelekto priimtino naudojimo politikos pavyzdys ir išsamios dirbtinio intelekto rizikos valdymo gairės. Joje aiškiai apibrėžiamas atsakingas generatyvinio dirbtinio intelekto ir teisės magistro (LLM) naudojimas, draudžiama viešai prieinama informacija apie saugomą sveikatos informaciją (PHI), asmens tapatybę užtikrinančią informaciją (PII) ir konfidencialius duomenis, taip pat reikalaujama, kad klinikiniame, žmogiškųjų išteklių, teisiniame ir finansiniame kontekste dirbtinio intelekto rezultatus autorizuotai, prižiūrint ir peržiūrint žmonėms.

Kai kurios dokumento ypatybės apima:

  • Formali dirbtinio intelekto valdymo struktūra. Dokumente pateikiamas konkretus Dirbtinio intelekto valdymo komiteto modelis, apimantis įvairių sričių (teisės, privatumo, saugumo, technologijų, duomenų mokslo, verslo, etikos) atstovavimą ir atskaitingą vyresniajai vadovybei arba valdybai. Jame apibrėžiamos atsakomybės, pateikiami rodiklių pavyzdžiai ir pabrėžiama, kad valdymas yra būtinas, o ne pasirenkamas.
  • Ramsčiais pagrįsta dirbtinio intelekto valdymo sistema. Dokumente aprašoma septynių ramsčių sistema: teisės aktai / reglamentavimas / politika, dirbtinio intelekto privatumas ir etika, naudojimo atvejų valdymas, modelio gyvavimo ciklo valdymas, sutarčių sudarymas ir trečiųjų šalių įtraukimas, reagavimas į dirbtinio intelekto incidentus ir pažeidimų valdymas bei dirbtinio intelekto mokymai ir švietimas. Kiekvienas ramstis turi konkrečius tikslus ir atsakinguosius asmenis.
  • Praktinis įgyvendinimo planas. Įgyvendinimo veiksmų plane darbas suskirstytas į keturis etapus: inicijavimas (komitetas, principai, inventorizacija), rizikos ir poveikio vertinimas (DPAV, šališkumo auditai, saugumo peržiūros), sistemos diegimas (politika, naudojimo atvejų registravimas, gyvavimo ciklo kontrolė) ir stebėsena bei peržiūra (periodinės peržiūros, perkvalifikavimas, auditai).
  • Išsami, daugkartinio naudojimo dirbtinio intelekto priimtino naudojimo politika. Dokumente pateikiamas išsamus pavyzdinis politikos aprašymas su tikslu ir taikymo sritimi, pagrindiniais principais, skaidrumu ir etika, atskaitomybe ir priežiūra, duomenų privatumu ir saugumu, konfidencialumu, priimtinu ir draudžiamu naudojimu, vykdymo užtikrinimu ir apibrėžimais, taip pat lentelė, kurioje nurodytos viešųjų dirbtinio intelekto įrankių naudojimo sritys „leidžiamos ir neleidžiamos“.
  • Aštuonios dirbtinio intelekto rizikos kategorijos yra susietos su konkrečiomis apsaugos priemonėmis. Jame sistemingai aptariama duomenų privatumas ir saugumas, tiekimo grandinės ir trečiųjų šalių rizika, modelio ir produkcijos rizika, šališkumas ir sąžiningumas, reguliavimo ir atitikties reikalavimai, saugumo pažeidžiamumai, valdymo ir priežiūros rizika bei šešėlinė dirbtinė intelektinė nuosavybė, ir kiekviena iš jų susiejama su konkrečiomis apsaugos priemonėmis, tokiomis kaip duomenų kiekio mažinimas, SBOMs, tiekėjų patikrinimas, raudonųjų komandų sudarymas, sutartinė kontrolė ir šešėlinės dirbtinės intelektinės nuosavybės aptikimas.

 

Autoriai: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Turinio bendraautoriai: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tuksono medicinos centras)

TLP:WHITE Šia ataskaita galima dalytis be apribojimų.

 

Ką „Stryker“ ataka atskleidžia apie medicinos prietaisų saugumą
HSCC pristato trečiųjų šalių dirbtinio intelekto rizikos ir tiekimo grandinės skaidrumo vadovą