Przejdź do głównej zawartości

Polityki i zabezpieczenia zapewniające bezpieczne korzystanie ze sztucznej inteligencji

Rozważania na temat tworzenia ram zarządzania i zabezpieczeń sztucznej inteligencji

W latach 2025 i na początku 2026 zespół specjalistów ds. bezpieczeństwa w obszarze sztucznej inteligencji (AI) z grupy roboczej Health-ISAC ds. sztucznej inteligencji (AI) zebrał się, aby opracować dokument informacyjny (white paper) zawierający wskazówki dotyczące opracowywania ram zarządzania AI. Powstały dokument zawiera przykładową Politykę Dopuszczalnego Użytkowania AI oraz szczegółowe wytyczne dotyczące zarządzania ryzykiem związanym z AI. Dokument ten określa jasne definicje odpowiedzialnego korzystania z generatywnej AI i programów nauczania (LLM), zabraniając udostępniania danych osobowych (PHI), osobowych (PII) i poufnych narzędziom publicznym oraz wymagając autoryzacji, nadzoru i weryfikacji wyników AI w kontekście klinicznym, HR, prawnym i finansowym.

Niektóre cechy dokumentu obejmują:

  • Formalna struktura zarządzania sztuczną inteligencją. W dokumencie przedstawiono konkretny model Komitetu ds. Zarządzania Sztuczną Inteligencją (AI Governance Committee), z reprezentacją międzyfunkcyjną (prawniczą, ds. prywatności, bezpieczeństwa, technologii, analizy danych, biznesu i etyki), który podlega kierownictwu wyższego szczebla lub zarządowi. Dokument definiuje obowiązki, przykładowe wskaźniki i podkreśla, że ​​zarządzanie jest koniecznością, a nie opcją.
  • Oparta na filarach struktura zarządzania sztuczną inteligencją. Dokument opisuje siedmiofilarowy system: przepisy/regulacje/polityka, prywatność i etyka w zakresie sztucznej inteligencji, zarządzanie przypadkami użycia, zarządzanie cyklem życia modelu, zawieranie umów i wdrażanie podmiotów zewnętrznych, reagowanie na incydenty i zarządzanie naruszeniami w zakresie sztucznej inteligencji oraz szkolenia i edukacja w zakresie sztucznej inteligencji. Każdy filar ma określone cele i podmioty odpowiedzialne.
  • Praktyczna mapa drogowa wdrażania. Plan wdrożenia dzieli pracę na cztery fazy: inicjacja (komitet, zasady, inwentaryzacja), ocena ryzyka i skutków (oceny skutków dla ochrony danych, audyty stronniczości, przeglądy bezpieczeństwa), wdrażanie struktury (zasady, rejestracja przypadków użycia, kontrola cyklu życia) oraz monitorowanie i przegląd (okresowe przeglądy, ponowne szkolenia, audyty).
  • Szczegółowa, wielokrotnego użytku Polityka dopuszczalnego użycia sztucznej inteligencji. Dokument zawiera pełny przykład polityki z określeniem celu i zakresu, zasad przewodnich, przejrzystości i etyki, odpowiedzialności i nadzoru, prywatności i bezpieczeństwa danych, poufności, akceptowalnych i zabronionych zastosowań, egzekwowania oraz definicji, a także tabelę „dozwolonych i niedozwolonych” dla publicznych narzędzi sztucznej inteligencji.
  • Osiem kategorii ryzyka związanego ze sztuczną inteligencją przyporządkowano konkretnym zabezpieczeniom. Systematycznie obejmuje prywatność i bezpieczeństwo danych, ryzyko związane z łańcuchem dostaw i stronami trzecimi, ryzyko modelu i wyników, stronniczość i uczciwość, przepisy prawne i zgodność, luki w zabezpieczeniach, ryzyko związane z zarządzaniem i nadzorem oraz ukrytą sztuczną inteligencję (shadow AI), a każdy z tych obszarów łączy z konkretnymi zabezpieczeniami, takimi jak minimalizacja danych, SBOM, należyta staranność wobec dostawców, red teaming, kontrole umowne i wykrywanie ukrycia sztucznej inteligencji (shadow AI).

 

Autorzy: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Autorzy treści: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WHITE Niniejszy raport można udostępniać bez ograniczeń.

 

Co atak na Stryker ujawnia na temat bezpieczeństwa urządzeń medycznych
HSCC prezentuje przewodnik po ryzyku i przejrzystości łańcucha dostaw w zakresie sztucznej inteligencji stron trzecich