Salt la conținutul principal

Politici și garanții pentru utilizarea în siguranță a inteligenței artificiale

Considerații pentru crearea unui cadru de guvernanță și garanții în domeniul inteligenței artificiale

Pe parcursul anului 2025 și începutul anului 2026, o echipă de profesioniști în securitate axați pe inteligență artificială din cadrul Grupului de lucru Health-ISAC pentru inteligență artificială s-a reunit pentru a crea o carte albă care oferă îndrumări privind dezvoltarea unor cadre de guvernanță a inteligenței artificiale. Cartea albă rezultată oferă un exemplu de politică de utilizare acceptabilă a inteligenței artificiale și îndrumări detaliate privind gestionarea riscurilor legate de inteligență artificială. Aceasta stabilește definiții clare ale utilizării responsabile a inteligenței artificiale generative și a informațiilor de persoană responsabilă (LLM), interzicând expunerea informațiilor personale protejate (PHI), a datelor cu caracter personal (PII) și a datelor confidențiale către instrumente publice și impunând autorizarea, supravegherea și revizuirea umană a rezultatelor inteligenței artificiale în contexte clinice, de resurse umane, juridice și financiare.

Câteva caracteristici ale documentului includ:

  • Structura formală de guvernanță a IA. Documentul prezintă un model concret de Comitet de Guvernanță a Inteligenței Artificiale (IA), cu reprezentare interfuncțională (juridic, confidențialitate, securitate, tehnologie, știința datelor, afaceri, etică) care raportează conducerii superioare sau Consiliului de Administrație. Acesta definește responsabilitățile, exemplifică indicatori și subliniază faptul că guvernanța este o necesitate, nu opțională.
  • Un cadru de guvernanță a inteligenței artificiale bazat pe piloni. Documentul descrie un cadru bazat pe șapte piloni: legislație/reglementare/politică, confidențialitate și etică în domeniul inteligenței artificiale, guvernanță a cazurilor de utilizare, guvernanță a ciclului de viață al modelului, contractare și integrare cu terți, răspuns la incidente și gestionarea încălcărilor de securitate din domeniul inteligenței artificiale, precum și instruire și educație în domeniul inteligenței artificiale. Fiecare pilon are obiective și responsabili specifici.
  • Foaie de parcurs practică pentru implementare. O foaie de parcurs pentru implementare împarte activitatea în patru faze: Inițiere (comitet, principii, inventar), Evaluarea riscurilor și impactului (DPIA-uri, audituri ale prejudecăților, revizuiri de securitate), Implementarea cadrului (politici, înregistrarea cazurilor de utilizare, controale ale ciclului de viață) și Monitorizare și revizuire (revizuiri periodice, recalificare, audituri).
  • Politică detaliată și reutilizabilă de utilizare acceptabilă a inteligenței artificiale. Documentul include un model complet de politică, cu scop și domeniu de aplicare, principii directoare, transparență și etică, responsabilitate și supraveghere, confidențialitate și securitate a datelor, confidențialitate, utilizări acceptabile și interzise, ​​aplicare și definiții, plus un tabel cu „permise vs. nepermise” pentru instrumentele publice de inteligență artificială.
  • Opt categorii de risc legate de IA sunt asociate unor măsuri de siguranță specifice. Acoperă sistematic confidențialitatea și securitatea datelor, riscul lanțului de aprovizionare și al terților, riscul de model și de ieșire, părtinirea și corectitudinea, reglementările și conformitatea, vulnerabilitățile de securitate, riscul de guvernanță și supraveghere și inteligența artificială din umbră (shadow AI), combinând fiecare dintre acestea cu garanții concrete, cum ar fi minimizarea datelor, SBOM-uri (acțiuni practice de tip „SBOM”), due diligence a furnizorilor, red teaming (acțiuni de tip „roșu”), controale contractuale și detectarea inteligenței artificiale din umbră.

 

Autori: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Contribuitori la conținut: Murphy, Bill (LeanTaaS), Gosnell, Joe (Centrul Medical Tucson)

TLP:WHITE Acest raport poate fi distribuit fără restricții.

 

Ce dezvăluie atacul Stryker despre securitatea dispozitivelor medicale
HSCC lansează ghidul privind riscul și transparența lanțului de aprovizionare în domeniul inteligenței artificiale pentru terți