Prejsť k hlavnému obsahu

Politiky a záruky pre bezpečné používanie umelej inteligencie

Úvahy o vytvorení rámca riadenia a ochranných opatrení v oblasti umelej inteligencie

Počas roka 2025 a začiatku roka 2026 sa tím bezpečnostných odborníkov zameraných na umelú inteligenciu v pracovnej skupine Health-ISAC pre umelú inteligenciu stretol, aby vytvoril bielu knihu s usmerneniami k vývoju rámcov riadenia umelej inteligencie. Výsledná biela kniha poskytuje vzorovú politiku prijateľného používania umelej inteligencie a podrobné usmernenia k riadeniu rizík umelej inteligencie. Stanovuje jasné definície zodpovedného používania generatívnej umelej inteligencie a LLM, zakazuje vystavenie chránených zdravotných informácií (PHI), osobných údajov (PII) a dôverných údajov verejným nástrojom a vyžaduje autorizáciu, dohľad a ľudské preskúmanie výstupov umelej inteligencie v klinickom, personálnom, právnom a finančnom kontexte.

Medzi niektoré vlastnosti dokumentu patria:

  • Formálna štruktúra riadenia umelej inteligencie. Dokument predstavuje konkrétny model Výboru pre riadenie umelej inteligencie s medzifunkčným zastúpením (právne záležitosti, ochrana súkromia, bezpečnosť, technológie, dátová veda, obchod, etika), ktorý podáva správy vrcholovému vedeniu alebo predstavenstvu. Definuje zodpovednosti, uvádza príklady metrík a zdôrazňuje, že riadenie je nevyhnutnosťou, nie voliteľné.
  • Rámec riadenia umelej inteligencie založený na pilieroch. Dokument opisuje rámec so siedmimi piliermi: legislatíva/regulácia/politika, súkromie a etika v oblasti umelej inteligencie, riadenie prípadov použitia, riadenie životného cyklu modelu, uzatváranie zmlúv a zapájanie tretích strán, reakcia na incidenty a riadenie porušení v oblasti umelej inteligencie a školenia a vzdelávanie v oblasti umelej inteligencie. Každý pilier má špecifické ciele a vlastníkov.
  • Praktický plán implementácie. Implementačný plán rozdeľuje prácu do štyroch fáz: Iniciácia (výbor, zásady, inventarizácia), Posúdenie rizík a vplyvov (DPIA, audity zaujatosti, bezpečnostné kontroly), Nasadenie rámca (politiky, registrácia prípadov použitia, kontroly životného cyklu) a Monitorovanie a kontrola (pravidelné kontroly, preškolenia, audity).
  • Podrobné a opakovane použiteľné zásady prijateľného používania umelej inteligencie. Dokument obsahuje kompletnú vzorovú politiku s účelom a rozsahom, hlavné zásady, transparentnosť a etiku, zodpovednosť a dohľad, ochranu súkromia a bezpečnosť údajov, dôvernosť, prijateľné a zakázané použitie, presadzovanie a definície, plus tabuľku „povolených a nepovolených“ pre verejné nástroje umelej inteligencie.
  • Osem kategórií rizík umelej inteligencie je priradených ku konkrétnym ochranným opatreniam. Systematicky sa zaoberá ochranou súkromia a bezpečnosťou údajov, rizikom dodávateľského reťazca a tretích strán, rizikom modelu a výstupu, zaujatosťou a spravodlivosťou, reguláciou a dodržiavaním predpisov, bezpečnostnými zraniteľnosťami, rizikom riadenia a dohľadu a tieňovou umelou inteligenciou a každú z nich spája s konkrétnymi zárukami, ako je minimalizácia údajov, SBOM (Business Manuals - riadené výpočty údajov), due diligence dodávateľov, red teaming, zmluvnými kontrolami a detekciou tieňovej umelej inteligencie.

 

Autori: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Prispievatelia obsahu: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:BIELA ​​Túto správu je možné zdieľať bez obmedzenia.

 

Čo odhaľuje útok Stryker o bezpečnosti zdravotníckych pomôcok
HSCC predstavuje príručku pre riziká a transparentnosť dodávateľského reťazca v oblasti umelej inteligencie tretích strán