Перейти до основного матеріалу

Політика та запобіжні заходи для безпечного використання штучного інтелекту

Міркування щодо створення системи управління та запобіжних заходів у сфері штучного інтелекту

Протягом 2025 та на початку 2026 року команда фахівців з безпеки, що спеціалізуються на штучному інтелекті, у Робочій групі Health-ISAC зі штучного інтелекту об’єдналася, щоб створити офіційний документ з рекомендаціями щодо розробки структур управління ШІ. У результаті наведено зразок Політики прийнятного використання ШІ та детальні рекомендації щодо управління ризиками, пов’язаними зі ШІ. Він встановлює чіткі визначення відповідального використання генеративного ШІ та LLM, забороняє розкриття PHI, PII та конфіденційних даних загальнодоступним інструментам, а також вимагає авторизації, нагляду та перевірки результатів ШІ людиною в клінічному, кадровому, юридичному та фінансовому контекстах.

Деякі особливості документа включають:

  • Формальна структура управління ШІ. У статті викладено конкретну модель Комітету з управління ШІ з міжфункціональним представництвом (юридичний, конфіденційність, безпека, технології, наука про дані, бізнес, етика), який звітує перед вищим керівництвом або Радою директорів. У ній визначено обов'язки, наведено приклади показників та підкреслено, що управління є обов'язковим, а не необов'язковим.
  • Структура управління штучним інтелектом, що базується на стовпах. У документі описано структуру, що складається з семи стовпів: законодавство/регулювання/політика, конфіденційність та етика ШІ, управління варіантами використання, управління життєвим циклом моделі, укладання договорів та залучення третіх сторін, реагування на інциденти ШІ та управління порушеннями, а також навчання та освіта у сфері ШІ. Кожен стовп має конкретні цілі та відповідальних осіб.
  • Практична дорожня карта впровадження. Дорожня карта впровадження поділяє роботу на чотири фази: Ініціація (комітет, принципи, інвентаризація), Оцінка ризиків та впливу (DPIA, аудит упередженості, огляд безпеки), Розгортання фреймворку (політики, реєстрація варіантів використання, контроль життєвого циклу) та Моніторинг та огляд (періодичні огляди, перепідготовка, аудит).
  • Детальна, багаторазова Політика прийнятного використання штучного інтелекту. Документ містить повний зразок політики з метою та обсягом, керівними принципами, прозорістю та етикою, підзвітністю та наглядом, конфіденційністю та безпекою даних, конфіденційністю, прийнятним та забороненим використанням, правозастосуванням та визначеннями, а також таблицю «дозволених та заборонених» для публічних інструментів штучного інтелекту.
  • Вісім категорій ризиків штучного інтелекту зіставлено з конкретними запобіжними заходами. Він систематично охоплює конфіденційність та безпеку даних, ризики ланцюга поставок та третіх сторін, ризики моделі та результату, упередженість та справедливість, регуляторні вимоги та дотримання вимог, вразливості безпеки, ризики управління та нагляду, а також тіньовий штучний інтелект, і поєднує кожен із конкретними запобіжними заходами, такими як мінімізація даних, SBOM (систематизація операцій з постачанням), комплексна перевірка постачальників, формування команд з використанням червоних команд, договірний контроль та виявлення тіньового штучного інтелекту.

 

Автори: Коен, Люда (AbbVie); Мурад, Керол (Bio Bridge Global); Найк, Шрікант (Abbott); Стрілман, Джефф (SpendMend)

Автори контенту: Мерфі, Білл (LeanTaaS), Госнелл, Джо (Тусонський медичний центр)

TLP:БІЛИЙ Цей звіт можна поширювати без обмежень.

 

Що розкриває атака Stryker про безпеку медичного обладнання
HSCC представляє посібник зі стороннього штучного інтелекту щодо ризиків та прозорості ланцюгів поставок