Sănătate

Asigurarea securității reziliente pentru Inteligența Artificială Autonomă în Sănătate

mm

Războiul împotriva încălcării datelor reprezintă o provocare din ce în ce mai mare pentru organizațiile de sănătate la nivel global. Conform statisticilor actuale, costul mediu al unei încălcări a datelor este de 4,45 milioane de dolari la nivel mondial, o cifră care se dublează la 9,48 milioane de dolari pentru furnizorii de servicii de sănătate care deservesc pacienți în Statele Unite. La această problemă deja îngrijorătoare se adaugă fenomenul modern de proliferare a datelor inter- și intraorganizaționale. Un procent îngrijorător de 40% din încălcările raportate implică informații răspândite în multiple medii, ceea ce mărește semnificativ suprafața de atac și oferă multiple căi de intrare pentru atacatori.

Creșterea autonomiei inteligenței artificiale generative aduce o eră de schimbare radicală. Prin urmare, vine și valul de riscuri de securitate suplimentare, pe măsură ce acești agenți inteligenți avansați trec de la teorie la implementări în diverse domenii, cum ar fi sectorul sănătății. Înțelegerea și mitigarea acestor noi amenințări este crucială pentru a putea scala inteligența artificială în mod responsabil și a îmbunătăți reziliența organizației împotriva atacurilor cibernetice de orice natură, fie că este vorba de amenințări ale software-ului malign, încălcări de date sau chiar atacuri bine orchestrate asupra lanțului de aprovizionare.

Reziliență la etapa de proiectare și implementare

Organizațiile trebuie să adopte o strategie de apărare proactivă cuprinzătoare și evolutivă pentru a aborda riscurile de securitate crescânde cauzate de inteligența artificială, în special în sănătate, unde mizele implică atât bunăstarea pacienților, cât și conformitatea cu măsurile regulatorii.

Acest lucru necesită o abordare sistematică și elaborată, care începe cu dezvoltarea și proiectarea sistemelor de inteligență artificială și continuă cu implementarea la scară largă a acestor sisteme.

  • Primul și cel mai critic pas pe care organizațiile trebuie să îl întreprindă este să cartografieze și să modeleze amenințările pentru întreaga lor pipeline de inteligență artificială, de la ingestia de date la antrenarea modelului, validare, implementare și inferență. Acest pas facilitează identificarea precisă a tuturor punctelor potențiale de expunere și vulnerabilitate, cu granularitatea riscurilor bazată pe impact și probabilitate.
  • În al doilea rând, este important să se creeze arhitecturi securizate pentru implementarea sistemelor și aplicațiilor care utilizează modele de limbaj mari (LLM), inclusiv cele cu capacități de inteligență artificială agentică. Acest lucru implică considerarea atentă a diverselor măsuri, cum ar fi securitatea containerelor, proiectarea securizată a API-urilor și manipularea în siguranță a seturilor de date de antrenament sensibile.
  • În al treilea rând, organizațiile trebuie să înțeleagă și să implementeze recomandările diverselor standarde/cadre. De exemplu, pot urma ghidurile stabilite de NIST pentru gestionarea riscurilor legate de inteligența artificială, pentru identificarea și mitigarea riscurilor cuprinzătoare. De asemenea, pot lua în considerare sfaturile OWASP privind vulnerabilitățile unice introduse de aplicațiile LLM, cum ar fi injecția de prompturi și manipularea ieșirilor nesecurizate.
  • Mai mult, tehnicile clasice de modelare a amenințărilor trebuie să evolueze pentru a gestiona eficient atacurile complexe și subtile generate de inteligența artificială generativă, inclusiv atacurile de otrăvire a datelor care amenință integritatea modelului și potențialul de a genera conținut sensibil, biasat sau inadecvat în ieșirile inteligenței artificiale.
  • În cele din urmă, chiar și după implementare, organizațiile trebuie să rămână vigilente, practicând manevre regulate și stricte de testare a securității și audituri specializate de securitate a inteligenței artificiale, care vizează în mod specific surse precum bias, robustețe și claritate, pentru a descoperi și mitiga în mod continuu vulnerabilitățile sistemelor de inteligență artificială.

În mod semnificativ, baza creării unor sisteme de inteligență artificială puternice în sănătate este de a proteja fundamental întregul ciclu de viață al inteligenței artificiale, de la creare la implementare, cu o înțelegere clară a noilor amenințări și o aderență la principiile de securitate stabilite.

Măsuri pe parcursul ciclului de viață operațional

În plus față de proiectarea și implementarea securizată inițială, o poziție robustă de securitate a inteligenței artificiale necesită o atenție vigilentă și o apărare activă pe tot parcursul ciclului de viață al inteligenței artificiale. Acest lucru necesită monitorizarea continuă a conținutului, prin utilizarea supravegherii bazate pe inteligență artificială pentru a detecta ieșiri sensibile sau maligne imediat, respectând în același timp politicile de eliberare a informațiilor și permisiunile utilizatorilor. În timpul dezvoltării modelului și în mediul de producție, organizațiile trebuie să scanzeze activ pentru malware, vulnerabilități și activități adversarale, toate acestea fiind complementare măsurilor tradiționale de securitate cibernetică.

Pentru a încuraja încrederea utilizatorilor și a îmbunătăți interpretarea deciziilor luate de inteligența artificială, este esențial să se utilizeze cu atenție unelte de inteligență artificială explicabilă (XAI) pentru a înțelege rațiunea de bază a ieșirilor și predicțiilor inteligenței artificiale.

Controlul și securitatea îmbunătățită sunt facilitate și prin descoperirea automată a datelor și clasificarea inteligentă a datelor cu clasificatori dinamici, care oferă o vedere critică și actualizată a mediului de date în schimbare. Aceste inițiative decurg din necesitatea de a impune controale de securitate puternice, cum ar fi metodele de control al accesului bazat pe rol (RBAC), cadrele de criptare de la capăt la capăt pentru a proteja informațiile în tranzit și în repaus, și tehnici eficiente de mascare a datelor pentru a ascunde datele sensibile.

Instruirea temeinică a conștientizării securității de către toți utilizatorii care interacționează cu sistemele de inteligență artificială este, de asemenea, esențială, deoarece creează un zid de apărare umană critic pentru a detecta și neutraliza atacurile de inginerie socială posibile și alte amenințări legate de inteligența artificială.

Asigurarea viitorului inteligenței artificiale agențice

Baza rezilienței durabile în fața amenințărilor de securitate a inteligenței artificiale în evoluție constă în metoda multidimensională și continuă de monitorizare atentă, scanare activă, explicare inteligentă, clasificare inteligentă și securizare strictă a sistemelor de inteligență artificială. Acest lucru, desigur, se adaugă la stabilirea unei culturi de securitate orientate către oameni, împreună cu controalele de securitate cibernetică tradiționale mature. Pe măsură ce agenții inteligenței artificiale autonome sunt integrați în procesele organizaționale, necesitatea controalelor de securitate robuste crește. Realitatea de astăzi este că încălcările datelor în cloudurile publice au loc și costă în medie 5,17 milioane de dolari, subliniind clar amenințarea la adresa finanțelor și reputației unei organizații.

În plus față de inovațiile revoluționare, viitorul inteligenței artificiale depinde de dezvoltarea rezilienței cu o bază de securitate încorporată, cadre de funcționare deschise și proceduri de guvernanță stricte. Stabilirea încrederii în astfel de agenți inteligenți va decide în cele din urmă în ce măsură și cu ce durată vor fi adoptați, modelând cursul potențialului transformator al inteligenței artificiale.

Vipin Varma este Senior Vice President și Șef al Practicii de Securitate Cibernetică la CitiusTech.

Cu peste 35 de ani de experiență în domeniul securității cibernetice și al tehnologiei informației și comunicațiilor, Vipin aduce o expertiză profundă și o conducere strategică pentru a impulsiona transformarea digitală sigură și rezilientă în ecosistemul sănătății.

Înainte de a se alătura CitiusTech, Vipin a condus afacerile de securitate cibernetică pentru clienți globali din domeniul științelor vieții, sănătății, energiei și utilităților la Tata Consultancy Services, unde a petrecut peste 12 ani modelând strategii de securitate cibernetică în industrii reglementate. Înainte de a intra în sectorul corporativ, el a servit timp de peste 23 de ani în Armata Indiană, unde a deținut roluri cheie, inclusiv comandarea unei unități în operațiuni de contrainsurgență active, conducerea IT și comunicațiilor pentru o misiune de menținere a păcii a ONU în Sudan și gestionarea programelor tehnologice complexe.