人工智能如何用于识别敏感医疗数据中的异常以保护患者信息?通过人工智能和机器学习增强网络安全的最佳实践是什么?专家回答了这些问题以及其他相关问题。
随着医疗行业越来越多地采用人工智能,网络安全威胁的格局正在迅速变化。虽然人工智能可以提高患者护理水平并简化运营,但它也引入了新的漏洞,这些漏洞可能被网络犯罪分子利用。
为了帮助首席信息安全官(CISO)、首席信息官(CIO)和其他医疗安全领导者应对这一挑战,我们采访了IEEE成员Rebecca Herold,她是Brainiacs SaaS Services的隐私和安全CEO,同时也是The Privacy Professor Consultancy的隐私和安全CEO。IEEE是世界上最大的致力于通过技术造福人类的专业技术组织。
我们请Herold讨论了针对医院和卫生系统的AI驱动网络攻击日益增长的威胁,AI如何用于识别敏感医疗数据中的异常以保护患者信息,医疗提供者组织如何通过AI和机器学习增强网络安全,以及她对安全领导者的最佳建议。
问:请描述针对医院和卫生系统的AI驱动网络攻击日益增长的威胁的现状。
答: 网络犯罪分子非常喜爱医疗数据,因为这些数据可以用于比普通个人数据更广泛的犯罪活动。此外,医疗数据的售价也远高于其他类型的个人数据。现在,喜爱医疗数据的网络犯罪分子又多了一种他们几乎同样喜爱的工具:人工智能。
随着生成式AI功能的广泛采用,医疗保健领导者和网络安全及隐私专业人士需要了解这些功能如何影响其相关医疗数字生态系统的安全性和完整性。业务伙伴也需要跟上AI驱动的威胁和支持工具的发展,不要在其受托的数据中使用这些工具。
AI功能提供了通过更多方式识别和消除癌症等疾病的机会,从而提供更好的医疗保健。它还可以帮助更快地进行诊断和预测。许多其他潜在的好处取决于所使用的AI类型及其准确性。AI工具也可以被那些喜爱医疗数据的网络犯罪分子用来通过新的、更有效的社会工程和钓鱼手段欺骗受害者。
例如,AI可以非常逼真地模仿医院CEO和医疗主任的形象和声音。AI可以冒充医院CEO,打电话给健康信息管理部门,指示他们将所有患者数据发送到特定地址、网站、传真号码等,理由听起来很合理,比如与其他医疗系统的合并。这将导致大规模的数据泄露,损害声誉,并引发多种法律违规行为,如违反HIPAA和各种州级健康数据法律。
AI工具还可以发现医疗系统中的更多数字漏洞。网络犯罪分子喜欢找到组织网络中的开放数字窗口和未锁的数字门,而有了这些工具,他们可以从世界另一端轻松做到这一点。AI现在使得犯罪分子更容易找到比以往更多的此类漏洞,然后轻松利用这些漏洞加载勒索软件、窃取患者健康数据库、向医疗设备注入恶意软件以在手术期间造成故障等。AI工具还可以更改患者健康数据,从而对相关患者造成身体伤害。网络犯罪分子可以发布被误认为有效医疗软件的应用程序和网站。当被医疗提供者采用时,这些应用程序和网站可能会通过更改患者的生理指标、病史、处方等信息对大量患者造成严重伤害。
问:AI如何用于识别敏感医疗数据中的异常以保护患者信息?
答: 在过去四年中,AI工具在医疗保健机构中以多种方式被越来越多地使用,以加强患者数据的安全性。经过验证的准确AI工具在分析大量患者数据集中的复杂模式以检测可能的威胁方面特别有效。以下是它们的三种主要用途:
首先,入侵和数据泄露检测与预防。AI工具被用于入侵检测系统(IDS)、入侵预防系统(IPS)和PHI泄露检测与预防。这些工具可以识别网络流量和数据流中的异常模式,同时识别网络中的特定类型数据,这些数据可能表明存在入侵。这些工具在实时威胁检测、即将发生的PHI泄露行动和零日威胁检测方面显示出价值。
其次,数据加密和隐私。基于AI的加密系统正处于早期使用阶段。这种加密有助于确保在实时风险评估表明网络入侵者可能针对PHI时,患者数据会被加密。即使攻击者访问了这些数据,这些数据也不会再对其有价值。AI还用于激活同态加密,以确保在处理或分析过程中不会暴露敏感的患者信息,因为它消除了在处理前解密数据的需要。
第三,数据访问模式中的异常检测。AI用于监控和分析患者健康数据库中的访问类型和访问模式,并标记异常活动。这对于用户行为分析非常有用,可以确定适当的访问是否发生,并支持泄露调查工作。它还可以帮助防止未经授权的PHI访问、账户劫持等其他活动。
还有许多其他用途。高级别包括:* 网络安全风险评分 * 自动化审计和合规审查 * 检测欺诈 * 通过行为生物特征识别的漏洞和威胁 * 用于患者数据监控的自然语言处理 * 网络安全预测分析 * 患者数据识别和数据目录更新
问:医疗提供者组织如何通过AI和机器学习增强网络安全的最佳实践有哪些?
答: 虽然使用专有大型语言模型和其他类型的AI工具带来了巨大的前景和好处,但它们也在每个医疗提供者的数字生态系统中带来了许多安全和隐私风险。除了我之前描述的风险之外,还有一些高级别的风险,包括:* 泄露受保护的健康信息 * 泄漏知识产权信息 * 因泄漏IT规范、管理设置等而导致的网络安全受损 * 为黑客提供额外的攻击途径以进入医疗组织的数字生态系统 * 泄漏系统参数、访问点等 * 如果LLM泄露未发布的产品和治疗、新软件更新、库存和定价计划等专有信息,则可能遭受商业损失 * 违反安全和隐私法律要求
所有医疗提供者应遵循的高级计划,以支持在使用AI工具时的网络安全和隐私包括:* 将AI使用政策的责任分配给个人、团队或部门。这些责任应包括来自网络安全、隐私和IT经理的意见,甚至领导角色,他们对AI有深入了解,同时也对组织的业务生态系统有深入了解。 * 高层管理将宣布这一责任,并强调任何AI的使用都必须符合该团队将创建并批准的AI政策。然后,高层管理人员应为AI管理团队提供强有力的支持,让所有员工都知道这是一个重要问题。 * 创建AI使用、安全和隐私政策和程序。这些应包括涉及CE组织的安全事件和隐私泄露,以及涉及PHI的事件。 * 为AI政策和程序提供培训,并向所有将使用AI的员工提供持续的意识信息/活动。 * 至少每年进行一次定期的AI安全和隐私风险评估,并进行持续的风险管理。 * 记录并了解所有已建立任何类型访问医疗提供者数字生态系统的外包/第三方合同。这将包括所有业务伙伴以及任何其他类型的合同实体。 * 识别并维护使用AI的人员清单,确保他们了解、理解并遵守组织实施的AI政策,并确保他们也将遵守这些要求。
问:您能给CISO、CIO或其他安全领导者关于AI和网络安全交集的最佳建议是什么?
答: 最终,每个医疗组织都必须制定涵盖AI使用风险和利益的规则和政策。安全领导者在确保这些规则的创建和实施中发挥着关键作用。
理想情况下,将有一套治理组织内部AI使用的政策,并应在适用的情况下指向具体的网络安全和隐私政策。还需要制定额外的AI特定政策和程序,例如那些管理使用PHI进行AI训练活动的政策和程序。
在制定这些AI安全和隐私政策和支持程序时,安全领导者需要牢记,AI既带来好处,也带来固有的风险。考虑到这一点,以下是一些确保适当解决AI和网络安全交集问题的考虑事项:* 使用AI工具来实现有益目的,但首先要测试并确保它们确实按供应商和制造商描述的那样工作,并且结果准确。这些工具包括用于威胁检测和响应、泄露检测和响应、异常检测以及自动化事件和泄露响应的工具,仅举几例。 * 了解并考虑您数字生态系统内的所有可能的AI特定威胁。 * 持续监控您的业务伙伴和其他类型第三方使用的AI工具,这些第三方有权访问您的医疗组织的数据和/或系统。与他们讨论关切的问题,并适当回应以保护您的组织的网络、应用程序和数据。 * 将AI控制措施整合到您的整体安全策略中。 * 关注与AI相关的事件、新闻和其他可能影响您组织的问题。 * 遵守当前和新的法律要求。这包括HIPAA,但也包括适用于您组织的所有其他法律,具体取决于您的位置。过去几年中,联邦国会以及大多数州的国会议员提交了许多涉及广泛AI问题的法案。其中一些或许多最终可能会成为法律。
最后警告:始终测试任何声称提供好处的AI工具,以确保:* 提供准确的结果 * 不会对您的网络性能产生负面影响 * 不会因暴露或不当共享PHI而使PHI处于风险中 * 不会违反您组织的患者数据法律要求。
(全文结束)
