医疗行业人员持续通过人工智能工具和云应用程序泄露患者数据,尽管相关防护措施日益完善,此类行为仍违反《健康保险流通与责任法案》并危及患者信任。
越来越多的医护人员转向ChatGPT和Google Gemini等生成式人工智能工具以减轻工作负担,但许多操作缺乏必要保障措施,可能触犯联邦隐私法规。Netskope 2025年威胁实验室医疗行业报告分析了医疗机构的云应用使用情况、AI趋势及数据违规事件,发现敏感患者数据(包括受保护健康信息PHI)频繁被上传至不符合HIPAA标准的工具和平台,使患者与临床医生同时面临风险。Netskope威胁实验室总监雷·坎萨内塞指出:"除财务损失外,数据泄露会侵蚀患者信任,并损害机构与供应商及合作伙伴的公信力。"
便捷性背后的风险
医疗行业较其他领域更早采用AI技术,目前多数机构已使用某种形式的生成式AI优化运营或减轻行政负担。Netskope数据显示:88%的医疗机构使用基于云的生成式AI工具;98%使用整合生成式AI功能的应用程序;96%依赖以用户数据训练的工具;43%正尝试在内部运行AI系统。与此同时,71%的医护人员仍在使用个人AI账户处理工作——较前一年87%的比例有所下降,但仍处于危险高位。由于ChatGPT和Gemini等公共AI工具通常不签署商业伙伴协议(BAAs)且不符合HIPAA合规标准,处理PHI信息即构成潜在违规。
敏感数据持续外泄
Netskope研究显示,这些隐私疏漏已非潜在风险,而是常态化事件。医疗机构所有数据违规事件中,81%涉及PHI等受监管数据,其余19%包含知识产权、源代码及内部机密。Google Drive、OneDrive和Amazon S3等个人云存储应用也被不当使用。员工虽出于善意试图提升效率,但未经授权的操作使其成为重大合规隐患。Netskope警告称:"医疗机构必须在生成式AI效益与严格数据治理政策间取得平衡,以缓解相关风险。"
可信平台的恶意软件威胁
除数据隐私问题外,Netskope发现通过常用云应用传播的恶意软件威胁急剧上升。2025年,13%的医疗机构遭遇来自GitHub的恶意软件下载。攻击者常利用社交工程手段诱骗员工通过以下平台下载信息窃取程序和勒索软件:
- Microsoft OneDrive
- Amazon S3
- Google Drive
一旦恶意软件渗透网络,即可窃取凭证或部署勒索软件载荷。
数据防泄漏工具的进展与缺口
为应对威胁,更多机构部署了数据防泄漏(DLP)工具,使用率从31%跃升至54%,反映出对非授权生成式AI风险的认知提升。常见被屏蔽的生成式AI应用包括:DeepAI(44%的机构)、Tactiq(40%)和Scite(36%)。Netskope建议医疗机构定期审计应用使用情况,屏蔽高风险或安全控制薄弱的工具,此举亦可引导员工转向更安全的企业级工具。
技术问题背后的人为因素
威胁根源常在于人为操作——员工使用"影子AI"(非授权AI工具)因其便捷高效,但便利性可能导致代价高昂的HIPAA违规。Netskope建议医疗机构采取以下措施:
- 屏蔽非必要或高风险应用
- 扫描所有网络及云流量中的钓鱼及恶意软件
- 对高风险域名启用远程浏览器隔离技术(RBI)
- 实施标记PHI、源代码或知识产权上传的DLP策略
- 强化员工培训以识别高风险行为
Netskope报告并非反对医疗领域应用AI,而是倡导审慎安全的采用路径。这些工具威力强大,但缺乏适当防护时极易转化为安全漏洞。简言之,医疗行业不仅需要更智能的技术,更需要更严格的监管、强化的员工培训、操作透明度及对患者信任的持续维护。
【全文结束】
