加强AI保障与HITRUST
12月10日,2024年
引言
AI解决方案可以在任何行业中引入新的风险,但在医疗保健行业,风险可能更高。不安全、不可靠或无效的AI可能导致严重的后果,不仅仅是对公司的财务影响,还可能涉及人的生命安全。
格兰特·桑顿战略保证和社会责任服务经理肖恩·布伦南表示:“在医疗保健中,这不仅仅是一个数字或电子表格,这可能是一个人的生命。” 不安全、不可靠或无效的AI可能导致超出公司或实体财务后果的人类后果。这里存在很大的差异。
除了维持HIPAA合规性外,医疗保健解决方案还需要防范一系列新兴的网络安全和数据隐私威胁。当AI解决方案分析、处理和输出受保护的健康信息时,确保有必要的控制措施来保护这些数据免受新兴威胁至关重要。
AI安全考虑
这就是为什么医疗保健组织需要不断评估其AI解决方案的安全性。格兰特·桑顿风险管理主管约翰尼·李表示:“通常情况下,适当的风险管理始于确保有治理控制措施,以确保坏事不会发生,或者如果发生,可以迅速检测和补救。”
对于医疗保健公司,初步调查应集中在公司是否有权将数据输入系统作为AI模型的输入。更具体地说,组织是否有从个人那里获得使用其个人健康信息的必要同意?
“最终,责任可能会追溯到数据来源……即使你最终不负责任,这也是痛苦、分散注意力且可能非常昂贵的。” 约翰尼·李说。如果AI解决方案由第三方供应商提供,或者该解决方案与其他第三方解决方案交互,问题会变得更加复杂。“你知道你的下游合作伙伴或HIPAA术语中的业务伙伴在这些数据上做了什么吗?” 李问道。“因为最终,责任可能会归咎于负责保护数据的公司,而大多数情况下,这可能是你的组织。如果你没有围绕内部数据流建立足够的结构,而且你的业务伙伴协议没有明确使用权利、同意考虑和其他要求,那么你的组织可能会被卷入诉讼和相关监管审查。即使你最终不负责任,这样的程序也是痛苦、分散注意力且非常昂贵的。”
因此,AI解决方案的风险应被视为企业风险的一部分。
企业风险管理
为了充分理解和管理AI解决方案中的风险,医疗保健组织需要跨受影响的领域进行审视。“AI不是一种独立的技术,你可以将其安装在一个系统中,”李说。“随着时间的推移,这将成为众多流程的一部分——进而成为众多系统的一部分,其中一些系统可能由第三方管理。”
这意味着组织需要从技术团队之外的领域获得输入和支持。“良好的AI治理要求组织将AI视为企业风险的一部分——而不是存在于单一孤岛或功能区域的东西,”李说。“你需要组建一个多学科团队,建立企业范围的治理结构和报告机制,记录关键决策,并向董事会提供透明度,就像对待你的网络安全计划一样。”
为了确保拥有适当的控制措施并向董事会成员、第三方合作伙伴等传达这种保证,医疗保健组织可以应用最近扩展以包括AI系统认证的HITRUST框架。HITRUST被认为是强大的信息安全和保护框架,创建了组织和利益相关者都可以理解和信任的标准。“该框架特别设计用于解决第三方风险问题,”李说。“如果你的下游供应商拥有HITRUST认证——也就是说,如果他们有一个独立评估员证明他们符合这一标准——这比定制审计更有意义,后者可能或可能不为产品或平台的消费者提供有意义的保证。”
HITRUST最近发布了HITRUST AI安全评估,以补充其框架和认证产品。然而,确定AI解决方案是否符合新标准——以及在哪里或如何需要控制——并不总是明确的。评估远不止是一个简单的复选框评价。
信任大于复选框
“AI技术并不是到处都一样的系统,”格兰特·桑顿战略保证和社会责任服务主管布拉德·巴雷特说,他同时也是格兰特·桑顿的全国HITRUST实践负责人。“为了应对AI技术的复杂性和当前的安全威胁,HITRUST框架提供了一些需要熟练应用的具体指导。”“HITRUST是规定性的,但不像其他安全标准那样教条,”李说。在应用或评估HITRUST框架时,了解其意图、更广泛的影响和组织内的其他依赖关系非常重要。“如果你简单地将HITRUST视为一个清单,很快就会将清单项与有意义的内部控制混淆。它们根本不是一回事,”李说。为了真正减轻风险并有效控制HITRUST框架中的项目,重要的是识别内部控制如何解决每个组织中的特定风险。“你需要展示这种联系,将离散的风险与实际的控制活动连接起来。这不是纯粹的数学练习,也不应该像巫术。涉及的艺术科学将控制映射到风险,使明智的业务决策能够确定每种风险的缓解措施是否可接受。”
为了了解风险及其对应的控制措施,评估师及其客户需要对组织的人、过程和技术有全面的理解。他们还需要就现有控制措施及其在组织内的实际运作方式进行对话。只有这样,才能有意义地将这些输入映射到HITRUST框架。首次进行HITRUST认证的组织可能会发现,许多所需的控制措施可以映射到现有的SOC 2报告或其他审计和评估。“你可能只需要相对较少的努力就可以获得初始认证,无论是e1还是i1报告,”布伦南说。“然后,你可以添加AI评估,为你的供应商或第三方提供有价值的保证。”
确保你有足够的知识和经验来指导你完成HITRUST认证,而不仅仅是表面级别的评估,这一点非常重要。
战略性保证
认识到HITRUST认证不仅仅是简单的评估,组织领导者应准备一条战略性保证路径。有许多最佳实践,也有许多需要避免的陷阱。巴雷特回忆起一个为HITRUST认证做准备并开始第一次评估的组织。“他们遇到了服务问题、质量问题,觉得事情比需要的更难。他们需要一个服务水平更高、业务知识更广、能从HITRUST获得更多答案的合作伙伴。”
另一个组织在一个领域获得了HITRUST认证,然后希望将其扩展到整个企业。“他们能够在整个组织中完全采用并获得全面的支持,因为他们终于找到了合适的合作伙伴——之前的合作伙伴无法做到这一点。”“评估师可以是合作伙伴,而不仅仅是最后时刻执行最低限度评估的人。” 巴雷特说。随着组织寻求更广泛的认证,他们甚至可以合并评估。“组织通常可以使用HITRUST框架将各种合规工作合并为一项。我们一直在寻找利用现有努力来满足多项评估的方法,”巴雷特说。“这可以减少审计负担,同时仍符合HITRUST标准,并保持最新版本的领先地位。这就是评估师可以成为合作伙伴的原因,而不仅仅是最后时刻执行最低限度评估的人。”
通过战略性地走向HITRUST AI认证,医疗保健组织可以应对AI风险,同时调整自己以扩大AI的采用并实现企业范围的可持续合规。
(全文结束)
