医疗保健行业已经全心全意地拥抱了人工智能(AI),使用AI带来的好处令人兴奋。然而,对于医疗保健专业人士和商业领袖来说,重要的是要了解存在成千上万种AI工具,其中一些是好的,而另一些则存在漏洞和不准确性。
AI可以以多种方式支持更好的医疗保健,特别是生成式AI(GenAI)工具和应用程序的使用正在不断增加。事实上,美国国立卫生研究院的研究发现,各种类型的医疗保健专业人士都在广泛使用GenAI工具,用于所有类型的治疗、支付和运营活动。
为了对广泛的医疗保健活动有益,例如检测健康威胁和未经授权访问患者数据,GenAI必须准确、安全并保护隐私。如果不这样做,可能会造成更多的伤害而不是好处。在选择AI工具之前,确保其经过彻底验证以确保准确性和保护隐私非常重要。所有医疗保健组织还需要了解,GenAI也可以被网络犯罪分子用来损害医疗保健组织,并采取措施减轻此类风险。
1. 使用GenAI检测健康威胁
经过验证的准确的GenAI工具在评估大量患者数据库中的模式以识别可能代表各种健康威胁的异常情况时特别有效。例如,利用患者依赖的医疗设备中的威胁可能会改变药物剂量、生命维持操作的设置,甚至关闭支持生命的设备。准确的GenAI工具可以以多种方式识别这些威胁,然后阻止它们干扰基于数字的医疗保健治疗和连接到生命支持设备。具体例子包括:
- 入侵和数据泄露检测与预防:GenAI工具被用于入侵检测系统(IDS)、入侵防御系统(IPS)以及PHI泄露检测和预防,以识别网络流量和数据流中的异常模式,以及识别网络中可能表明入侵的具体类型的数据。
- 数据加密和隐私保护:基于GenAI的加密系统正处于早期使用阶段,用于多种目的。例如,使用这种加密来确保患者数据在实时风险评估表明网络入侵者可能针对PHI时进行加密。
- 检测数据访问模式异常:GenAI用于监控和分析患者健康数据库中的访问类型和访问模式,当检测到异常活动时发送警报。
2. 使用GenAI检测未经授权访问患者数据
除了上述好处外,准确的GenAI工具还可以用于识别和防止可能导致各种欺诈行为的活动,包括:
- 未经授权访问受保护的健康信息(PHI)
- 意外/不寻常的PHI使用
- 尝试泄露PHI和其他敏感数据,如医疗知识产权(IP)
- 由于泄露IT规范、管理设置等导致的网络安全事件
- 创建额外的攻击向量,允许黑客进入医疗保健组织的数字生态系统
- 泄露网络和系统参数、访问点等
- 被盗未发布的产品和治疗方法、定价计划等的商业损失
- 违反安全和隐私法律要求
这些行动可以帮助防止医疗身份欺诈、知识产权侵犯、不符合法律要求以及对相关个人和医疗保健组织的各种其他危害。
3. 使用GenAI损害医疗活动
不良行为者喜欢医疗数据,并利用这些数据进行比仅使用基本的、更广泛收集的个人数据所能实现的更广泛的犯罪活动。不良行为者还可以以更高的价格出售这些数据。GenAI为这些喜欢医疗数据的不良行为者提供了另一种他们几乎同样喜爱的工具。
医疗保健领导者以及网络安全和隐私专业人士需要了解这些功能如何影响其相关医疗保健数字生态系统的安全性和完整性。医疗保健业务伙伴(BAs)也需要跟上AI驱动的威胁和支持工具,并避免在其受托的CEs数据中使用这些工具。
GenAI工具被这些喜欢医疗数据的不良行为者用于通过新的、更有效的社会工程(钓鱼)策略来欺骗受害者。例如:
- AI工具可以非常逼真地模仿医疗保健领导者的图像和声音,例如医院CEO和医疗主任,以冒充医院CEO指示员工将所有患者数据发送到特定地址、网站、传真号码等,给出一个听起来合理的理由(例如,与其他医院系统的合并),实际上这是一个犯罪分子、竞争对手或其他类型的威胁者。
- 不良行为者使用GenAI找到组织网络中的开放数字窗口和未锁定的数字门,并且可以从世界另一端做到这一点。GenAI现在使得骗子更容易找到比以往更多的此类漏洞,之后他们可以轻松利用这些漏洞加载勒索软件、窃取患者健康数据库、向医疗设备注入恶意软件以在手术期间引起故障等。
- AI工具可以被不良行为者用于造成各种危害。例如,更改患者健康数据可能导致相关患者的物理伤害,创建被误认为有效医疗软件的应用程序和网站,然后进行无限范围的有害活动。
4. 审慎、风险意识的使用GenAI可以改善威胁检测和欺诈缓解
最终,每个医疗保健组织都必须为其组织内的AI使用建立涵盖风险和收益的规则和政策,提供GenAI问题培训,并将AI工具和使用纳入其风险管理计划范围。安全领导者在确保采取这些措施方面发挥着关键作用。
最后警告:始终测试任何声称提供好处的AI工具,以确保其提供准确的结果,不会负面影响相关网络的性能,不会因暴露或不当共享PHI而使PHI处于风险之中,也不会违反组织对患者数据的法律要求。
(全文结束)
