البودكاست: العب في نافذة جديدة | تحميل (المدة: 1:00:50 — 55.7 ميجابايت)
الاشتراك: أبل بودكاست | سبوتيفي
يشرح أربعة قادة في مجال أمن أنظمة الرعاية الصحية سبب وجوب أن تأتي الرؤية في الظل والذكاء الاصطناعي الذي يقدمه البائع على شبكاتهم قبل أي محاولة للسيطرة عليها. شاهد أدناه أو على يوتيوب.
قبل أن يتمكن نظام الرعاية الصحية من التحكم في الذكاء الاصطناعي، يجب عليه أن ينظر إلى المكان الذي يعيش فيه الذكاء الاصطناعي بالفعل. ومع ذلك، في الوقت الحالي، لا تستطيع معظم فرق الأمن القيام بذلك. كانت تلك النقطة العمياء موضوع المحادثة عندما اجتمع أربعة من قادة الأمن خلال ندوة عبر الإنترنت حديثة لكبار مسؤولي تكنولوجيا المعلومات حول أنظمة الرعاية الصحية. الموضوع: كيف يمكن للأطباء أن يشاركوا دون أن يفقدوا السيطرة على البيانات التي يتعاملون معها.
أناهي سانتياغو، رئيس أمن المعلومات في كريستيانازورجذكر الوادي لأول مرة. منذ سنوات مضت، أنشأ فريقها عملية حوكمة تضع كل تقنية مدعومة بالذكاء الاصطناعي من خلال تقييم المخاطر. ويشمل المخاطر السريرية والمالية والتنظيمية والسلامة. وفي الوقت نفسه، تكمن المشكلة الأكثر صعوبة في الموردين الموجودين بالفعل في الشبكة. لم يستخدم الكثير منهم الذكاء الاصطناعي مطلقًا عندما تم توقيع عقودهم. ونتيجة لذلك، لم تتضمن هذه العقود بندًا يتطلب إشعارًا عند وصول وظيفة الذكاء الاصطناعي إلى الترقية.
يقول سانتياغو: “قد تكون هناك مجموعة كاملة من وظائف الذكاء الاصطناعي التي تعمل على شبكتنا ولا نعرف عنها شيئًا”. “قبل أن أبدأ بالقلق بشأن الوكلاء والأشياء الأخرى، أحتاج حقًا إلى البدء بالأساسيات: معرفة ما يتم تشغيله على شبكتنا حتى نعرف كيفية إدارته.”
كريستا أرندت، مساعد كبير مسؤولي أمن المعلومات في شبكة الصحة بجامعة سانت لوقاضع الرعاية في مصطلحات الهوية. وأشارت إلى أن الذكاء الاصطناعي هو في الأساس هوية، وهو رمز تحكمه نماذج اللغة التي هي في حد ذاتها رمز أكثر. لذلك كانت الخطوة الأولى هي رؤية تلك الهويات. لقد كانت تكنولوجيا معلومات الظل مشكلة دائمًا، ولا يؤدي الذكاء الاصطناعي إلا إلى تفاقم هذه المشكلة. أنطونيو ديفيس، مدير أمن المعلومات ورئيس أمن المعلومات في نظام الرعاية الصحية في شمال شرق جورجيايعاني من نفس النمط. قامت منظمته بتوحيد Microsoft Copilot كمعيار الذكاء الاصطناعي التوليدي. ومع ذلك، هناك عدد من التطبيقات التوليدية الأخرى قيد التشغيل في المنطقة، ويكون المسؤول عنها جميعًا هو اهتمامه الرئيسي.
روبرت بتلر، مدير أمن المعلومات في نتسكوبوضع السؤال حول ملكية البيانات. تتدفق المعلومات داخل وخارج أداة الذكاء الاصطناعي. وقال إن السؤال المفتوح هو ما إذا كانت المنظمة لا تزال مسيطرة، وأين يقع مجلس الإدارة المعني بذلك.
من السياسة إلى الموافقة
واتفقت اللجنة على أن السياسة الرسمية لها أهمية قصوى. ثم تأتي بعد ذلك الضوابط الفنية التي تعطي السياسة أسنانها. ومع ذلك فقد نظمت كل منظمة أنشطتها بشكل مختلف. تعامل أرندت أولاً مع الضوابط الإدارية والفنية والمادية التقليدية. عندها فقط قامت بتنفيذ الضوابط الخاصة بالذكاء الاصطناعي، بما في ذلك منع فقدان البيانات الدلالية التي لا يمكن لـ DLP التقليدية تكرارها. بدأت الأطر الوطنية الرسمية في الظهور الآن فقط. وبالتالي، اعتمد فريقها على المبادئ التوجيهية الحالية مع الحفاظ على معيار مقيد، وحظر معظم الأدوات ووافق عليها بشكل مجزأ مع نضج الضوابط.
تبنى سانتياغو موقفا أكثر انفتاحا. يراقب فريقها الاستخدام من خلال وسيط أمان الوصول إلى السحابة وبوابة أمان الويب. ومن هناك، يحدد حالات الاستخدام التي تستحق الانتقال إلى الأنظمة الأساسية للمؤسسات ويربطها بمنع فقدان البيانات عندما يصبح السلوك محفوفًا بالمخاطر. قم بزيارة أحد مواقع الذكاء الاصطناعي وستظهر لك نافذة تعرض السياسة للتأكيد. ومع ذلك، حاول إضافة بيانات حساسة إليه، وستقوم سياسة الوصول المشروط بحظر الإجراء ثم إعادة توجيه المستخدم إلى فريق الأمان. في الواقع، ما تكشفه هذه المراقبة نادرًا ما يكون خبثًا.
وقال سانتياغو: “لم يعلموا أن بإمكانهم استخدام برنامج Copilot. ولم يعلموا أنه بعد المرة التاسعة التي حاولوا فيها تحميل المعلومات الصحية المحمية إلى أداة، في المرة العاشرة لن ينجح الأمر”. وأضافت أن الدعوة التربوية التي تتبع الحصار هي التي توجه الناس إلى الخيارات المحظورة.
جمع ديفيس بين السياسة والإصلاح الشامل للحكم. لقد أعاد تشكيل لجان لتقييم الذكاء الاصطناعي من خلال العدسات المعمارية والأمنية والخصوصية وإدارة البيانات. كما دعا فريقه المستخدمين إلى الإبلاغ عن تطبيقات الذكاء الاصطناعي التي يستخدمونها بالفعل وسبب ذلك. وبشكل ملموس، أكد هذا الاكتشاف ذلك. وكشف هذا البحث عن أداة غير معتمدة تنقل البيانات خارج البيئة، مما يزيد من التركيز على خروقات البيانات باعتبارها أكبر المخاطر التقنية.
مساءلة الموردين
أثبت جانب البائع أنه أكثر صعوبة، حيث يمكن للترقية تقديم الذكاء الاصطناعي دون وجود مشغل يشير إليه للمراجعة. يقوم فريق Arndt بتصنيف الموردين من المستوى 0 إلى المستوى 4 ويركز التحكم على الأكثر أهمية. بالنسبة لهم، فإنه يضيف أسئلة الذكاء الاصطناعي إلى التقييمات السنوية ويغير العقود لكبار شركاء التصميم. تسمح علاقات المستوى 0 بإجراء محادثات مستمرة بدلاً من إيقاع مرة واحدة في العام، وهو نظام ربطته بالتخطيط للمرونة. الاختبار الذي تطبقه: أي مقدمي الخدمة يجب أن يحافظوا على عمل نظام الرعاية الصحية لمدة 120 يومًا.
سانتياغو يسد الفجوة تعاقديا. وتتطلب اتفاقياتها الآن من الموردين إطلاق وظائف جديدة للذكاء الاصطناعي، بالإضافة إلى قائمة المواد الخاصة بالتكنولوجيا. كما أنها تحظر استخدام البيانات التنظيمية لتدريب نماذج البائعين وتفويض دورة حياة آمنة لتطوير الذكاء الاصطناعي. وفي الوقت نفسه، يمكن لأداة الرؤية التعامل مع نطاق لا يمكن للتقييم اليدوي لكل مورد تحقيقه عبر آلاف التطبيقات. أضاف ديفيس طبقة ثالثة. يجري فريقه دراسات خارجية، ومراقبة مستمرة، ودراسة معمارية تدرس كيفية قيام البائع بتطوير وتدريب واختبار الذكاء الاصطناعي الخاص به، بما في ذلك تقييم التحيز.
بالنسبة إلى بتلر، ظلت الإجابة تعود إلى الرؤية والتنسيق. تدفع Netskope أدوات الذكاء الاصطناعي الجديدة إلى مجلس إدارة داخلي. وفي المقابل، تقوم هذه اللوحة بسحب لوحات معلومات النظام الأساسي لرؤية الاستخدام الفعلي وتوجيه قاعدة المستخدمين وفقًا لذلك.
مدرب، لا تمنع
رفضت اللجنة رد الفعل القديم المتمثل في قول لا ببساطة. واتفقوا على أن الإباحة لا تنجح إلا إذا جعلت رؤيتها خيارا وليس نقطة عمياء. وقد نسبت سانتياجو الفضل إلى الثقافة ومدة عملها البالغة 11 عامًا في السماح لها بتوسيع برنامج مخاطر الطرف الثالث الناضج ليشمل لجنة حوكمة الذكاء الاصطناعي. ويشمل الخصوصية والامتثال والمعلوماتية القانونية والسريرية والتمويل. وحذر أرندت من أنه بدون الحوكمة والمراقبة والرؤية، سرعان ما يصبح الإباحة متراخية. ولمقاومة ذلك، أشارت إلى نموذج أمني متعدد الطبقات يسمح للشركة بالبقاء رشيقة بثقة. لقد قام ديفيس على وجه الخصوص بإعادة صياغة دور فريق الأمن بشكل كامل.
وقال: “لا نريد أن نكون وزارة الرفض. نريد أن نكون الوزارة التي تتيح لك معرفة القيمة المرتبطة بالذكاء الاصطناعي”.
خذها بعيدا
- ابدأ بالرؤية. لا يمكنك التحكم في الذكاء الاصطناعي الذي لا تراه أو تأمينه، سواء أكان ذلك من خلال أدوات الظل أو من خلال ترقيات البائعين.
- اكتب السياسة أولاً، ثم أضف الضوابط الفنية التي تنفذها.
- فكر في الكتل على أنها لحظات تدريب. يحاول معظم المستخدمين فقط القيام بعملهم.
- أضف لغة العقد التي تتطلب من الموردين إطلاق ذكاء اصطناعي جديد، وتستبعد استخدام بياناتك للتدريب النموذجي، وتفرض دورة حياة تطوير آمنة.
- قم بفرز الموردين حسب تأثير الأعمال وإجراء محادثات مستمرة مع الموردين الأكثر أهمية.
- قم برفع مستوى فريق الأمان من خلال التحديات والمسابقات الممتعة التي تبني الثقافة كما يلي.
عاد أعضاء اللجنة إلى نقطة البداية نفسها مرارًا وتكرارًا، وتم التقاطها في سطر واحد من سانتياغو. وقالت: “لا يمكننا حماية ما لا نعرفه”.
