Проекты радиологического ИИ сложны и небезопасны, особенно с точки зрения угроз кибербезопасности, подчеркивают эксперты из Ирландии и США. Чтобы упростить процесс, они описали, как повысить безопасность за счет более эффективных методов обнаружения и предотвращения.

«Несмотря на то, что потенциал искусственного интеллекта для революционного изменения практики радиологии очевиден, важно осознавать потенциальное влияние расширения связей и внедрения технологий на конфиденциальность, целостность и доступность медицинских данных», — д-р Брендан Келли, специалист-регистратор. доктор радиологии и почетный клинический лектор Университетской больницы Святого Винсента в Дублине, и его коллеги отметили в статье, опубликованной European Radiology 7 июля.

Цель авторов состоит в том, чтобы представить введение в кибербезопасность радиологии и дать представление об общих и конкретных проблемах кибербезопасности в здравоохранении. «Поставщики медицинских услуг и производители устройств имеют преимущество в том, что могут черпать вдохновение из других секторов промышленности, которые лидируют в этой области», — заявляют они.

Уроки ирландской кибератаки

По словам первого автора Келли Конора Куинна, ведущего консультанта по реагированию на инциденты в Rapid7 в Дублине и научного сотрудника по кибербезопасности в Бостоне, кибератака 2021 года на Управление здравоохранения Ирландии (HSE) стала знаковым случаем не только в здравоохранении, но и во всем мире в сфере киберпреступности. Колледж, Массачусетс, США

«Не было случая, чтобы поставщик медицинских услуг в стране был отключен», — сказал он AuntMinnieEurope.com. «Международное внимание оказало давление на злоумышленника, так как внутри некоторых киберпреступных групп доступ к организациям здравоохранения закрыт. Злоумышленник (оператор/партнер программы-вымогателя — Conti) предоставил ключ дешифрования выкупленных данных/систем, что ускорило восстановление, но это не решило всех проблем. Потребовались месяцы, чтобы полностью понять масштаб и вернуться к нормальной работе».

Если к кибербезопасности не относиться серьезно, это может повлиять на результаты лечения пациентов, продолжил Куинн. «Каждая больница должна иметь надежную программу кибербезопасности, чтобы обеспечить внедрение и мониторинг защиты. Это не только обязанность ИТ-специалистов; врачи и персонал в отрасли здравоохранения должны быть осведомлены о кибербезопасности, чтобы принимать правильные решения. “

Из-за кибератаки в Вышке Келли не имел доступа к своим исследовательским данным более 16 недель. «Я хотел продуктивно использовать это время и через свою сеть Фулбрайта имел доступ к Конору и его научному руководителю Джиму Барреллу», — отметил он. «Я понял, что использование радиологии и искусственного интеллекта увеличивает потенциальную «поверхность атаки» для будущих атак, и хотел сделать все возможное, чтобы обеспечить безопасность моих собственных данных».

В этот период Келли обнаружил множество процессов, которые, по его мнению, могли бы принести пользу более широкому сообществу, и решил поделиться ими в журнальной статье.

Различные типы соглашений

Когда европейские больницы внедряют ИИ, они обычно заключают различные контракты и соглашения, чтобы обеспечить соблюдение правовых и этических стандартов, сказал AuntMinnieEurope.com профессор Эрик Раншарт, доктор медицинских наук, бывший президент Европейского общества информатики медицинской визуализации (EuSoMII). Он сказал, что конкретные контракты и соглашения могут различаться в зависимости от юрисдикции и характера ИИ, но вот некоторые общие типы:

• Соглашения об уровне обслуживания (SLA): в SLA описываются показатели производительности, обязанности и ожидания между больницей и поставщиком ИИ. Они определяют такие факторы, как время безотказной работы системы, время отклика и качество обслуживания.
• Соглашения об обработке данных (DPA): DPA имеют решающее значение, когда ИИ включает обработку персональных данных. Они определяют роли и обязанности больницы как контроллера данных и поставщика ИИ как обработчика данных. DPA обеспечивают соблюдение Общего регламента по защите данных (GDPR) и регулируют обязательства по защите данных, безопасности и конфиденциальности.
• Лицензионные соглашения на программное обеспечение. В этих соглашениях описываются положения и условия использования программного обеспечения ИИ. Они определяют объем лицензии, права интеллектуальной собственности, ограничения на использование и любые ограничения или обязательства, связанные с изменением или распространением программного обеспечения.
• Соглашения о конфиденциальности и неразглашении (NDA): NDA защищают конфиденциальную информацию, которой обмениваются больница и поставщик ИИ. Они предотвращают несанкционированное раскрытие или использование конфиденциальных данных, проприетарных алгоритмов, коммерческой тайны или любой другой конфиденциальной информации.
• Соглашения о сотрудничестве в области исследований (RCA): в случаях, когда больницы сотрудничают с научно-исследовательскими учреждениями или университетами, условия RCA устанавливаются.
• Оценка воздействия на защиту данных (DPIA): DPIA составляет перечень потенциальных рисков при обработке данных пациентов (см. веб-сайт Европейской комиссии ). Это не то же самое, что DPA.

В соответствии с GDPR в каждой больнице должен быть назначен сотрудник по защите данных (DPO), который будет решать все вопросы, связанные с безопасностью и передачей данных. Еще одним соображением является ценность псевдонимизации по сравнению с анонимизацией при деидентификации данных (см. статью юриста по интеллектуальной собственности, ИТ и защите данных Магали Фейс от 8 мая 2023 г. на LinkedIn ).

«Можно также многое сказать о типе поставщика, с которым можно заключить договор», — отметил Раншарт, приглашенный профессор Гентского университета в Бельгии. «Самый безопасный метод работы — использовать единую платформу, предлагающую различные решения, чтобы можно было избежать пяти или 10 различных контрактов и процедур, когда необходимо внедрить пять или более решений ИИ».

В целом, хорошо организованный подход к управлению безопасностью и политике имеет решающее значение перед внедрением любых решений на основе ИИ, сказал он.

Федеративное обучение

Глядя в будущее, Келли считает важной областью федеративное обучение, которое позволяет разрабатывать модели, обучаемые локально в больницах, вместо сбора данных из разных учреждений и централизованного хранения данных. Это означает, что конфиденциальные данные могут оставаться у контроллера данных, что позволяет избежать связанных с этим юридических сложностей и проблем с безопасностью при передаче данных между учреждениями, пояснил он.

Келли, научный сотрудник ICAT HRB/Wellcome Trust и кандидат наук в Insight Center for Data Analytics в Университетском колледже Дублина, в настоящее время вместе с коллегами из Стэнфордского университета в Калифорнии участвует в федеративном проекте по кибербезопасности. “Так, следите за этим пространством!” — прокомментировал он.

Помимо проекта федеративного обучения, он работает над перспективным включением этих соображений в свои исследования. В другой недавней статье безопасность была названа ключевой проблемой пациентов , и он сказал, что ставит ее «в центр внимания в будущем».

Источник