Лучшие практики управления рисками данных в здравоохранении

Почему управление рисками данных имеет решающее значение в здравоохранении с использованием ИИ

Медицинские организации, работающие над использованием инструментов искусственного интеллекта и предиктивной аналитики, часто расширяют использование облачных сервисов, удаленного доступа и цифровых услуг, что усложняет задачу защиты данных пациентов.

«ИИ не может эффективно функционировать без доступа к надёжным, высококачественным наборам данных», — говорит Шеннон Мёрфи, старший менеджер по глобальной безопасности и стратегии управления рисками в Trend Micro . «Но чем больше данных вы ему предоставляете, тем больше пространства для риска создаётся».

Она предупреждает, что стратегии управления рисками должны развиваться в ногу с этими амбициями, поскольку ИИ создает больше возможностей для воздействия с каждым новым инструментом или конечной точкой.

Генри Вернов, главный менеджер по продуктам для здравоохранения в Citrix , подчеркивает неотложную необходимость сокращения точек воздействия, особенно в средах, где врачи и персонал получают доступ к конфиденциальным системам с нескольких устройств или из нескольких мест.

«Когда данные пациентов перемещаются между устройствами, приложениями и облаками, каждый шаг создает риск, если они не защищены на уровне рабочего пространства», — говорит он.

Для организаций здравоохранения , внедряющих ИИ в различные клинические рабочие процессы , целостность и защита этих обменов данными имеют первостепенное значение.

ЧИТАЙТЕ ТАКЖЕ: Используйте данные и ИИ для улучшения результатов здравоохранения.

Проблемы с данными, с которыми сталкиваются организации здравоохранения

По словам Николаса Джексона, директора по кибербезопасности в Bitdefender , медицинские организации сталкиваются с четырьмя основными проблемами, связанными с данными. К ним относятся фрагментированность устаревших систем, операционные реалии, порождающие необычные риски, высокая степень конфиденциальности данных и серьёзная нагрузка по обеспечению соответствия требованиям.

«Среды здравоохранения построены на сочетании устаревшей инфраструктуры и новых инструментов от разных поставщиков», — говорит он. Эти системы часто плохо взаимодействуют друг с другом, создавая разрозненность данных и несогласованность стандартов, что затрудняет интеграцию и управление.

Джексон отмечает, что в таком критическом месте, как операционная, часто нецелесообразно, чтобы каждый врач входил в личные учетные записи во время процедуры.

«Совместный или общий доступ иногда используется по необходимости, что повышает риски, связанные с целостностью данных, внутренними угрозами и подотчетностью», — говорит он.

Между тем, HIPAA, Общий регламент по защите данных и другие предписания требуют строгого контроля за данными о состоянии здоровья.

«Последовательное применение этих мер во фрагментированных системах в локальных и облачных средах, а также с учетом различных практик пользователей, является важной текущей задачей», — говорит Джексон.

Адам Уинстон, технический директор WatchGuard , говорит, что политики, регулирующие использование приложений ИИ, должны внедряться внутри организаций.

«Универсальные инструменты, используемые конечными пользователями, не должны использоваться для обработки или загрузки защищенной медицинской информации или интеллектуальной собственности. Вместо этого ищите специализированные продукты, которые соответствуют правилам HIPAA или предназначены для автоматизации некоторых из этих задач», — говорит он.

Джексон говорит, что организациям следует начать с классификации и картирования своих данных: «Если вы не знаете, что у вас есть или где это находится, вы действуете вслепую».

«Поэтому с самого начала, а не потом, включайте в свои системы функции обеспечения конфиденциальности и безопасности, такие как защита конечных точек и расширенное обнаружение и реагирование », — говорит он.

Регулярные оценки рисков, строгий контроль доступа , шифрование и постоянное обучение персонала (не один раз в год) должны стать стандартной практикой.

«Это не опционально; их следует считать обязательными для защиты конфиденциальных медицинских данных и ключевыми элементами управления безопасностью», — говорит Джексон.

ПОДРОБНЕЕ: Вот что нужно знать руководителям ИТ-отделов здравоохранения об управлении сторонними рисками.

Согласование управления рисками с инновациями и соблюдением нормативных требований

С точки зрения Мерфи, преимущества изобретательности и внедрения искусственного интеллекта в сфере здравоохранения, по-видимому, перевешивают риски.

«Меня чрезвычайно воодушевляют инновации, происходящие в моём сегменте клиентов в сфере здравоохранения, включая исследовательские больницы и больницы при университетах», — говорит она. «Эти учреждения не относятся легкомысленно к их внедрению, но действуют невероятно агрессивно».

С точки зрения эксплуатации и кибербезопасности, управление состоянием безопасности данных на протяжении всего жизненного цикла обеспечивает двойной положительный результат: снижение вероятности нарушений и более плавную работу ИИ.

«Управление рисками — это проактивная стратегия, а проактивность позволяет оставаться на переднем крае, — говорит Мерфи. — Это философская стратегия, которая может быть применена к вашей практике обеспечения безопасности и соответствия требованиям, начиная с вашей практики инноваций».

Таким образом, по ее словам, безопасность является мощным фактором, способствующим инновациям, позволяя организациям действовать быстро и безопасно, с меньшим техническим долгом.

Джексон добавляет, что когда структуры риска интегрируются на ранних этапах проектирования и разработки, они поддерживают более быстрые и безопасные инновации.

«Соблюдение требований становится естественным результатом, а не авралом в последнюю минуту, что снижает долгосрочные проблемы и трудности», — говорит он. «Цель всегда должна заключаться в том, чтобы безопасность, управление рисками и соблюдение требований работали слаженно, а не раздельно».