Najlepsze praktyki zarządzania ryzykiem danych w opiece zdrowotnej

Dlaczego zarządzanie ryzykiem danych ma kluczowe znaczenie w opiece zdrowotnej opartej na sztucznej inteligencji

Organizacje zajmujące się opieką zdrowotną, które pracują nad wykorzystaniem narzędzi sztucznej inteligencji i analiz predykcyjnych, często rozszerzają wykorzystanie rozwiązań chmurowych, dostępu zdalnego i usług cyfrowych, co utrudnia zabezpieczanie danych pacjentów.

„Sztuczna inteligencja nie może działać efektywnie bez dostępu do wiarygodnych, wysokiej jakości zbiorów danych” – mówi Shannon Murphy, starszy menedżer ds. globalnego bezpieczeństwa i strategii ryzyka w Trend Micro . „Ale im więcej danych jej dostarczysz, tym większą powierzchnię stworzysz dla ryzyka”.

Ostrzega, że strategie zarządzania ryzykiem muszą ewoluować zgodnie z tymi ambicjami, ponieważ sztuczna inteligencja z każdym nowym narzędziem lub punktem końcowym stwarza nowe możliwości ekspozycji.

Henry Vernov, główny menedżer ds. produktów dla sektora ochrony zdrowia w firmie Citrix , podkreśla pilną potrzebę ograniczenia punktów narażenia, zwłaszcza w środowiskach, w których lekarze i personel uzyskują dostęp do wrażliwych systemów z wielu urządzeń lub lokalizacji.

„Kiedy dane pacjentów przemieszczają się między urządzeniami, aplikacjami i chmurami, każdy krok wiąże się z ryzykiem, jeśli nie zostaną zabezpieczone na poziomie obszaru roboczego” – mówi.

Dla organizacji opieki zdrowotnej wdrażających sztuczną inteligencję w wielu procesach klinicznych , integralność i ochrona wymiany danych ma kluczowe znaczenie.

CZYTAJ WIĘCEJ: Wykorzystaj dane i sztuczną inteligencję, aby poprawić wyniki opieki zdrowotnej.

Wyzwania związane z danymi stojące przed organizacjami opieki zdrowotnej

Organizacje opieki zdrowotnej stoją przed czterema głównymi wyzwaniami związanymi z danymi, mówi Nicholas Jackson, dyrektor ds. usług cyberbezpieczeństwa w Bitdefender . Należą do nich: rozdrobnione systemy starszej generacji, realia operacyjne generujące nietypowe ryzyko, wysoce wrażliwe dane oraz duże obciążenia związane z przestrzeganiem przepisów.

„Środowiska opieki zdrowotnej opierają się na połączeniu przestarzałej infrastruktury i nowszych narzędzi od różnych dostawców” – mówi. Systemy te często nie komunikują się ze sobą, co prowadzi do powstawania silosów danych i niespójnych standardów, które utrudniają integrację i zarządzanie.

Jackson zauważa, że w tak krytycznym miejscu jak sala operacyjna, często niepraktyczne jest dla każdego lekarza logowanie się na osobiste konto w trakcie zabiegu.

„Dostęp współdzielony lub ogólny jest czasami wykorzystywany z konieczności, co zwiększa ryzyko naruszenia integralności danych, zagrożeń wewnętrznych i odpowiedzialności” – dodaje.

Tymczasem ustawa HIPAA, ogólne rozporządzenie o ochronie danych i inne przepisy wymagają ścisłej kontroli danych dotyczących zdrowia.

„Spójne stosowanie tych zasad w rozproszonych systemach w środowiskach lokalnych i chmurowych, przy zróżnicowanych praktykach użytkowników, stanowi poważne, ciągłe wyzwanie” – mówi Jackson.

Adam Winston, dyrektor techniczny WatchGuard , uważa, że zasady regulujące korzystanie z aplikacji AI muszą zostać wdrożone wewnętrznie w organizacjach.

„Użytkownicy końcowi nie powinni używać narzędzi ogólnego przeznaczenia do przetwarzania ani przesyłania chronionych informacji o stanie zdrowia ani własności intelektualnej. Zamiast tego należy szukać produktów zaprojektowanych specjalnie do tego celu, zgodnych z zasadami HIPAA lub przeznaczonych do automatyzacji niektórych z tych zadań” – mówi.

Jackson twierdzi, że organizacje powinny zacząć od klasyfikowania i mapowania swoich danych: „Jeśli nie wiesz, co masz i gdzie to się znajduje, działasz w ciemno”.

„Następnie należy od samego początku, a nie dopiero na końcu, wdrażać w systemach rozwiązania zapewniające prywatność i bezpieczeństwo — takie jak ochrona punktów końcowych oraz rozszerzone funkcje wykrywania i reagowania ” — mówi.

Regularna ocena ryzyka, solidna kontrola dostępu , szyfrowanie i ciągłe szkolenie personelu (nie raz w roku) powinny być standardową praktyką.

„Nie są one opcjonalne. Należy je uznać za obowiązkowe w celu ochrony poufnych danych medycznych i stanowią kluczowe elementy zarządzania bezpieczeństwem” – mówi Jackson.

POWIĄZANE: Co liderzy IT w służbie zdrowia muszą wiedzieć o zarządzaniu ryzykiem stron trzecich.

Dostosowanie zarządzania ryzykiem do innowacji i zgodności

Z perspektywy Murphy'ego korzyści płynące z pomysłowości sztucznej inteligencji i jej wdrażania w branży opieki zdrowotnej wydają się przewyższać ryzyko.

„Jestem niezwykle zadowolona z innowacji, jakie zachodzą w moim segmencie klientów z branży opieki zdrowotnej, w tym w szpitalach badawczych i szpitalach uniwersyteckich” – mówi. „Te instytucje nie lekceważą swoich działań, ale są niezwykle agresywne”.

Z operacyjnego punktu widzenia, a także biorąc pod uwagę cyberbezpieczeństwo, zarządzanie bezpieczeństwem danych w całym cyklu ich życia przynosi podwójne korzyści: mniejsze ryzyko naruszeń i płynniejsze korzystanie ze sztucznej inteligencji.

„Zarządzanie ryzykiem to strategia proaktywna, a proaktywność pozwala nam być na bieżąco z najnowszymi trendami” – mówi Murphy. „To strategia filozoficzna, która może rozszerzyć się na działania w zakresie bezpieczeństwa i zgodności z przepisami, a nie na działania innowacyjne”.

W ten sposób, jak twierdzi, bezpieczeństwo jest ogromnym czynnikiem wspomagającym innowacje, pozwalającym organizacjom działać szybko i bezpiecznie, przy mniejszym zadłużeniu technicznym.

Jackson dodaje, że gdy ramy zarządzania ryzykiem zostaną zintegrowane na wczesnym etapie fazy projektowania i rozwoju, wspierają one szybszą i bezpieczniejszą innowację.

„Zgodność staje się naturalnym rezultatem, a nie gorączkowym działaniem w ostatniej chwili, co zmniejsza długoterminowe problemy i wyzwania” – mówi. „Celem zawsze powinno być zapewnienie bezpieczeństwa, zarządzania ryzykiem i zgodności, które będą ze sobą płynnie współdziałać, a nie działać jako oddzielne operacje”.