Nova analiza iz Netskope Threat Labs otkriva zabrinjavajući trend: sve veći broj zaposlenih u zdravstvu neovlašćeno prenosi osjetljive i zakonski zaštićene podatke na alate zasnovane na generativnoj vještačkoj inteligenciji (GenAI), kao što su ChatGPT i Gemini, kao i na lične cloud servise poput Google Drive-a i OneDrive-a.
Ključni nalazi iz sektora zdravstva
- 81% svih kršenja pravila o obradi podataka u zdravstvenim organizacijama uključuje regulisane zdravstvene podatke (npr. medicinske kartone i kliničke zapise).
- Ostalih 19% kršenja uključuje lozinke, enkripcijske ključeve, izvorni kod i intelektualnu svojinu.
- 88% zdravstvenih organizacija koristi GenAI alate, a 44% kršenja podataka povezanih s GenAI uključuje regulisane podatke o pacijentima.
- 96% organizacija koristi GenAI alate koji mogu koristiti podatke za treniranje modela.
- Više od 2/3 zaposlenih koristi lične GenAI naloge za radne zadatke, izvan kontrole IT sektora.
Regulativa i rizici
Prema GDPR-u, kazne za ovakva curenja mogu iznositi do 20 miliona eura, dok HIPAA u SAD predviđa do 1.5 miliona dolara po prekršaju.
Pored finansijskih sankcija, curenja ovakvog tipa narušavaju povjerenje pacijenata, otežavaju saradnju sa partnerima i izlažu organizaciju pravnim problemima i reputacionom gubitku.
Šta zdravstvene instituti mogu da preduzmu?
1. Centralizovana GenAI rješenja
- Organizaciono odobrene GenAI aplikacije omogućavaju sigurnu upotrebu i veću vidljivost.
- Upotreba ličnih naloga opada – sa 87% na 71% – kako sve više organizacija nameće centralizovana rješenja.
2. DLP politike (Data Loss Prevention)
- Praćenje i kontrola prenosa podataka ka GenAI alatima postaje standard.
- Broj organizacija koje primjenjuju DLP za GenAI porastao je sa 31% na 54% u posljednjih godinu dana.
3. Real-time coaching za korisnike
- Sistemi koji upozoravaju korisnike u realnom vremenu kada pokušavaju da prenesu rizične informacije (npr. podatke o pacijentima u ChatGPT).
- 73% zaposlenih odustaje kada ih sistem upozori na rizičnu radnju.
Zaključak
Kako GenAI alati postaju sve prisutniji u kliničkom i administrativnom radu, zdravstvene organizacije moraju da usklade inovaciju sa bezbjednošću. Implementacija DLP politika, kontrola pristupa i edukacija zaposlenih su ključni elementi u zaštiti integriteta podataka i poštovanju regulativa poput GDPR i HIPAA.
Želite li da pripremim šablon politike upotrebe GenAI u zdravstvenim ustanovama koji biste mogli prilagoditi vašoj organizaciji?
Izvor:Help Net Security
