HIMSS调查报告：警惕涉及人工智能的内部网络安全威胁

几乎三分之一的医疗机构允许其员工在没有正式限制的情况下使用人工智能。一半的机构允许在管理层批准后使用AI。只有16%的机构完全禁止AI。

这些发现来自医疗信息和管理系统协会（HIMSS）进行的一项新调查。该项目不仅关注AI，还旨在揭示整个医疗领域的网络安全状况。然而，AI在报告中占据了相当大的篇幅。

该调查收到了273名医疗网络安全专业人士的代表性回复，其中50%为医疗服务提供者，18%为供应商，13%为咨询公司，8%为政府实体，11%为其他组织。

受访者从C级领导（50%）到非执行管理层（37%）再到非管理层（13%）不等。他们的共同点是都负责日常的网络安全运营或活动。

以下是报告中关于AI部分的重点内容。

AI的应用场景

37%的受访者表示他们使用AI进行技术支持和数据分析，35%用于临床服务（如诊断），34%用于网络安全和行政任务。HIMSS评论道：

“随着AI变得更加普遍，未来预计将出现更多AI技术的应用场景。”

AI的监管措施

近一半的受访者（47%）表示他们的组织有审批流程，42%表示没有，另有11%不确定其组织内是否存在此类流程。作者评论道：

“审批流程作为一种主动的监管手段，通过在采用前审查AI技术，减少未经授权或不当使用的可能性。同时，监测AI使用情况则是一种反应性的监管手段，通过持续监督AI活动来识别和解决潜在的滥用、合规问题或安全风险。”

对AI的主动监控

31%的受访者表示他们的组织正在跨系统和设备积极监控AI使用情况，52%表示没有这样做，17%表示不知道。HIMSS指出：

“缺乏监控会带来数据泄露等风险。需要强有力的监控策略来确保AI技术的安全和负责任使用。”

可接受的使用政策

42%的受访者表示他们的医疗机构有书面的AI使用政策，48%表示没有，10%表示不知道。HIMSS指出：

“可接受的使用政策为技术（包括AI）的安全和负责任使用设定了明确的指导方针，可以是独立的政策，也可以整合到一般政策中，具体取决于组织的AI采用情况。”

未来的网络安全担忧涉及AI

75%的受访者将数据隐私列为首要关切，其次是数据泄露（53%）和AI系统的偏见（53%）。将近一半的受访者表达了对知识产权盗窃（47%）和透明度不足（47%）的担忧，41%的人强调了患者安全风险。HIMSS写道：

“这些发现强调了需要强有力的保障措施、伦理框架和主动措施来应对这些风险。”

内部威胁和AI

一小部分受访者报告了疏忽的内部威胁活动（5%）、恶意的内部威胁活动（3%）或两者兼有的内部威胁活动（3%）。HIMSS指出：

“尽管这些数字看起来很小，但很可能许多组织尚未实施专门针对AI驱动的内部威胁的监控，导致潜在风险未被检测到。”

为了加强防范内部威胁的呼吁，作者写道：

“对AI工具和系统的日益依赖带来了新的机会，既有可能发生疏忽的内部活动，也有可能发生恶意的内部活动，这会放大对敏感数据和运营完整性的风险。”

(全文结束)