Anmerkung des Herausgebers: Dies ist Teil zwei eines zweiteiligen Interviews zu KI und Cybersicherheit mit David Heaney von Mass General Brigham. Um Teil eins zu lesen, klicken Sie hier.
In der ersten Folge dieses ausführlichen Interviews erläuterte David Heaney, Chief Information Security Officer von Mass General Brigham, die defensiven und offensiven Einsatzmöglichkeiten künstlicher Intelligenz im Gesundheitswesen. Er sagte, dass es viel wichtiger sei, die Umgebung zu verstehen, zu wissen, wo die eigenen Kontrollen eingesetzt werden und die Grundlagen gut zu beherrschen, wenn es um KI geht.
Heute stellt Heaney Best Practices vor, die CISOs und CIOs im Gesundheitswesen zum Schutz der Nutzung von KI anwenden können. Er erläutert, wie sein Team sie nutzt, wie er sein Team in Bezug auf die Absicherung mit und gegen KI auf den neuesten Stand bringt, den menschlichen Faktor bei KI und Cybersicherheit und die Arten von KI, die er zur Bekämpfung von Cyberangriffen einsetzt.
F. Welche Best Practices können CISOs und CIOs im Gesundheitswesen anwenden, um den Einsatz von KI zu sichern? Und wie setzen Sie und Ihr Team diese bei Mass General Brigham ein?
A. Es ist wichtig, zunächst mit der Art und Weise zu beginnen, wie Sie die Frage formulieren. Es geht darum, zu verstehen, dass diese KI-Fähigkeiten erstaunliche Veränderungen in der Art und Weise bewirken werden, wie wir uns um Patienten kümmern, wie wir neue Ansätze und vieles mehr in unserer Branche entdecken.
Es geht wirklich darum, wie wir das unterstützen und wie wir dazu beitragen, es zu sichern. Wie ich in Teil 1 erwähnt habe, ist es wirklich wichtig, sicherzustellen, dass wir die Grundlagen richtig machen. Wenn es also einen KI-gesteuerten Dienst gibt, der unsere Daten verwendet oder in unserer Umgebung ausgeführt wird, gelten für uns dieselben Anforderungen an Risikobewertungen, an Geschäftspartnervereinbarungen und an alle anderen rechtlichen Vereinbarungen, die wir mit Nicht-KI-Diensten haben würden.
Denn auf einer gewissen Ebene sprechen wir über eine andere App, und sie muss wie alle anderen Apps in der Umgebung kontrolliert werden, einschließlich Beschränkungen für die Verwendung nicht genehmigter Anwendungen. Und das heißt nicht, dass es keine KI-spezifischen Überlegungen gibt, die wir ansprechen möchten, und mir fallen da einige ein. Zusätzlich zu den standardmäßigen rechtlichen Vereinbarungen, die ich gerade erwähnt habe, gibt es sicherlich zusätzliche Überlegungen zur Datennutzung.
Möchten Sie beispielsweise, dass die Daten Ihres Unternehmens verwendet werden, um die KI-Modelle Ihres Anbieters weiter zu trainieren? Die Sicherheit des KI-Modells selbst ist wichtig. Unternehmen müssen Optionen zur kontinuierlichen Validierung des Modells in Betracht ziehen, um sicherzustellen, dass es in allen Szenarien genaue Ergebnisse liefert. Dies kann Teil der KI-Governance sein, die ich in Teil 1 erwähnt habe.
Es gibt auch kontroverse Tests der Modelle. Wenn wir schlechte Eingaben machen, ändert das dann die Art und Weise, wie die Ausgabe ausfällt? Und dann ist da noch einer der Bereiche der Grundlagen, bei dem ich tatsächlich gesehen habe, dass sich seine Bedeutung in dieser Umgebung ein wenig geändert hat: die einfache Einführung so vieler dieser Tools.
Ein Beispiel dazu: Schau dir mal Meeting-Notizdienste wie Otter AI oder Read AI und viele andere. Aber diese Dienste haben den Anreiz, die Einführung einfach und reibungslos zu gestalten, und das haben sie großartig gemacht.
Während sich die Bedenken hinsichtlich der Verwendung dieser Dienste und der Daten, auf die sie zugreifen können, und dergleichen nicht ändern, ist es aufgrund der Kombination aus einfacher Akzeptanz bei unseren Endbenutzern und, offen gesagt, einfach dem Coolness-Faktor dieser und einiger anderer Anwendungen wirklich wichtig, sich auf die Art und Weise zu konzentrieren, wie Sie unterschiedliche Anwendungen integrieren, insbesondere KI-gesteuerte Anwendungen.
F: Wie haben Sie Ihr Team auf den neuesten Stand gebracht, wenn es um die Absicherung mit und gegen KI geht? Welcher menschliche Faktor spielt hier eine Rolle?
A. Das ist enorm. Und einer meiner wichtigsten Werte für mein Sicherheitsteam ist Neugier. Ich würde sagen, das ist die einzige Fähigkeit, die hinter allem steckt, was wir in der Cybersicherheit tun. Es ist die Sache, bei der man etwas sieht, das ein bisschen komisch ist, und man sagt: „Ich frage mich, warum das passiert ist?“ Und man beginnt, sich damit zu befassen.
Das ist der Anfang praktisch jeder Verbesserung, die wir in der Branche vornehmen. Ein großer Teil der Antwort besteht darin, neugierige Teammitglieder zu haben, die sich dafür begeistern und selbst etwas darüber lernen möchten. Und sie gehen einfach raus und spielen mit einigen dieser Tools.
Ich versuche, in diesem Bereich mit gutem Beispiel voranzugehen, indem ich erzähle, wie ich die verschiedenen Tools eingesetzt habe, um meine Arbeit zu erleichtern. Aber nichts ersetzt diese Neugier. Innerhalb von MGB, in unserem digitalen Team, versuchen wir, einen Tag im Monat dem Lernen zu widmen, und wir bieten Zugang zu einer Vielzahl von Schulungsdiensten mit relevanten Inhalten in diesem Bereich. Aber die Herausforderung dabei besteht darin, dass sich die Technologie schneller ändert, als die Schulung mithalten kann.
Es gibt also wirklich nichts, das das bloße Ausgehen und Spielen mit der Technologie ersetzt. Aber auch, vielleicht mit ein wenig Ironie, einer meiner Lieblings Generative KI wird vor allem zum Lernen eingesetzt. Und ich verwende beispielsweise eine Eingabeaufforderung wie „Erstellen Sie ein Inhaltsverzeichnis für ein Buch mit dem Titel X, wobei X das Thema ist, über das ich mehr erfahren möchte.“ Normalerweise erkläre ich auch ein wenig über den Autor und den Zweck des Buches.
So entsteht ein toller Überblick darüber, wie man sich mit diesem Thema vertraut machen kann. Und dann können Sie entweder Ihren KI-Freund fragen: „Hey, kannst du Kapitel eins näher erläutern? Und was bedeutet das?“ Oder Sie gehen möglicherweise zu anderen Quellen oder anderen Foren, um dort die relevanten Inhalte zu finden.
F. Welche Arten von KI verwenden Sie (natürlich ohne Geheimnisse preiszugeben) zur Abwehr von Cyberangriffen? Könnten Sie vielleicht etwas allgemeiner erklären, wie diese Arten von KI funktionieren sollen und warum Sie sie mögen?
A. Unsere digitale Gesamtstrategie bei MGB konzentriert sich wirklich darauf, Plattformen unserer Technologieanbieter zu nutzen. Um ein wenig auf die Anbieterfrage aus Teil 1 zurückzukommen: Unser Fokus liegt darauf, mit diesen Unternehmen zusammenzuarbeiten, um die wertvollsten Fähigkeiten zu entwickeln, von denen viele KI-gesteuert sein werden.
Und um Ihnen ein Bild davon zu geben, wie das aussieht, zumindest in groben Zügen, um sozusagen die goldene Gans nicht preiszugeben: Unsere Endpunktschutztools verwenden eine Vielzahl von KI-Algorithmen, um potenziell bösartiges Verhalten zu identifizieren. Sie senden dann alle Protokolle von all diesen Endpunkten an einen zentralen Sammelpunkt, wo eine Kombination aus regelbasierten und KI-basierten Analysen durchgeführt wird, um nach breiteren Trends zu suchen.
Also nicht nur auf einem System, sondern in der gesamten Umgebung. Gibt es Trends, die auf ein erhöhtes Risiko hinweisen? Wir haben eine Identity Governance Suite und das sind die Tools, die verwendet werden, um Zugriffe zu gewähren und zu entziehen. Und diese Suite von Tools verfügt über verschiedene integrierte Funktionen, um potenzielle Risiken zu identifizieren und möglicherweise bereits vorhandene Zugriffskombinationen zu erkennen oder sogar eingehende Zugriffsanforderungen zu prüfen, um zu verhindern, dass wir diesen Zugriff überhaupt gewähren.
Das ist also die Welt der Plattformen selbst und der darin integrierten Technologie. Aber darüber hinaus, wenn wir darauf zurückkommen, wie wir generative KI in einigen dieser Bereiche einsetzen können, nutzen wir sie, um alle möglichen Aufgaben zu beschleunigen, die wir früher manuell erledigt haben.
Das Team hat, ich kann es nicht beziffern, eine Menge Zeit gespart durch Verwendung generativer KI zum Schreiben benutzerdefinierter Skripte für die Triage, Forensik und Systembereinigung. Es ist nicht perfekt. Die KI bringt uns, ich weiß nicht, zu 80 % fertig, aber unsere Analysten stellen das Skript dann fertig und tun dies viel schneller, als wenn sie es ausführen oder von Grund auf neu erstellen würden.
Ebenso verwenden wir einige dieser KI-Tools, um Abfragen zu erstellen, die in unsere anderen Tools einfließen. Wir bringen unsere Nachwuchsanalysten viel schneller auf den neuesten Stand, indem wir ihnen Zugriff auf diese Tools gewähren, damit sie die verschiedenen anderen Technologien, die wir einsetzen, effektiver nutzen können.
Unsere erfahrenen Analysten sind einfach effizienter. Sie wissen bereits, wie man vieles davon macht, aber es ist immer besser, mit 80 % anzufangen, als bei Null.
Im Allgemeinen beschreibe ich es als meinen wirklich eifrigen Praktikanten. Ich kann es bitten, alles zu tun, und es wird mit etwas zwischen einem wirklich guten Ausgangspunkt und möglicherweise einer großartigen und vollständigen Antwort zurückkommen. Aber ich würde diese Antwort sicherlich nicht verwenden, ohne meine eigenen Prüfungen durchzuführen und sie zuerst fertigzustellen.
KLICKEN SIE HIER, um das Video dieses Interviews anzusehen. Es enthält BONUSINHALTE, die in dieser Story nicht vorkommen.
Anmerkung des Herausgebers: Dies ist der zehnte und letzte Beitrag in einer Reihe von Beiträgen über führende Stimmen aus der Gesundheitsinformatik, die den Einsatz künstlicher Intelligenz diskutieren. Lesen Sie die anderen Beiträge:
Folgen Sie Bills HIT-Berichterstattung auf LinkedIn: Bill Siwicki
Senden Sie ihm eine E-Mail: bsiwicki@himss.org
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.
