chatgpt und andere generative KI-Nutzung am Arbeitsplatz sind zu einem umstrittenen Thema geworden, da die Menschen sehen, dass seine möglichen Vorteile den wahrscheinlichen Risiken gegenüberstehen. In einer stark regulierten Branche wie dem Gesundheitswesen sind Anbieter oft versucht, den Einsatz gänzlich zu verbieten, um die Compliance-Rückschläge zu vermeiden, die bei Pixel-Tracking-Tools auftreten.
Ein Verbot würde jedoch nicht nur die dringend benötigte Unterstützung für Pflegedienste blockieren, sondern auch nicht die zugrunde liegenden Probleme lösen, die schon lange vor der Verbreitung generativer KI bestanden.
Das Risiko der unbefugten Offenlegung geschützter Gesundheitsinformationen, persönlich identifizierbarer Informationen (PII) und anderer Unternehmensdaten ist im Gesundheitswesen seit langem ein Problem. Laut dem jährlichen Verizon Data Breach Investigation Report ist das Insider-Risiko seit mehreren Jahren die größte Bedrohung für Gesundheitsorganisationen, sowohl versehentlich als auch böswillig.
ChatGPT und andere KI-Dienste haben die Verbreitung dieser Risiken angesichts des schnellen Wachstums und der Beliebtheit großer Chat-KI-Sprachmodelle lediglich erleichtert.
Generative KI hat das Potenzial, die Ergebnisse im Gesundheitswesen zu verbessern, indem sie neue Behandlungen identifiziert und Ergebnisse vorhersagt, die für Ärzte nicht immer offensichtlich sind. Mehrere wissenschaftliche Artikel, darunter ein neuer Bericht in Georgetown Journal of International Affairs, Beschreiben Sie die vielen Vorteile von ChatGPT im Gesundheitswesen und seinen oft überlasteten Ärzten.
Von der Patientenunterstützung rund um die Uhr bis hin zur Verbesserung der Geschwindigkeit und Genauigkeit der Pflegeergebnisse hat ChatGPT bereits seinen Platz in der Branche gefunden. Forscher haben bereits das Potenzial von ChatGPT zur Unterstützung der klinischen Entscheidungsfindung für Brustkrebs-Screening und Brustschmerz-Bildgebung nachgewiesen, allerdings bestehen weiterhin Probleme mit der zuverlässigen Genauigkeit der Ausgabe.
In einer Branche wie dem Gesundheitswesen mit strengen Vorschriften zum unbefugten Datenzugriff im Rahmen des Health Insurance Portability and Accountability Act (HIPAA) könnte die Erlaubnis der Nutzung von ChatGPT ohne Leitplanken ein Compliance-Desaster riskieren. Die Dutzenden von Verstoßmeldungen und Klagen gegen Anbieter, die Pixel-Tracking-Tools eingesetzt haben, sind ein ausreichender Beweis für die Notwendigkeit eines informierten Einsatzes innovativer Technologien.
Wie aus zahlreichen Berichten aus anderen Branchen hervorgeht, hat die schnelle Beliebtheit von ChatGPT am Arbeitsplatz zu Datenschutzverstößen, unangemessener Weitergabe und einer Vielzahl von Ungenauigkeiten bei der Verwendung in bestimmten Bereichen, beispielsweise in Anwaltskanzleien, geführt.
Immer mehr Technologiegiganten haben den Einsatz sogar gänzlich verboten, weil sie befürchten, dass Mitarbeiter über den KI-Dienst absichtlich oder unabsichtlich Unternehmensinformationen preisgeben könnten. Bei Samsung Electronics kam das Verbot im Mai, nachdem ein Ingenieur vertrauliche Firmencodes in ChatGPT hochgeladen hatte.
Das Problem: Alle mit ChatGPT geteilten Daten könnten später mit anderen Plattformbenutzern geteilt werden. Diese Tools speichern standardmäßig den Chatverlauf der Benutzer und nutzen diese Konversationen zum Trainieren zukünftiger Modelle. Mit ChatGPT können Benutzer die Einstellung zwar manuell ändern, es kann jedoch sein, dass Daten, die vor der Aktualisierung der Einstellungen in den Dienst hochgeladen wurden, rückwirkend gelöscht werden oder nicht.
Weitere Unternehmensrisiken durch KI-Dienste sind unter anderem:
- Unrechtmäßige Weitergabe von PHI oder PII und/oder Unternehmensdaten.
- Angreifer könnten die Modellsysteme hacken. ChatGPT hat bereits Anfang des Monats einen Vorfall mit dem Diebstahl von Anmeldedaten gemeldet.
- Alle durchgesickerten Daten könnten zum Trainieren von KI-Modellen verwendet werden, was dann zu zukünftigen Lecks führen könnte.
- Diese Tools können zu bestimmten Themen Vorurteile aufweisen, was zu Vorurteilen bei der Patientenversorgung oder beim Zugang zur Gesundheitsversorgung führen könnte. Daten zeigen, dass dies bereits geschehen ist.
- Tools wie ChatGPT sind fehlbar: Das heißt, die Informationen, die sie an den Benutzer zurücksenden, könnten ungenau sein oder Fehlinformationen enthalten. Mitarbeiter im juristischen Bereich haben beispielsweise bereits Rückschläge durch die übermäßige Abhängigkeit von KI-Diensten erlebt.
- Bedrohungsakteure haben schädliche Apps und Plugins in den Play Store hochgeladen. Benutzer können diese oder legitime Tools zur KI-Nutzung herunterladen, was ernsthafte Datenschutz- und Sicherheitsrisiken mit sich bringt.
KI-LLMs wie GPT-3 von OpenAI und Bard von google, die mithilfe fortschrittlicher Deep-Learning-Techniken und trainierter riesiger Datenbestände erstellt wurden, bieten Übersetzung, Codegenerierung, Beantwortung von Fragen, Stimmungsanalyse und andere Aufgaben. Die positiven Anwendungsfälle überwiegen wohl diese Risiken.
Unternehmen sollten ChatGPT stattdessen wie jede andere potenzielle Unternehmensbedrohung behandeln und das Risiko analysieren, eine wirksame Governance einrichten, Tools und Richtlinien nach Bedarf aktualisieren und sicherstellen, dass Benutzer sich aller Risiken bewusst sind, während sie gleichzeitig die beschriebenen Bedrohungen und möglichen Einsatzmöglichkeiten für KI-Dienste innerhalb des Unternehmens berücksichtigen Unternehmen und stellen Sie sicher, dass die aktuellen Richtlinien vor unbefugter Offenlegung schützen.
Viele Unternehmen verfügen bereits über Prozesse zur Reduzierung dieser Bedrohungen, müssen jedoch die aktuellen Richtlinien überprüfen, um sicherzustellen, dass ihre aktuellen Governance-Standards für KI-Dienste angemessen sind, und dann erkannte Probleme beheben. Netzwerkverteidiger sollten:
- Richten Sie die Governance für den Einsatz von KI innerhalb der Organisation ein oder weisen Sie sie einem geeigneten Governance-Komitee oder einem relevanten Team zu.
- Untersuchen Sie vorhandene Abhilfemaßnahmen, Sicherheitstools und Unternehmensrichtlinien, um mögliche Schwachstellen zu ermitteln. Würden beispielsweise vorhandene Data Loss Prevention (DLP) oder andere Tools dazu beitragen, das Unternehmen vor diesen Risiken zu schützen?
- Schulen Sie Ihre Mitarbeiter in Bezug auf diese Unternehmensrichtlinien, um das Risiko einer Gefährdung zu verringern, einschließlich der Nichteingabe von Unternehmensdaten oder geschützten Gesundheitsinformationen in ChatGPT oder andere KI-Dienste.
Die Health Industry Cybersecurity Practices (HICP) enthalten detaillierte Empfehlungen zum Schutz von Daten im Gesundheitsumfeld, einschließlich der Klassifizierung von Daten zur ordnungsgemäßen Zuweisung von Zugriffskontrollen sowie Nutzungserwartungen, um die Anzahl der Personen mit Zugriff auf vertrauliche Informationen zu reduzieren.
ChatGPT und andere KI-Tools können den Gesundheitsbetrieben zahlreiche Vorteile bieten. Während die Risiken im Zusammenhang mit generativer KI den Alarm hinsichtlich möglicher Risiken für Unternehmensgeheimnisse oder Reputationsschäden auslösen könnten, können Gesundheitsorganisationen mit wirksamen, gut etablierten Governance-Kontrollen die Vorteile des unterstützenden Tools mit minimalem Risiko nutzen.
Will Long, Chief Security Officer, First Health Advisory