Otto violazioni su dieci delle policy sui dati è avvenuto nel settore sanitario, secondo l’ultimo report di Netskope. E molte violazioni hanno riguardato un uso non approvato dell’AI generativa.
“Il quadro che emerge è estremamente allarmante e inquietante ma non sorprende, considerati i ‘motori’ dell’hype, spesso non sostenuto dalle necessarie competenze e conoscenze, e del ‘FOMO’ (Fear Of Missing Out) che caratterizzano il fenomeno di diffusione delle tecnologie facenti capo all’intelligenza artificiale, spingendo all’uso spesso affrettato, incondizionato e inconsapevole delle stesse”, commenta Enrico Morisi, Ict Security manager.
Ecco come mitigare il rischio di violazione dei dati sanitari regolamentati.
Indice degli argomenti
Settore sanitario sotto pressione: i rischi di violazioni di policy dei dati
Dal report di Netskope emerge che i dipendenti del settore sanitario cercano regolarmente di caricare dati sensibili su siti web che non hanno ricevuto approvazione o piattaforme cloud prive di autorizzazione.
L’81% di tutte le violazioni delle policy sui dati, che hanno colpito le aziende sanitarie nell’arco dell’ultimo anno, si riferiva a dati sanitari regolamentati.
Ma gran parte di queste violazioni avviene nell’ambito dell’uso dell’intelligenza artificiale generativa.
Inoltre, si avvalgono spesso di applicazioni di GenAI, come ChatGPT o Google Gemini, le più popolari presso gli operatori sanitari (nell’88% delle aziende sanitarie), il cui coinvolgimento in violazioni delle policy sui dati è sempre più diffuso. Infatti cresce il loro uso in ambito professionale.
Oltre 2 utenti su 3 di genAI in ambito sanitario sfruttano dati sensibili e li inviano ai propri account personali di GenAI in orario di lavoro.
Nell’uso della GenAI da parte degli operatori sanitari, il 44% dei casi di violazioni concerne dati regolamentati, il 29% codice sorgente, il 25% proprietà intellettuale e il 2% password e chiavi di accesso.
Il coinvolgimento riguarda infastti anche password e chiavi di accesso, codice sorgente o proprietà intellettuale (19%). A provocare tali violazioni sono stati lavoratori che hanno effettuato il caricamento di dati sensibili su account personali di Microsoft OneDrive o Google Drive.
“Le organizzazioni si trovano a dover affrontare queste nuove sfide, unitamente a quelle dovute al dilagare delle piattaforme cloud, anche e soprattutto per sfruttarne, in sicurezza, le reali potenzialità, tenendo in debito conto le minacce ad esse correlate nei framework di gestione del rischio”, mette in guardia Morisi.
Come mitigare i rischi
Le applicazioni di AI generativa offrono soluzioni innovative, ma aprono le porte a nuovi vettori in grado di violare e compromettere dati, soprattutto in ambienti come quello sanitario, dove il personale e i professionisti spesso operano sotto pressione. “Le organizzazioni sanitarie devono bilanciare i benefici della genAI con l’adozione di misure di sicurezza e protezione dei dati per mitigare tali
rischi”, afferma Gianpietro Cutolo, Cloud Threat Researcher presso Netskope
Threat Labs.
Per mitigare i rischi, le azinde sanitarie devono prendere in esame l’opportunità di adottare applicazioni di GenAI approvata dall’organizzazione, per centralizzare l’utilizzo legittimo della genAI in strumenti monitorati e messi in sicurezza.
Occorre infatti “contrastare la cosiddetta shadow AI, che rientra nell’ambito del più ampio e noto shadow IT”, spiega Morisi, avvelendosi del “supporto dei quadri normativi di riferimento, come l’AI Act”, adottando “”, oltre “misure di mitigazione” come “perseguire strategie di Data Loss Prevention e promuovere la cultura, al fine di favorire un uso consapevole e prudente di queste tecnologie che, se da un lato introducono immense capacità di agire, dall’altro sono accompagnate da minacce anche critiche per la reputazione, la conformità alla normativa, la privacy, la protezione dei dati e la sicurezza delle informazioni”, mette in evidenza Morisi.
Infine, oltre ad investire formazione in tempo reale per gli utenti, “non bisogna mai dimenticare che si tratta di tecnologie, e che quindi è fondamentale, oltre a promuovere la consapevolezza, garantire sempre la supervisione umana, al fine di assicurarne un uso davvero responsabile“, conclude Morisi.
