Umelá inteligencia mení zdravotníctvo rýchlejšie, než stíhame debatovať o pravidlách. Odborníci sa zhodujú: je to veľká príležitosť, no zároveň riziko, ktoré treba riadiť. Kľúčové je vedieť, kam (ne)patria citlivé dáta a kto za ne nesie zodpovednosť.
AI ako pomocník aj riziko pri práci s dátami
Panelisti vidia AI ako prínos najmä v diagnostike a hľadaní nových vzorcov v medicínskych údajoch. Varujú však pred neuváženým používaním generatívnych nástrojov: čo by ste si nedovolili nahrať do verejného cloudu, nepatrí ani do cudzieho chatbota. Alternatívou sú vlastné, lokálne modely v kontrolovanom prostredí, ktoré umožnia pracovať aj s dôvernými dátami. AI môže lekárom uľahčiť preklady či vyhľadávanie, no nie za cenu vkladania celej anamnézy do „promptu“.
Diskusia pripomenula, že veľké jazykové modely stoja na „big data“ a výpočtovom výkone, ktorý dnes zabezpečuje najmä cloud. Cloud však nie je univerzálna odpoveď: rozhoduje klasifikácia dát a miera rizika, ktorú je organizácia pripravená prijať. Technológie ako confidential computing sľubujú, že ani poskytovateľ nevidí spracúvané dáta, no ich nasadenie je zatiaľ v rozbehu. Zdravotnícke organizácie preto musia zvážiť kombináciu lokálnych riešení a cloudu podľa citlivosti údajov.
Regulácie a zodpovednosť: už to nie je „iba IT problém“
Nové európske pravidlá posúvajú zodpovednosť dvoma smermi. Na jednej strane prenášajú väčšiu osobnú a majetkovú zodpovednosť na štatutárov nemocníc, čo môže konečne priniesť podporu bezpečnosti aj z vedenia. Na druhej strane Cyber Resilience Act tlačí na vendorov, aby navrhovali produkty „secure by design“ a niesli diel zodpovednosti za ich bezpečnosť. V praxi to znamená viac komunikácie s dodávateľmi a dôraz na preukázateľné štandardy.
Riziká dodávateľského reťazca už nie sú teória: útoky čoraz častejšie prichádzajú cez externých partnerov. Ukážkou je prípad úniku desiatok gigabajtov zdravotných dát cez napadnutého vendora, nie priamo cez organizáciu. Slovenské zdravotníctvo zatiaľ čaká na sektorové bezpečnostné opatrenia, no nemocnice nemusia čakať so založenými rukami. Overovanie dodávateľov, jasná klasifikácia informácií a zmluvné požiadavky na bezpečnosť sú minimum, ktoré možno zaviesť hneď.
Bezpečnostná prax: od „baseline“ cez incidenty po vzdialené prístupy
Za základ považujú odborníci budovanie „security baseline“ v duchu zero trust: segmentovať infraštruktúru, minimalizovať privilégiá a oddeliť staré či nelátané systémy. Najviac tlačia „kamienky v topánke“ ako zastarané operačné systémy, IoMT zariadenia pripojené do siete a zdieľané, trvalo odomknuté stanice. Kultúrna zmena býva ťažšia než technika, no dá sa ju uľahčiť napríklad rýchlym bezheslovým prihlásením kartou. Pri vzdialenom prístupe platí prísne pravidlo: žiadna otvorená plocha z internetu a nástroje typu AnyDesk či TeamViewer len dočasne a pod kontrolou.
Incidenty prichádzajú rýchlejšie: čas, za ktorý sa útočník dostane dnu a spôsobí škody, klesol z desiatok dní na menej než 24 hodín, v štvrť prípadov na približne tri dni. Preto je nevyhnutná proaktívna bezpečnosť: viacfaktorová autentifikácia, kvalitné a testované zálohy, zber a vyhodnocovanie logov a pripravený plán reakcie. Technológie samy osebe nestačia, ak ich nikto nesleduje; tam, kde chýbajú ľudia, môže pomôcť automatizácia detekcie a reakcií. Záver panelu bol napriek tomu optimistický: keď sa o bezpečnosti hovorí otvorene a kontinuálne, zdravotníctvo má šancu byť odolnejšie každý rok.
