“Verwacht het onverwachte” dat is wat Pieter-Jaap Aalbersberg, Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs zei in een artikel in het FD.1 Kunstmatige Intelligentie (Artificial Intelligence (AI)) neemt momenteel een vogelvlucht en de internationale gemeenschap is er ook mee aan de slag. De EU is bezig met de AI Act. En onlangs heeft de Veiligheidsraad van de Verenigde Naties een eerste vergadering gehouden over AI, waar ze ook internationale regelgeving willen gaan opstellen en een apart orgaan willen inrichten.2 AI heeft veel positieve kanten, helaas ook veel duistere kanten. Daarmee wordt Cybersecurity en vooral bewustwording over AI alleen maar belangrijker. In dit artikel vertel ik je meer over waar je rekening mee moet houden op het gebied van cybersecurity als je als zorgorganisatie zelf met AI aan de slag wilt. Daarnaast geef ik een aantal tips om het bewustzijn over AI te vergroten.
Met de huidige ontwikkelingen kan een AI-oplossing in een medisch hulpmiddel een voordeel opleveren. Je kan dan bijvoorbeeld denken aan een app die helpt bij het stellen van een diagnose door middel van het invullen van een vragenlijst door de patiënt. Dit kan mooie kansen bieden. Het is dan wel nodig dat de informatiebeveiliging en kwaliteit gewaarborgd wordt.
Medische hulpmiddelen waarvan AI onderdeel uitmaakt, vallen in de risicoklasse hoog, dat legt mijn collega hier uit. De AI Act geeft aan dat systemen zo ontworpen moeten worden dat er een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging geboden wordt. Daarnaast moet het systeem beschikken over risicobeheer en moeten er passende beheersmaatregelen genomen worden zodat de risico’s zoveel mogelijk uitgesloten of beperkt worden.3 Om aan te tonen dat het systeem beschikt over goed risicobeheer kan de organisatie de ISO 14971 implementeren. Het systeem moet verder bestand zijn tegen pogingen van ongeautoriseerde derden om het gebruik of de prestaties hiervan te wijzigen door gebruik te maken van kwetsbaarheden in het systeem.4 Zorg ervoor dat de beveiliging van het medisch hulpmiddel op orde is. Als iets aangesloten is op een netwerk, pas dan beveiliging zoals firewalls toe of stel bij het inloggen in dat iemand altijd Multi Factor Authenticatie moet gebruiken. Zo wordt het systeem minder kwetsbaar voor ongeautoriseerde.
Waar risico’s niet uitgesloten zijn, moeten er adequate maatregelen voor beperking en controle genomen worden.5 Welke maatregel toegepast dient te worden, ligt aan de organisatie en de context van het medisch hulpmiddel.
Een risico kan bijvoorbeeld zijn dat het personeel de uitkomsten van het medisch hulpmiddel niet juist interpreteert. Als maatregel kun je dan een training voor gebruikers geven, waar medische professionals leren hoe ze de uitkomsten moeten interpreteren.
Het is belangrijk om te weten dat voor medische hulpmiddelen met AI de ISO13485 verplicht dat er validatie moet plaatsvinden op de output van het medisch hulpmiddel.6 Dit houdt niet alleen in dat het resultaat gevalideerd moet worden, maar ook welk proces en welke methodiek er gevolgd is om tot het resultaat te komen.
Zorgorganisaties maken vaak gebruik van verouderde ICT, zowel hardware als software die niet voldoen aan de huidige beveiligingseisen. Hackers zouden code kunnen schrijven om deze ICT aan te vallen. Met de komst van ChatGPT kan iedere kwaadwillende laagdrempelig kwaadaardige code schrijven. ChatGPT heeft hier al wel wat waarborgen voor, maar met de juiste prompt zijn deze nog makkelijk te omzeilen.
Controleer daarom al je ICT. Hebben de oude systemen de meest recente beveiligingsupdates en patches gehad? Als een update of patch niet kan, is het dan mogelijk om het systeem voor een nieuw systeem te vervangen die aan de beveiligingseisen voldoet? Kan dat ook niet, isoleer het systeem dan van het gehele netwerk. Op deze manier kan men er nog wel bij, maar is op het moment dat er een beveiligingsincident plaatsvindt niet meteen je gehele netwerk in gevaar.
Voorheen vertelde experts dat een phishingmail altijd is te herkennen aan onder andere de vele spellings- en grammaticafouten in een mail. ChatGPT en andere tekst-AI maken dit lastiger. Iedereen kan nu in iedere taal met correcte grammatica en spelling teksten produceren door gebruik te maken van AI, waardoor het niet altijd meer te herkennen is of het om een phishingmail gaat of niet. Een phishingmail is nog steeds te herkennen aan vreemde links, bijvoorbeeld de mail lijkt van Microsoft te komen, maar als je naar het mailadres kijkt of over de link in de mail beweegt dan heeft het een spellingsfout of is het een totaal ander adres, of iets dergelijks. Klik niet op deze links en vul zeker niets in.
Verder zal een phishingmail ook te herkennen zijn aan de urgente oproep of bedreigingen in het bericht, zoals “je wachtwoord moet per direct aangepast worden, klik hier.” Of er zijn verdachte koppelingen of onverwachte bijlagen. Zorg ervoor dat je medewerkers of patiënten die gebruik maken van je netwerk bewustzijn van deze gevaren door een actieve bewustwordingscampagne hierover te voeren.
Als IT-afdeling kan je ook technische maatregelen nemen, zodat het moeilijker wordt om een phishingmail in de inbox van de medewerkers te laten komen.
Door de komst van AI komt er veel op een zorgorganisatie af. Zo wil de zorgorganisatie er misschien zelf gebruik van maken zodat de primaire zorgprocessen efficiënter worden of kunnen kwaadwillenden makkelijker en sneller een zorgorganisatie aanvallen door het gebruik van AI. Gelukkig hoef je dit niet allemaal alleen te doen. Om bewustzijn te creëren, maar ook te toetsen hoe bewust je medewerkers zijn kan je bijvoorbeeld een phishing campagne laten uitvoeren. Verder, schakel hulp in van de verschillende ICT-beheerders om te kijken of de verschillende systemen nog up to date zijn of laat de Security Officer kijken of de organisatie werkt volgens de laatste informatiebeveiligingsnormen.
Wil je aan de slag met bewustwording over AI of informatiebeveiliging binnen jouw organisatie? Door bijvoorbeeld het uitvoeren van een phishing campagne of andere bewustwordingstraining? Neem dan vrijblijvend contact met ons op. Onze specialisten denken graag met je mee.
Volg dan de Opleiding tot AI Compliance Officer (CAICO) van ICTRecht Academy, die start in januari 2024.
1 Cyberwaakhond waarschuwt voor explosie phishingsmail door AI, Het Financieel Dagblad 01-07-2023
2 https://www.nu.nl/tech/6273007/vn-veiligheidsraad-wil-gevaren-van-ai-met-regels-aan-banden-leggen.html
3 Artikel 15 lid 1 en 4, voorstel AI Act, Europees Parlement 14 juni 2023
4 Artikel 15 lid 1 en 4, voorstel AI Act, Europees Parlement 14 juni 2023
5 Artikel 9, voorstel AI Act, Europees Parlement 14 juni 2023
6 Artikel 7.5.6 ISO13485:2016
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.