Belgeler 5 Kritik Risk Alanını ve Sağlık Hizmetlerinde Yapay Zeka İçin En İyi Uygulamaları Dikkate Alacak
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Kasım 2025
Sağlık sektörü kuruluşları, yapay zeka yeniliklerini denedikçe ve kuruluşlarında yapay zeka araçlarını kullanırken bir dizi karmaşık siber güvenlik riskiyle karşı karşıya kalıyor. Sağlık Sektörü Koordinasyon Konseyi, sağlık sektörünün bu ortaya çıkan yapay zeka güvenliği zorluklarıyla başa çıkmasına yardımcı olmak için bir dizi kılavuz belge yayınlıyor.
Ayrıca bakınız: Yapay Zeka Güvenlik Duvarları Yeni Gelişen API Saldırılarıyla Gerçek Zamanlı Mücadele Ediyor
HSCC Salı günü, 2026’nın ilk çeyreğinde ve Yeni Yıl boyunca yayınlamayı planladığı en iyi uygulamaların ve teknik inceleme belgelerinin bir “önizlemesini” yayınladı.
HSCC, kılavuz serisinin klinik, idari ve finansal sağlık sektörü uygulamaları da dahil olmak üzere sağlık hizmetlerinde kullanılan yapay zeka teknolojisini içeren beş siber risk zorluğu alt grubuna odaklanacağını söyledi.
Rehber belgelerin kapsayacağı beş konu şunları içermektedir:
- Eğitim ve etkinleştirmeRiski daha iyi anlamak ve kontrol faaliyetlerini uygulamak için yapay zeka ve makine öğrenimi teknolojisine ilişkin anlayış ve farkındalığı geliştirmeyi amaçlayan;
- Siber operasyonlar ve savunmasağlık kuruluşlarının yapay zeka tabanlı siber olaylara hazırlanmasına, bunları tespit etmesine, müdahale etmesine ve bu olaylardan kurtulmasına yardımcı olacak taktik kitapları dahil;
- YönetişimKlinik ortamlarda yapay zeka siber güvenlik risklerini, mevzuat uyumunu ve yapay zeka yaşam döngüsü sorunlarını yönetmek amacıyla her büyüklükteki sağlık kuruluşuna yönelik kapsamlı bir çerçeve dahil;
- Tasarım ilkeleriyle güvenlimühendislik, siber güvenlik, düzenleme ve klinik ekipleri arasında iş birliğini teşvik ederken bunların yapay zeka destekli tıbbi cihazlara yerleştirilmesi de dahil;
- Üçüncü taraf yapay zeka riski ve satıcı sorunlarıÜçüncü taraf yapay zeka araçlarının görünürlüğünü ve şeffaflığını artırarak tedarik zincirlerinde güvenliği, güveni ve esnekliği güçlendirmek, yönetişim ve gözetim politikaları oluşturmak, satın alma, satıcı incelemesi ve yaşam döngüsü yönetimini standartlaştırmak dahil.
Kritik Hususlar
Bazı endüstri uzmanları, planlanan HSCC kılavuz materyallerinin, yapay zekanın sağlık hizmetlerinde konuşlandırılması ve kullanımına ilişkin bir dizi kritik ve zorlu güvenlik sorununu ele aldığını söyledi.
Hukuk firması Baker Donelson’un veri koruma, gizlilik ve siber güvenlik ekibinin başkanı Alisa Chestler, tıbbi cihazlarda adres yapay zeka güvenliğine yönelik rehberlik konseptini takdir etti.
Chestler, “Bu yeni bir kavram olmasa da, veri zehirlenmesi, model manipülasyonu ve sürüklenme istismarına ilişkin gerçek dünyadaki endişeler, çok yoğun, metodik ve iyi belgelenmiş bir inceleme ve analizi hak ediyor” dedi.
Ayrıca rehberin, “yapay zeka endişesinin ortaya çıkmasından önce bile sağlık hizmeti sağlayıcılarına yönelik programlarda genellikle çok eksik olan” üçüncü taraf risk ve değişiklik yönetimi konularını vurgulamayı planladığını da belirtti.
“Sağlık sektörü için hedeflerin ve temel odak alanlarının belirlenmesi, risk yönetimi ve iyileştirme faaliyetlerinin tanımlanması ve hesap verebilirliği için çok ihtiyaç duyulan bir yol haritası sağlamalıdır” dedi.
“İyi bir yönetişim programının bu kadar önemli olmasının nedeni budur; genel olarak, bir CIO veya CISO tarafından ele alınan konular, gerçekte onların incelemesi, bilgisi veya görüş alanının dışındayken yanlış bir adlandırma vardır” dedi. “Üçüncü taraf risk yönetimindeki bu açık sorumluluklar sayesinde, tedarik zinciri tedariki ve incelemesi, ihtiyaç gereği çok daha bütünsel ve sağlam olacaktır.”
Güvenlik firması Claroty’nin saha CTO’su ve CISO’su Skip Sorrels, sağlık hizmetlerinde kullanılan yapay zekada yönetişim, siber operasyonlar ve savunmanın ele alınması gereken en kritik iki alan olduğunu söyledi.
“Yapay zeka için beklentileri ve korkulukları belirlemek için yönetişim kurmalısınız” dedi. “Siber operasyonlar ve savunma, her bir yapay zekanın yeteneklerinin eksiksiz bir envanterine sahip olunmasına ve ayrıntılı bir şekilde anlaşılmasına bağlı olacaktır. Bu olmadan, onu ne koruyabilirsiniz ne de sağlık hizmetleri veya sağlık hizmetleri siber güvenliğinin yararına etkili bir şekilde kullanabilirsiniz.”
Sorrels, HSCC önizleme kılavuzunda özel olarak belirtilmeyen ancak sağlık sektörü kuruluşları tarafından dikkatle değerlendirilmesi gereken diğer konuların arasında uyarlanabilir yapay zeka sistemleri için dinamik bilgilendirilmiş onayın yer aldığını söyledi.
“Mevcut onam modelleri yapay zeka sağlık hizmetleri uygulamaları için yetersiz. Hastalar, verilerinin nasıl kullanılacağını, algoritma eğitimi için yeniden kullanılacağını veya yapay zeka sistemlerinin bakımlarını etkileyen klinik önerilerde nasıl bulunduğunu anlamadıklarında gerçek anlamda bilgilendirilmiş onam sağlayamazlar.”
Kılavuz materyaller, HSCC’nin Ekim 2024’te başlatılan ve 115 sağlık kuruluşunun liderlerinden oluşan siber güvenlik çalışma grubunun yapay zeka görev grubunun çalışmalarıdır.
HSCC yaptığı açıklamada, “Yapay Zeka Görev Grubu, klinik, idari ve finansal sağlık sektörü uygulamalarında kullanılan yapay zeka teknolojisinin karmaşıklığını ve ilgili riskini fark etti ve buna göre yapay zeka konularının karışımını, bu işlevler arasındaki karşılıklı ilişkiler ve karşılıklı bağımlılıklara dikkat ederek, ayrı, işlevsel konsantrasyon alanlarından oluşan yönetilebilir iş akışlarına böldü.” dedi. Bu çabalar, planlanan kılavuz dokümanların beş alt grubu başlığıyla temsil edilmektedir.
Sorrels, “Rehberlik son derece önemlidir” dedi. “Sağlık kuruluşları bazı durumlarda yapay zekanın kendileri için olumlu ya da olumsuz ne anlama geleceği konusunda hiçbir fikre sahip değil. Farkındalık yaratmak ve başlamaları için bir yol haritası sağlamak, onların boşta oturmak yerine yapay zekaya yönelmelerine yardımcı olacaktır.”