Френк Балоніс
Фармацевтична промисловість стоїть на небезпечному перехресті. У той час як компанії готуються до використання штучного інтелекту для виявлення наркотиків, оптимізації клінічних випробувань та ефективності виробництва, нове галузеве дослідження Kiteworks виявляє шокуючу істину: лише 17% організацій впровадили автоматизований контроль, щоб запобігти протіканням конфіденційних даних через інструменти AI. Це означає, що 83% фармацевтичних компаній – включаючи багато CDMO – працюють без основних технічних гарантій, тоді як їхні працівники вставляють молекулярні структури, результати клінічних випробувань та записи пацієнтів у Chatgpt, Claude, Respexity та інші платформи AI.
У звіті, який опитував 461 кібербезпеку, ІТ, управління ризиками та фахівці з дотримання норм в галузях промисловості, розкриває критичний розрив між тим, що вважають керівники фармацевтичних препаратів про свою безпеку AI та те, що відбувається на місцях. Цей висновок узгоджується зі звітом про індекс AI в Стенфорді 2025 року, який задокументував збільшення інцидентів безпеки, пов'язаних з AI, зафіксовано на 56,4% лише за один рік. У галузі, де одна структура молекули, що витікає, може знищити мільярди в інвестиціях на дослідження, цей розрив являє собою не просто проблему безпеки, а екзистенційну загрозу для конкурентної переваги та дотримання регуляторних норм.
Стан безпеки AI в фармацевтичних препаратах: перевірка реальності
Цифри малюють тверезу картину фармацевтичної безпеки AI. Згідно з дослідженням Kiteworks, переважна більшість організацій покладаються на небезпечно неадекватні заходи щодо захисту своїх даних від впливу ШІ. У верхній частині піраміди безпеки лише 17% мають технологію, яка автоматично блокує несанкціонований доступ до AI та сканує чутливі дані – мінімум для захисту в сучасному середовищі.
Решта 83% залежать від все більш ненадійних підходів, орієнтованих на людину. Сорок відсотків покладаються на навчальні заняття з працівниками та періодичні аудити, по суті сподіваючись, що співробітники запам'ятають та дотримуватимуться правил під час роботи під тиском. Ще 20% надсилають попереджувальні електронні листи про використання AI, але ніколи не перевіряють відповідність. Десять відсотків просто видавали керівні принципи, тоді як вражають 13% не мають жодної політики.
Цей поломку безпеки стає особливо тривожним при розгляді унікального тиску, що стоїть перед фармацевтичними дослідниками. Під постійним тиском для прискорення термінів розвитку наркотиків вчені регулярно звертаються до інструментів AI для швидких аналізів, оглядів літератури та інтерпретації даних. Звіт про стан безпеки даних Varonis 2025 підсилює цю проблему, встановивши, що 99% організацій мають конфіденційні дані, небезпечно піддаються впливу інструментів AI, при цьому 90% мають чутливі файли, доступні лише через Microsoft 365 Copilot. Лікарський хімік може завантажувати власні молекулярні структури, щоб отримати уявлення про потенційні лікарські взаємодії. Аналітик клінічних даних може вставити результати пацієнтів на платформу AI для виявлення моделей. Кожна дія, хоча і цілеспрямована, створює постійне опромінення ризику, яке неможливо скасувати.
Що насправді піддається
Дослідження Kiteworks виявляють, що 27% організацій наук про життя визнають, що понад 30% їхніх оброблених даних містять конфіденційну або приватну інформацію. У фармацевтичних контекстах це являє собою катастрофічний рівень впливу, що охоплює найцінніші активи галузі.
Поміркуйте, що фармацевтичні працівники щодня діляться з інструментами AI. Власні молекулярні структури, які потребували років і мільйони доларів, щоб розробити завантажені для швидкого структурного аналізу. Неопубліковані результати клінічних випробувань, які могли б зробити або порушити шанси на затвердження препарату, вставляються в чатні боти для підсумкового покоління. Виробничі процеси, захищені так, як комерційна таємниця переходить у системи AI, коли якісні команди шукають пропозиції оптимізації процесів. Інформація про здоров'я пацієнтів, нібито захищена в рамках HIPAA, вводить публічні платформи AI, коли дослідники просять допомогу в аналізі несприятливих подій.
Постійність цього впливу не може бути завищена. На відміну від традиційних порушень даних, де компанії можуть змінити паролі або відкликати доступ, інформація, що поглинається в моделі навчання AI, стає постійно вбудованою. Як детально описано в дослідженні ризиків витоку даних AI, фармацевтичні компанії стикаються з унікальними вразливими місцями від запам'ятовування моделей, де системи AI можуть ненавмисно зберегти та пізніше викрити фрагменти чутливих даних, таких як ідентифікатори пацієнтів, діагнози або власні молекулярні структури – навіть з моделей, які виглядають належним чином санізованим.
Виклик відповідності
Для фармацевтичних компаній регуляторні наслідки неконтрольованого використання AI створюють ідеальну шторм. У звіті Kiteworks встановлено, що лише 12% організацій перераховують порушення відповідності серед своїх найкращих проблем ШІ – небезпечне сліпого місця, враховуючи прискорення регуляторного виконання. Звіт про індекс AI Стенфорда підтверджує цей регуляторний сплеск, документуючи, що федеральні агенції США видали 59 правил, пов'язаних з AI у 2024 році, більше ніж удвічі більше, ніж 25, видані в 2023 році.
Поточні практики одночасно порушують декілька регуляторних вимог. HIPAA вимагає комплексних аудиторських стежок для всіх електронних захищених інформаційних медичних наук (EPHI), але компанії не можуть відслідковувати те, що перетікає в тіньові інструменти AI. Частина 11 CFR 11 FDA вимагає валідованих систем та електронних підписів для будь -яких клінічних даних, що обробляють систему, стандарти, які публічні платформи AI не можуть відповідати. GDPR передбачає можливість видалити особисту інформацію за запитом, але дані, вбудовані в моделі AI, не можуть бути отримані або видалені.
Пейзаж правоохоронних органів продовжує посилюватися по всьому світу, і Стенфорд повідомляє, що законодавчі згадки про ШІ збільшилися на 21,3% у 75 країнах. Це не пропозиції – вони несуть значні покарання та потенційну кримінальну відповідальність за керівників. Коли регулятори вимагають документації про використання AI під час аудиту, “ми не знали”, стає визнанням недбалості, а не захисту.
Традиційний підхід до дотримання – політика, навчання та періодичні огляди – повністю не вдається в контексті ШІ. Використання Shadow AI відбувається поза корпоративною видимістю, часто на особистих пристроях, які отримують доступ до послуг AI споживачів. У звіті про Varonis встановлено, що 98% компаній мають працівників, які використовують несанкціоновані додатки, при цьому кожна організація в середньому складає 1200 неофіційних додатків. На той час, коли команди з питань дотримання норм виявляють порушення, чутливі дані вже постійно всмоктуються в системах ШІ.
Чому фармацевтичні компанії особливо вразливі
Сучасна розробка наркотиків передбачає великі партнерські стосунки з CDMO, CROS, академічними установами та постачальниками технологій. Кожен партнер потенційно представляє нові інструменти AI та вразливості безпеки. Останній звіт про розслідування даних про порушення даних Verizon показав, що участь сторонніх сторон у порушеннях даних збільшилася з 15% до 30% лише за один рік.
Фармацевтична інтелектуальна власність має надзвичайну цінність, що робить її привабливою ціллю. Одна молекулярна структура може представляти можливість наркотиків на мільярд доларів. Дані клінічних випробувань визначають успіх або невдачу на ринку. Виробничі процеси забезпечують конкурентні переваги, які варто захистити. Коли працівники випадково діляться цією інформацією з інструментами AI, вони по суті публікують комерційну таємницю на глобальній платформі.
Шлях вперед: Будівництво реального захисту
У звіті Kiteworks зрозуміло, що залежні від людини заходи безпеки не вдалося в кожній галузі, включаючи фармацевтичні препарати. Звіт про індекс AI Стенфорда підкріплює це, показуючи, що, хоча організації визнають ризики-64% посилаються на неточність AI та 60%, що виявляють вразливості кібербезпеки-менше двох третин активно впроваджують гарантії. Компанії повинні негайно перейти до технічного управління, який автоматично запобігає несанкціонованому доступу до ШІ та опроміненням даних.
Основні елементи ефективного фармацевтичного управління AI починаються з автоматизованої класифікації даних та блокування. Системи повинні розпізнавати та запобігти конфіденційній інформації – будь то молекулярні структури, дані пацієнта чи клінічні результати – до досягнення несанкціонованих платформ AI. Для цього потрібна технологія, яка працює в режимі реального часу, скануючи потоки даних, перш ніж вони залишають корпоративний контроль.
Постійний моніторинг взаємодій AI з такими рішеннями, як шлюз даних AI, забезпечує видимість фармацевтичних компаній в даний час. Організації потрібні єдині платформи управління, які відстежують кожну точку дотику AI через хмарні сервіси, локальні системи та тінь.
Висновок
Фармацевтична промисловість стикається з скороченням вікна для вирішення витоку даних AI до того, як прийде катастрофічні наслідки. Оскільки 83% організацій, що працюють без основних технічних гарантій, при цьому крововиливши їх найцінніші дані, а інциденти AI збільшуються на 56,4% за рік, згідно з дослідженнями Стенфорда, розрив між сприйнятою та фактичною безпекою досяг критичних рівнів.
Вибір є Stark: впровадити реальний технічний контроль зараз або стикається з неминучими результатами – конкурентним недоліком, оскільки комерційна таємниця просочується до конкурентів, регуляторні штрафи як порушення, та пошкодження репутації, оскільки вплив даних пацієнтів робить заголовки. Громадська довіра до компаній AI вже впала з 50% до 47% лише за один рік, згідно з висновками Стенфорда. Для галузі, побудованої на інноваціях та довірі, неспроможність забезпечити використання AI загрожує обом. Час дій зараз, до наступної завантаженої молекули або клінічного набору даних стане завтрашньою конкурентною катастрофою.
Про автора:
Френк Балоніс – головний директор з питань інформаційної безпеки та старший віце -президент з операцій та підтримки в Kiteworks, що має понад 20 -річний досвід роботи в ІТ -підтримці та послугах. З моменту приєднання до Kiteworks у 2003 році Балоніс контролює технічну підтримку, успіх клієнтів, корпоративну ІТ та безпеку та дотримання, співпрацюючи з командами з продуктів та інженерії. Він проводить сертифіковану сертифікат з питань безпеки інформаційних систем (CISSP) та служив у ВМС США. До нього можна звернутися за адресою fbalonis@kiteworks.com.