跳转至

第 54 章 AI 时代的网络安全(Cybersecurity in the Era of Artificial Intelligence)

作者

  • Anton S. Becker, MD, PhD(通讯作者)—— Memorial Sloan Kettering Cancer Center, New York, NY, USA。

本章位于 Part V 通用考虑部分,承接第 53 章(论文写作)后,转向AI 时代的网络安全。Becker 来自 Memorial Sloan Kettering Cancer Center(MSKCC)放射科,是 AI + 网络安全 + 放射学的跨领域专家。本章篇幅较短(23K 字节 / 216 行),但涵盖"AI + 网络安全" 的关键概念。

内容概述

本章从"AI 与网络安全" 的交叉视角阐述医疗系统的网络安全挑战:

  1. 核心定义
  2. AI / 机器学习(ML)的同义使用
  3. 生成模型(Generative Models, GM)vs. 判别模型
  4. 网络安全 = 保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)
  5. 医疗网络安全
  6. 医疗 IT 预算占比仅 1-2%(其他行业 4-10%)
  7. 大量运行过时软件(Windows XP / Internet Explorer)
  8. 常见网络攻击类型
  9. 拦截 / 数据窃取(Interception / Data Theft)
  10. 恶意软件 / 勒索软件(Malware / Ransomware)
  11. 僵尸网络 / 僵尸机(Botnets / Zombies)
  12. 冒充 / 钓鱼 / 社交工程(Impersonation / Phishing / Social Engineering)
  13. 机构保护措施
  14. 跨部门协作
  15. 培训员工
  16. 备份与恢复
  17. 设备锁定

核心概念

1. 网络安全三要素(CIA Triad)

要素 含义 攻击案例
Confidentiality 保密性 数据仅授权方可访问 数据窃取
Integrity 完整性 数据不被篡改 影像数据篡改
Availability 可用性 系统持续可用 勒索软件、DDos

2. AI / ML 攻击 vs. 防御场景

攻击类型 攻击用法 防御用法
拦截 / 数据窃取 操纵多模态患者数据隐藏真实诊断 加密 + honeypot + GAN 生成假数据
勒索软件 定向攻击价值数据 异常网络活动检测
僵尸网络 劫持计算资源训练非法 AI DDoS 检测
冒充 / 钓鱼 / 深度伪造 Deepfake 视频 / 语音 检测深度伪造
影像对抗 GAN 修改影像(如在乳腺图中插入 / 移除病灶) 对抗训练 + 鲁棒模型

3. 关键概念辨析

  • AI vs. ML:本章将 AI 与 ML 同义使用,包括深度卷积神经网络(DCNN)、随机森林(RF)等所有"计算算法"。
  • 生成模型 vs. 判别模型
  • 判别模型:分类(如癌 vs. 良性)
  • 生成模型:创造新数据(如 CycleGAN 修改乳腺图)
  • 生成对抗网络(GAN):Goodfellow 2014 提出,博弈论框架,生成器 + 判别器对抗训练。
  • CycleGAN:Zhu 2017 ICCV,Cycle-Consistent GAN,无配对图像转换,可用于"插入 / 移除 乳腺病灶"。
  • "深度伪造(Deepfake)":AI 生成逼真的视频 / 音频 / 图像——Joe Rogan 语音生成案例(Dessa 2019)。
  • "单像素攻击(One-pixel attack)":Su 2019 IEEE TEVC——修改一个像素即可欺骗深度神经网络。
  • 加密 vs. 计算开销:增加加密级别 → 增加计算开销 → 降低数据吞吐量——平衡"安全 vs. 性能"。
  • "AI 军备竞赛":AI 用于攻击 → AI 用于防御 → 持续"军备竞赛"。
  • "零信任(Zero Trust)":传统 IT 安全"城堡" 模型(内部网络被视为安全)已过时——需"零信任" 架构。
  • "Honeypot(蜜罐)":假系统用于诱捕攻击者——GAN 可生成虚假 DICOM 影像作为 honeypot。
  • "僵尸网络(Botnet)" + 分布式 AI 训练:劫持计算资源训练非法 AI。
  • "勒索软件 WannaCry 2017":英国 NHS 损失数亿美元。
  • "医疗 IT 预算" 滞后:英国 NHS IT 预算仅占年预算 1-2%,远低于其他行业 4-10%。
  • "过时软件" 风险:Windows XP / Internet Explorer 仍在许多医院使用——大安全风险。
  • "钢琴家" 类比:攻击者需"多模态操纵" 患者数据(影像 + 病理 + 临床 + 实验室)才能制造可信假诊断——单一模态操纵易被识破。

关键结论

  • 网络安全 = 保密性 + 完整性 + 可用性——医疗数据三要素缺一不可。
  • 医疗网络安全投入严重不足——IT 预算仅占年预算 1-2%(其他行业 4-10%)。
  • 医疗行业运行大量过时软件——大安全风险。
  • AI 是"双刃剑"——可用于攻击(GAN 操纵影像、Deepfake 语音),也可用于防御(异常检测、honeypot)。
  • 网络安全是"持续军备竞赛"——AI 必然催生下一代"攻防竞赛"。
  • 医疗数据多模态——攻击者需"钢琴家" 式多模态操纵才能制造可信假诊断。
  • 单像素攻击可欺骗深度神经网络——AI 模型的"鲁棒性" 是核心挑战。
  • 勒索软件 WannaCry 2017 造成医疗系统数亿美元损失。
  • Deepfake 已能生成"高度逼真" 视频 / 语音——未来攻击更难识别。
  • 防御措施需"跨部门协作"(临床 + 业务 + 技术)。
  • 员工培训是网络安全的"基石"——"最弱链" 是"黄便利贴密码"。
  • 备份与恢复计划需定期测试。
  • 设备锁定、长 PIN / 密码、禁止密码重用是基础措施。
  • "Muddling through"(摸着石头过河)反应式领导方式不足以应对网络安全。
  • "主动式" 网络安全领导(理解医院核心流程)是医疗网络安全的关键。

挑战和开放性问题

  • "AI 攻击" 的"假设性" 现状:本章描述的攻击多为"理论性"——实际 AI 攻击尚未大规模发生。
  • "持续学习" AI 模型的"持续攻防" 难题:AI 模型持续学习导致攻防"持续变化"——传统"一次性防御" 框架不足。
  • "医疗数据多模态" 的"攻击难度" 反而是"防御难度":多模态数据是攻击者难以伪造的"护城河",但也是防御者难以监控的"弱维度"。
  • "GAN 攻击" 的"可检测性" 难题:GAN 生成的假影像越来越逼真——可检测性下降。
  • "AI 防御" 的"算力需求":AI 防御需大量计算资源(实时异常检测、加密)——医疗 IT 预算不足。
  • "加密 vs. 性能" 的"权衡" 难题:医疗影像(CT / MR)数据量大——全加密影响工作流效率。
  • "零信任架构" 实施成本:零信任架构需重塑医院 IT 基础设施——成本高、周期长。
  • "勒索软件" 的"高 ROI":攻击者投入小、回报大(医院付赎金比例高)——攻击动机强。
  • "过时软件" 的"迁移成本":迁移到现代 OS / 浏览器需大量测试 + 培训——医院不愿承担。
  • "员工培训" 的"持续性" 难题:网络安全意识培训需"持续" 而非"一次"——医院培训资源不足。
  • "AI 攻击 vs. AI 防御" 的"不对称":攻击者只需找到"一个漏洞",防御者需堵住"所有漏洞"——不对称。
  • "AI 攻防" 的"AI 算力" 需求:攻防 AI 需大量计算资源——只有大型机构(科技公司、政府)能负担。
  • "国家行为体" 攻击:医院网络攻击可能是"国家行为体"(中俄朝等)——医院难以防御。
  • "医疗数据商业价值":医疗数据在黑市价值高($1000+ / 记录)——攻击动机强。
  • "AI 工具的'供应链攻击'":AI 模型可能含"后门"或"恶意代码"——开源模型的供应链安全是新挑战。
  • "AI 工具的'持续验证' 与'持续监控'" 难题:AI 工具在生产环境的"持续监控" 缺标准框架。

个人反思与批判性分析

  • 作者单兵作战的"独特视角":Becker 来自 MSKCC(世界顶级癌症中心),单作者撰写本章——这种"单兵作战" 体现了"AI + 网络安全 + 放射学" 跨领域专家的稀缺性。MSKCC 是医疗网络安全研究的重镇,Becker 的研究横跨"AI 算法 + 医学影像 + 攻击 / 防御"。
  • "医疗 IT 预算" 的"系统性不足":英国 NHS IT 预算仅占年预算 1-2%(其他行业 4-10%)——这种"系统性不足" 是医疗网络安全的"根源性" 问题。医院在"网络安全" 投入上"政治优先级" 低于"患者护理"。
  • "医疗数据多模态" 的"双刃剑":医疗数据多模态是攻击者难以伪造的"护城河"(单一模态操纵易被识破),但也是防御者难以监控的"弱维度"(跨模态异常检测复杂)。Becker 的"钢琴家" 类比是医疗网络安全的重要概念贡献。
  • "AI 攻防" 的"双刃剑" 哲学:本章揭示 AI 是"双刃剑"——可用于攻击(GAN 操纵影像、Deepfake 语音),也可用于防御(异常检测、honeypot)。这种"攻防对称" 是 AI 时代网络安全的新特征。
  • "军备竞赛" 的"永恒性":网络安全是"持续军备竞赛"——Becker 强调"AI 必然催生下一代攻防竞赛"。这种"永恒性" 反映网络安全的"动态本质"——没有"一劳永逸" 的解决方案。
  • "过时软件" 的"迁移" 难题:医院运行 Windows XP / Internet Explorer 是"医疗 IT 现代化滞后" 的典型表现。迁移到现代 OS / 浏览器需大量测试 + 培训——医院不愿承担"短期停机" 风险。
  • "勒索软件" 的"高 ROI" 经济学:医院支付赎金比例高——攻击者投入小、回报大。这种"经济学" 是医疗网络安全的关键驱动因素。
  • "零信任架构" 的"范式转换":传统 IT 安全"城堡" 模型已过时——Becker 隐含"零信任" 思想(不信任内部网络、强制认证)。但实施"零信任" 需重塑 IT 基础设施——成本高、周期长。
  • "GAN 攻击" 在医学影像中的"现实威胁":Becker 团队 2019 Eur J Radiol 论文展示了 CycleGAN 在乳腺图中"插入 / 移除 病灶" 的可行性——这种"医学影像对抗攻击" 是医疗 AI 的"新前沿"。
  • "Muddling through" 反应的"不可持续":Abraham 等 2019 Business Horizons 提出的"muddling through" 反映医院 IT 领导的"反应式" 风格——这种"反应式" 不足以应对"主动 + 智能" 的 AI 攻击。
  • "AI 攻防" 的"算力不对称":攻防 AI 需大量计算资源——只有大型机构(科技公司、政府)能负担。这种"算力不对称" 使医院在"AI 防御" 中处于"弱势"。
  • "深度伪造" 的"社会工程" 风险:Deepfake 已能生成"高度逼真" 视频 / 语音——未来"CEO 视频通话"、"医生语音指示" 可能被伪造。这种"社会工程" 是医疗 AI 的"新威胁"。
  • 与第 49-53、55 章的协同:本章是网络安全主题专项,与法律 / 监管(Ch 49)、卫生经济学(Ch 50)、商业化(Ch 51)、伦理(Ch 52)、论文写作(Ch 53)、全球展望(Ch 55)形成"Part V 通用考虑" 完整图景。读者通过对比可学会"AI 在医疗的'非技术' 维度"。
  • "AI 工具的'供应链安全'":开源 AI 模型(PyTorch Hub / TensorFlow Hub / HuggingFace)可能含"后门"或"恶意代码"——这种"供应链安全" 是医疗 AI 的"新挑战"。

重要参考文献

  • [1] Becker AS, Marcon M, Ghafoor S, Wurnig MC, Frauenfelder T, Boss A. Deep learning in mammography: diagnostic accuracy of a multipurpose image analysis software in the detection of breast cancer. Invest Radiol. 2017;52(7):434-40.
  • [2] Su J, Vargas DV, Sakurai K. One pixel attack for fooling deep neural networks. IEEE Trans Evol Computat. 2019;23(5):828-41.
  • [3] Zhu J-Y, Park T, Isola P, Efros AA. Unpaired Image-to-Image Translation Using Cycle-Consistent Adversarial Networks. ICCV. 2017:2242-51.
  • [4] Becker AS, Jendele L, Skopek O, Berger N, Ghafoor S, Marcon M, et al. Injecting and removing suspicious features in breast imaging with CycleGAN: A pilot study of automated adversarial attacks using neural networks on small images. Eur J Radiol. 2019;120:108649.
  • [5] Goodfellow I, Pouget-Abadie J, Mirza M, Xu B, Warde-Farley D, Ozair S, et al. Generative Adversarial Nets. NeurIPS. 2014.
  • [6] Becker AS, Gugelmann D. AI-cyberterrorism in radiology: Threat or red herring? AuntMinnie. 2019.
  • [7] Kruse CS, Frederick B, Jacobson T, Monticone DK. Cybersecurity in healthcare: A systematic review of modern threats and trends. Technol Health Care. 2017;25(1):1-10.
  • [8] Martin G, Martin P, Hankin C, Darzi A, Kinross J. Cybersecurity and healthcare: how safe are we? BMJ. 2017;358:j3179.
  • [9] Dean J, Corrado G, Monga R, Chen K, Devin M, Mao M, et al. Large scale distributed deep networks. NeurIPS. 2012.
  • [10] Kadhim H, Mama R, Palermo J. RealTalk (Pt. II): How We Recreated Joe Rogan's Voice Using AI. Dessa News. 2019.
  • [11] Abraham C, Chatterjee D, Sims RR. Muddling through cybersecurity: Insights from the U.S. healthcare industry. Bus Horiz. 2019;62(4):539-48.