14.2.4 Beteg adatvédelem megsértése

2025.10.06.
AI Biztonság Blog

A diagnózis pontossága mellett a betegbizalom a legértékesebb valuta az egészségügyben. Az AI-rendszerek ezt a valutát kétélű fegyverré tehetik. Míg egyfelől soha nem látott mértékű elemzési képességekkel ruházzák fel az orvosokat, másfelől olyan új, kifinomult támadási felületeket nyitnak, amelyek messze túlmutatnak a hagyományos adatbázis-feltöréseken. Itt a Red Teamer feladata nem egy szerver, hanem egy modell „lelkének” feltörése.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az új támadási vektorok: Amikor a modell „pletykál”

A klasszikus adatvédelmi incidens egyértelmű: valaki illetéktelenül hozzáfér egy adatbázishoz, és ellopja a rekordokat. Az AI korában a helyzet sokkal árnyaltabb. A támadónak nem kell feltétlenül hozzáférnie a nyers adatokhoz. Elég, ha hozzáfér a betanított modellhez, és megfelelő kérdéseket tesz fel neki. Az alábbiakban a leggyakoribb AI-specifikus adatvédelmi támadásokat vizsgáljuk meg egészségügyi kontextusban.

  • Tagsági következtetési támadás (Membership Inference Attack): A támadó megpróbálja megállapítani, hogy egy adott személy adatai szerepeltek-e a modell tanító adathalmazában. Képzelj el egy modellt, ami ritka genetikai betegségek előrejelzésére szakosodott. Ha egy támadó be tudja bizonyítani, hogy egy ismert közéleti szereplő adatai a tanítóhalmazban voltak, azzal gyakorlatilag diagnosztizálta őt a betegséggel.
  • Modellinverziós támadás (Model Inversion Attack): Ez a támadás a modellből próbálja visszafejteni a tanítóadatok jellemzőit. Egy képalkotó diagnosztikai modell esetében ez azt jelentheti, hogy a támadó képes lehet egy „átlagos” daganatos beteg arcát vagy egy jellegzetes röntgenképét rekonstruálni, ami ijesztően hasonlíthat egy valódi páciensére.
  • Tulajdonság-következtetési támadás (Attribute Inference Attack): A támadó a modell segítségével olyan információkat tud meg egy személyről, amelyek nem voltak közvetlenül a lekérdezés tárgyai. Például egy gyógyszer-mellékhatást előrejelző modellből következtethet egy páciens egyéb, nem publikus egészségügyi állapotaira, pusztán a modell válaszainak mintázata alapján.

Védelmi stratégiák: A digitális hippokratészi eskü

A védekezés nem merülhet ki a hozzáférés-szabályozásban és a titkosításban. Olyan technikákra van szükség, amelyek a modell belső működését teszik ellenállóbbá a kíváncsi szemekkel szemben.

1. Differenciális Adatvédelem: Zaj a rendszerben

A differenciális adatvédelem (Differential Privacy, DP) lényege, hogy statisztikai zajt adunk a tanítási folyamathoz vagy a modell kimenetéhez. A zaj mértéke pont annyi, hogy egyetlen egyéni adatpont megléte vagy hiánya ne legyen kimutatható a modell viselkedéséből, miközben az aggregált statisztikai tulajdonságok megmaradnak. Ezzel gyakorlatilag lehetetlenné tesszük a tagsági következtetési támadásokat.

# Pszeudokód: Differenciálisan privát átlagszámítás
# Ez egy egyszerűsített példa a koncepció illusztrálására

import numpy as np

def privat_atlag(adatok, epsilon):
 """
 Kiszámolja az adatok átlagát differenciális adatvédelemmel.
 
 Args:
 adatok (list): Érzékeny numerikus adatok (pl. betegek koleszterinszintje).
 epsilon (float): Adatvédelmi "költségvetés". Minél kisebb, annál erősebb a védelem.
 """
 # Az adatok érzékenysége (sensitivity). 
 # Itt feltételezzük, hogy az adatok 0 és 100 között vannak normalizálva.
 szenzitivitas = 100 / len(adatok)
 
 # Laplace zaj mértékének (scale) kiszámítása
 skala = szenzitivitas / epsilon
 
 # Valós átlag kiszámítása
 valos_atlag = np.mean(adatok)
 
 # Zaj generálása és hozzáadása
 zaj = np.random.laplace(0, skala)
 
 return valos_atlag + zaj

# Példa használat
# 1000 beteg koleszterinszintje (szimulált)
koleszterin_adatok = np.random.normal(loc=200, scale=30, size=1000)
privat_eredmeny = privat_atlag(koleszterin_adatok, epsilon=0.1)

print(f"Valós átlag: {np.mean(koleszterin_adatok):.2f}")
print(f"Differenciálisan privát átlag: {privat_eredmeny:.2f}")

A fenti példa bemutatja, hogyan lehet egy egyszerű aggregált statisztikát (átlag) megvédeni. Komplexebb modellek tanításánál a zajt a gradiens frissítésekhez adjuk hozzá (pl. DP-SGD algoritmus).

2. Egyesített Tanulás: Az adat sosem hagyja el az erődöt

Különösen több intézmény együttműködésénél kritikus, hogy a páciensek adatai ne hagyják el a kórház biztonságos hálózatát. Az egyesített tanulás (vagy föderált, Federated Learning) erre kínál elegáns megoldást. 

A központi modellt kiküldik a résztvevő intézményekhez, ahol a helyi adatokon történik a tanítás. Az intézmények azonban nem a nyers adatokat, hanem csak a modell súlyainak frissítéseit (gradiens update) küldik vissza a központi szervernek, ahol ezeket aggregálják. Így a modell tanulhat a kollektív tudásból anélkül, hogy a szenzitív adatok mozognának.

Központi Szerver(Globális Modell) Kórház A(Lokális Adatok) Kórház B(Lokális Adatok) Kórház C(Lokális Adatok) 1. Globális modell letöltése 2. Lokális frissítések feltöltése (NEM a nyers adatok!)

3. Robusztus de-identifikáció

Az adatok anonimizálása alapvető, de a naiv megközelítések (pl. csak a név és TAJ-szám eltávolítása) hatástalanok. A ritka diagnózisok, demográfiai adatok és a látogatási idők kombinációja könnyen újra-azonosíthatóvá teheti a beteget. 

Az AI Red Team feladata pont az ilyen „pszeudo-anonimizált” adathalmazok támadása és a re-identifikáció megkísérlése.

Technika Megközelítés Kockázat
Naiv anonimizálás Név, TAJ-szám, cím eltávolítása. Magas. A kvázi-azonosítók (kor, irányítószám, diagnózis) kombinációja lehetővé teszi az újra-azonosítást.
k-anonimitás Az adathalmazt úgy módosítják, hogy minden rekord legalább k-1 másik rekordtól megkülönböztethetetlen legyen a kvázi-azonosítók alapján. Közepes. Véd az összekapcsolási támadások ellen, de sebezhető, ha egy csoporton belül mindenki ugyanazzal az érzékeny attribútummal (pl. diagnózis) rendelkezik.
l-diverzitás / t-közelség A k-anonimitás kiterjesztése. Biztosítja, hogy minden kvázi-azonosító csoporton belül az érzékeny attribútumok is kellően változatosak (l-diverzitás) vagy közel állnak a teljes adathalmaz eloszlásához (t-közelség). Alacsony. Jelentősen megnehezíti a tulajdonság-következtetési támadásokat.

Az AI Red Team szerepe: A bizalom tesztelése

Ebben a kontextusban az AI Red Team nem csak a hálózati sebezhetőségeket keresi. A feladat egy rosszindulatú, de technikailag képzett kutató, egy belsős fenyegetés vagy egy versenytárs szimulálása. A cél a modell „kifaggatása” és a rejtett információk kinyerése.

A gyakorlatban ez a következőket jelenti:

  • Tagsági következtetési forgatókönyvek futtatása: A csapat létrehoz egy „árnyék” modellt a célmodell viselkedésének utánzására, majd ennek segítségével próbálja megállapítani, hogy ismert „áldozatok” adatai benne voltak-e a tanítóhalmazban.
  • Modellinverziós kísérletek: Különösen generatív modellek (pl. szintetikus orvosi képeket generáló GAN-ok) esetében a csapat megpróbál olyan inputokat találni, amelyek a modellt a tanítóadatok lemásolására kényszerítik.
  • Differenciális adatvédelem implementációjának validálása: Az epsilon érték helyes megválasztása kritikus. A Red Team feladata annak tesztelése, hogy a választott adatvédelmi szint valóban elegendő-e a gyakorlati támadásokkal szemben, anélkül, hogy a modell hasznossága túlságosan lecsökkenne.

Végső soron a betegadatok védelme az AI-vezérelt egészségügyben nem egy egyszeri megfelelőségi feladat, hanem egy folyamatos küzdelem. 

A támadási technikák fejlődésével a védelmi stratégiáknak is lépést kell tartaniuk, és ebben a folyamatban a proaktív, támadó szemléletű tesztelés – az AI Red Teaming – elengedhetetlen.

14.2.3 Gyógyszerfelfedezés mérgezése

2025.10.06.

14.3.1. Fenyegetés észlelés elkerülése

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit