El NHS de Inglaterra normalmente hace que el software que desarrolla sea de código abierto.
Marcos Thomas/Shutterstock
La decisión del NHS de Inglaterra de retirar el código fuente abierto creado con fondos de los contribuyentes del Reino Unido debido al riesgo que representan los modelos de IA para piratería informática está generando una reacción cada vez mayor.
El mes pasado, se informó ampliamente que Mythos, una IA creada por la firma de tecnología Anthropic, era capaz de descubrir fallas en prácticamente cualquier software, lo que podría permitir a los piratas informáticos ingresar a los sistemas que lo ejecutan. NHS England ha dicho a su personal que el software existente y futuro debe retirarse de la vista del público y mantenerse a puerta cerrada antes del 11 de mayo debido a este riesgo.
La decisión va en contra del estándar de servicio del NHS, que exige que el personal haga que cualquier software que produzca sea de código abierto para que las herramientas puedan desarrollarse, mejorarse y utilizarse sin necesidad de duplicar esfuerzos. Y los expertos dicen que retirar el código de la vista del público no hará nada para mejorar la seguridad.
Ahora, una carta abierta pidiendo al NHS de Inglaterra que revoque su decisión está atrayendo cientos de firmas. En el momento de escribir este artículo, 682 personas han firmado la carta, incluido el autor y activista de los derechos digitales Cory Doctorow y el exsecretario de salud del Reino Unido Matt Hancock, quien, cuando New Scientist lo contactó para hacer comentarios, señaló una publicación en LinkedIn en la que calificó la política como un “gran error”.
“Una de las cosas más inteligentes que ha hecho el NHS en los últimos años es abrir su código. Los contribuyentes pagaron por ello, por lo que deberían beneficiarse de ello”, escribió Hancock. “Pero el caso práctico es igual de sólido: el código fuente abierto se prueba más rigurosamente, es más seguro y permite que las mejores mentes de cualquier parte del mundo construyan sobre él”.
Vlad-Stefan Harbuz de la Universidad de Edimburgo, Reino Unido, es coautor de la carta abierta. Tiene acceso a Mythos y formó parte de un grupo que lo utilizó recientemente para escanear el código abierto del NHS en busca de vulnerabilidades. Encontraron “algunas vulnerabilidades relativamente graves” que fueron reveladas responsablemente al NHS antes de la decisión de retirar proyectos de código abierto.
“No sé si las vulnerabilidades que informamos fueron el impulso para esto, pero probablemente fueron parte de ello”, dice Harbuz. “Auditorías de seguridad periódicas y disponibles públicamente [large language models] Podemos encontrar las mismas vulnerabilidades que encontramos. Mythos hace que las cosas requieran un poco menos de mano de obra. Pero el verdadero problema es una inversión insuficiente sistémica en ciberseguridad, algo que ya ocurría incluso antes de que Mythos existiera”.
Harbuz cree que las copias de seguridad de todo el código del NHS seguirán existiendo y se utilizarán para entrenar una variedad de modelos de IA, pero sacarlas de GitHub impide que los expertos que se preocupan por la calidad y la seguridad de los servicios públicos contribuyan. “ISon los ayudantes a quienes perjudicamos al hacer que las cosas sean de código cerrado, no los atacantes”, dice Harbuz.
El Instituto de Seguridad de IA (AISI), respaldado por el gobierno del Reino Unido, investigó Mythos y descubrió que era capaz de atacar sólo “sistemas empresariales pequeños, débilmente defendidos y vulnerables”, y concluyó que no había indicios de que una red o un software realmente seguro estuviera en riesgo.
Terence Eden, que tiene una amplia experiencia en la administración pública del Reino Unido trabajando en la apertura del acceso a datos públicos, está de acuerdo en que la medida no tiene sentido lógico.
“La fe de la gente en el NHS depende de que el servicio de salud sea abierto, transparente y honesto. Dado que gran parte de nuestra atención médica depende de herramientas digitales, eso significa que el código abierto no es negociable. Tenemos derecho a ver cómo funcionan estas herramientas. Insto encarecidamente al NHS a responder positivamente a la petición y cumplir sus promesas a la comunidad”, dice Eden.
el reino unido El Departamento de Salud y Atención Social no respondió a una solicitud de comentarios, mientras que un El portavoz del NHS England repitió su declaración anterior: “Estamos restringiendo temporalmente el acceso a algunos códigos fuente del NHS England para fortalecer aún más la ciberseguridad mientras evaluamos el impacto de los rápidos desarrollos en los modelos de IA. Continuaremos publicando el código fuente cuando exista una clara necesidad”.
Temas: