An ninh mạng trong lĩnh vực chăm sóc sức khỏe

Tội phạm mạng gần đây đã chuyển từ tấn công các tập đoàn đa ngành lớn sang các ngành công nghiệp hẹp hơn, ví dụ như các lĩnh vực dịch vụ tài chính hoặc chăm sóc sức khỏe. Đặc biệt trong lĩnh vực chăm sóc sức khỏe, tin tặc chú trọng nhắm mục tiêu vào các thiết bị y tế của bệnh nhân được kết nối với Internet. Bài báo sẽ thông tin tới độc giả tình tình an ninh mạng trong lĩnh vực y tế, chăm sóc sức khỏe, các mối đe dọa từ bên trong, bên ngoài và đưa ra một số giải pháp giúp cải thiện tình hình an ninh mạng trong lĩnh vực này.

SỰ PHÁT TRIỂN CỦA CÔNG NGHỆ VÀ DỮ LIỆU Y TẾ

Việc số hóa các dịch vụ chăm sóc sức khỏe đã tạo ra những cơ hội và thách thức. Việc chăm sóc sức khỏe ngày càng phụ thuộc vào các công nghệ được kết nối với Internet: từ hồ sơ bệnh nhân, kết quả xét nghiệm đến thiết bị X quang và thậm chí cả hệ thống thang máy, camera,... trong bệnh viện. Điều đó tốt cho việc chăm sóc bệnh nhân vì nó tạo điều kiện thuận lợi cho việc tích hợp dữ liệu, sự tham gia của bệnh nhân trong quá trình trị bệnh (có thể hiểu là việc bệnh nhân tích cực tham gia vào quá trình chăm sóc sức khỏe của chính họ) và hỗ trợ lâm sàng, cận lâm sàng. Mặt khác, những công nghệ đó thường dễ bị tấn công mạng, dữ liệu của bệnh nhân có thể bị lấy cắp, tấn công có chủ đích vào hệ thống thanh toán để khai thác các hình thức trả phí điện tử (qua ví điện tử, thanh toán trực tuyến) hoặc làm gián đoạn hoạt động của bệnh viện cho đến khi trả tiền chuộc cho các dữ liệu đã bị tin tặc mã hóa.

Đa số trường hợp tin tặc sẽ đánh cắp thông tin bệnh nhân và mã hóa nó để đòi tiền chuộc. Vấn đề lớn ở đây là sự kết nối lẫn nhau trên môi trường mạng, mỗi ứng dụng hoặc thiết bị chạy trên mạng đều có thể là điểm xâm nhập cho một cuộc tấn công mạng. Cho đến nay, hầu hết các tin tặc đã chọn phương pháp lây nhiễm mã độc tống tiền (ransomware) vào phần mềm bệnh viện để ngăn nhân viên truy cập hồ sơ bệnh nhân hoặc lên lịch hẹn. Thậm chí trong một số trường hợp, tin tặc có thể coi là khủng bố, không những vô hiệu hóa các thiết bị y tế đang hoạt động mà còn gây ra hậu quả nghiêm trọng đối với sức khỏe bệnh nhân. Việc đảm bảo an toàn tuyệt đối cho an ninh mạng trong lĩnh vực y tế nhìn chung là khó có thể đạt được,và thường vượt quá khả năng tài chính của các tổ chức y tế; tuy nhiên, các bước quan trọng có thể được lựa chọn thực hiện phù hợp với thực trạng của từng cơ sở chăm sóc y tế để giảm thiểu nguy cơ tấn công mạng.

CÁC MỐI ĐE DỌA BÊN TRONG VÀ BÊN NGOÀI CÁC CƠ SỞ Y TẾ

Lợi nhuận liên quan đến việc đánh cắp dữ liệu y tế có thể mang lại lợi ích kinh tế đáng kể cho tin tặc khi bán những dữ liệu đó trên thị trường chợ đen. Một hồ sơ bệnh án của một bệnh nhân có thể chứa thông tin có tính nhạy cảm cao, từ dữ liệu cá nhân như tên, ngày sinh, địa chỉ nhà và thông tin liên lạc đến thông tin chi tiết hơn về tình hình sức khỏe và lối sống của bệnh nhân. Nhưng trộm cắp dữ liệu không phải là loại hình duy nhất đe dọa đến các tổ chức chăm sóc sức khỏe. Vì lý do nào đó, tin tặc có thể chiếm được quyền kiểm soát cơ sở hạ tầng công nghệ thông tin quan trọng, qua đó có thể truy cập vào các thiết bị y tế hoặc hệ thống vật lý, ví dụ ngắt nguồn điện của tòa nhà, điều này có thể gây ra hậu quả rất nghiêm trọng.

Một điều quan trọng đó là cần xem xét kỹ hơn những mối đe dọa này đến từ đâu. Mối nguy hiểm không phải lúc nào cũng đến từ tin tặc bên ngoài tổ chức. Thực tế là kể cả các nhân viên đang làm việc trong tổ chức y tế cũng có thể một mối đe dọa an ninh mạng tương đương với tin tặc từ bên ngoài. Nói cách khác, các mối đe dọa đối với một tổ chức chăm sóc sức khoẻ có thể đến từ bên ngoài cũng như bên trong. Tác nhân bên ngoài là bất kỳ ai không có liên hệ với tổ chức, có thể là các tin tặc riêng lẻ, đối thủ cạnh tranh, tội phạm hoặc thậm chí tổ chức khủng bố. Các kiểu tấn công được sử dụng rất đa dạng. Dưới đây là ví dụ về các tấn công phổ biến nhất:

Xâm nhập vật lý: khi kẻ gian thực hiện thành công việc đột nhập trái phép vào tòa nhà , từ đó có thể xác định vị trí, truy cập vào các máy trạm, máy chủ, tệp tin vật lý, thiết bị y tế để đánh cắp, hủy hoặc sao chép dữ liệu.

Khai thác lỗ hổng của hệ thống công nghệ thông tin: bằng cách khai thác các lỗ hổng bảo mật có trên hệ thống, tin tặc có được quyền truy cập trái phép vào cơ sở dữ liệu từ đó thực hiện sao chép hoặc xóa dữ liệu quan trọng.

Lây nhiễm phần mềm độc hại: chương trình máy tính có chứa mã độc có thể vô tình được tải xuống bởi một nhân viên bất cẩn từ một trang web hoặc từ tệp tin đính kèm email. Một hình thức tấn công tinh vi hơn là cố tình đánh rơi một USB chứa đầy phần mềm độc hại ở khu vực công cộng, như bãi đỗ xe hoặc phòng chờ thăm khám, tin tặc hy vọng rằng vì tò mò, ai đó sẽ cắm nó vào máy tính và phát tán phần mềm độc hại trong đó vào mạng nội bộ của tổ chức.

Kỹ nghệ xã hội (hay tấn công phi kỹ thuật): kẻ tấn công bên ngoài thao túng một nhân viên y tế nhằm khai thác thông tin nhạy cảm, ví dụ quyền truy cập cơ sở dữ liệu chăm sóc sức khỏe.

Như vậy chúng ta có thể thấy trong khi hầu hết các mối đe dọa bên ngoài có động cơ độc hại thì phần lớn các cuộc tấn công từ bên trong có thể xảy ra chỉ vì tò mò hoặc vì sự bất cẩn đối với các thủ tục an ninh tiêu chuẩn hoặc do thiếu nhận thức về an toàn thông tin.

MỘT SỐ GIẢI PHÁP CẢI THIỆN AN NINH MẠNG TRONG LĨNH VỰC CHĂM SÓC SỨC KHỎE

Quy trình vệ sinh mạng cho các thiết bị kỹ thuật số và phần mềm

Một trong những cách quan trọng nhất để duy trì an ninh mạng đó là vệ sinh mạng (cyber hygiene), nó có thể giúp cho dữ liệu và thiết bị an toàn và được bảo vệ. Các hoạt động vệ sinh mạng cần phải được diễn ra thường xuyên.

Quy trình vệ sinh mạng cho các thiết bị kỹ thuật số và phần mềm có ích cho cả bảo trì và quản lý an ninh, trong đó an ninh có lẽ là lý do quan trọng nhất để thực hiện quy trình vệ sinh mạng. Có thể áp dụng 09 bước cần thiết sau để đảm bảo vệ sinh mạng.

Bước 1: Cài đặt phần mềm diệt virus và phần mềm diệt mã độc uy tín.

Bước 2: Sử dụng tường lửa mạng, bao gồm cả tường lửa mềm và tường lửa cứng.

Bước 3: Thường xuyên cập nhật phần mềm, đặc biệt là hệ điều hành.

Bước 4: Thiết lập mật khẩu mạnh, bao gồm độ dài đủ lớn, tổ hợp ký tự đủ phức tạp.

Bước 5: Sử dụng xác thực đa yếu tố

Bước 6: Triển khai việc mã hóa thiết bị.

Bước 7: Định kỳ sao lưu dữ liệu.

Bước 8: Giữ ổ cứng luôn sạch sẽ, ví dụ khi xóa file hoặc bán thanh lý máy tính thì đảm bảo dữ liệu trên ổ cứng phải được xóa triệt để.

Bước 9: Bảo mật cho bộ định tuyến, từ bộ định tuyến đầu vào cho hệ thống mạng cho đến các bộ định tuyến không dây cần có các thiết lập bảo mật đủ mạnh như mã hóa WPA2/3 và WPA Enterprise.

Thiết lập văn hóa an ninh mạng tại các tổ chức

Về cơ bản, văn hóa an ninh mạng đề cập đến cách thức an ninh mạng được hiểu và thể hiện trong tổ chức chăm sóc sức khỏe hoặc một bộ phận hoặc đơn vị cụ thể trong tổ chức đó. Một nền văn hóa an ninh mạng tích cực tồn tại trong một tổ chức nếu an ninh mạng được bộ phận quản lý của tổ chức đó thúc đẩy mạnh mẽ. Ví dụ có đào tạo thường xuyên cho tất cả các nhóm nhân viên và trong môi trường đó mọi nhân viên đều có thể đưa ra phản hồi hoặc đặt ra các câu hỏi về các chủ đề liên quan đến an ninh mạng. Một nền văn hóa an ninh mạng tích cực giúp trang bị các kỹ năng an ninh mạng như mã hóa, quản lý mật khẩu, cập nhật phần mềm và gửi email an toàn, vệ sinh mạng,...

Phần lớn các sự cố an ninh mạng trong các tổ chức là do hoạt động và hành vi của nhân viên. Văn hóa trong một tổ chức có ảnh hưởng mạnh mẽ đến hành vi của nhân viên và những lựa chọn họ đưa ra trong công việc. Như vậy, đầu tư xây dựng văn hóa an ninh mạng tích cực trong các tổ chức sẽ giúp giảm thiểu và ngăn ngừa các sự cố bảo mật. Tốt nhất nên sử dụng nhiều nguồn để đánh giá văn hóa an ninh mạng hiện tại trong một tổ chức. Các nguồn chính để xác định văn hóa hiện tại trong một tổ chức có thể là như sau:

- Sử dụng khảo sát, quan sát và phỏng vấn để đánh giá kiến thức, niềm tin, nhận thức, thái độ của nhân viên đối với vấn đề an ninh mạng.

- Xem xét các quy trình và chính sách của tổ chức.

- Phỏng vấn quản lý để đánh giá xem vấn đề cốt lõi của nhóm của họ nằm ở đâu.

- Sử dụng các công cụ bảo mật công nghệ thông tin, tệp nhật ký và phiếu hỗ trợ công nghệ thông tin để xác định các vấn đề chính.

- Sử dụng các phương pháp kiểm tra bảo mật, chẳng hạn như tập huấn chống lừa đảo và phần mềm độc hại, để xác định phản hồi của nhân viên

KẾT LUẬN

An ninh mạng trong lĩnh vực chăm sóc sức khỏe là một chủ đề đang nhận được sự quan tâm, chú ý lớn bởi vì có thể ảnh hưởng trực tiếp đến sức khỏe con người. Các tổ chức y tế cần có sự quan tâm đầu tư đến vấn đề này như những thông tin đã được đề cập ở phần trên của bài viết. Tại Việt Nam, lĩnh vực y tế là một trong mười một lĩnh vực quan trọng ưu tiên bảo đảm an toàn thông tin mạng (theo Quyết định số 632/QĐ-TTg ngày 10/5/2017). Vào ngày 16/11/2023, tại Bộ Y tế đã diễn ra lễ ký kết phối hợp giữa Trung tâm Thông tin Y tế Quốc gia, Bộ Y tế và Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an về tăng cường công tác an toàn, an ninh mạng trong lĩnh vực y tế. Trong thời gian tới, vẫn đề an ninh mạng trong lĩnh vực chăm sóc sức khỏe sẽ tiếp tục được các chính phủ, tổ chức và người dân quan tâm, đầu tư hơn nữa.