Rủi ro đối với an toàn thông tin trong lĩnh vực y tế
Theo kết quả Báo cáo về chi phí vi phạm dữ liệu năm 2021 của Tập đoàn công nghệ IBM (có trụ sở tại Mỹ), trong vòng 11 năm qua, dịch vụ y tế có chi phí vi phạm dữ liệu cao nhất, từ tổng chi phí trung bình là 7,13 triệu USD vào năm 2020 đã lên con số 9,23 triệu USD vào năm 2021 (tăng 29,5%).
Thông tin càng nhạy cảm và bí mật thì càng có giá trị trên dark web (web đen). Các nhà nghiên cứu bảo mật đã lưu ý rằng, dữ liệu thông tin y tế trên các diễn đàn dark web có giá trị lớn hơn so với dữ liệu thẻ tín dụng. Đó cũng là lý do tại sao các tin tặc lại thường hướng mục tiêu khai thác vào các thông tin, dữ liệu nhạy cảm từ các tổ chức y tế và chăm sóc sức khỏe.
Các tổ chức, dịch vụ hoạt động trong lĩnh vực y tế đặc biệt là mục tiêu của các cuộc tấn công ransomware, điều này đã khiến một số cơ quan, tổ chức khác phải đưa ra các cảnh báo đặc biệt. Dưới đây là một số cảnh báo như vậy:
Ransomware gây ra rủi ro cực kỳ nguy hiểm. Do tính chất nhạy cảm của dữ liệu được lưu trữ trong các tổ chức y tế (ví dụ như các bệnh viện), ransomware hiện không chỉ mã hóa dữ liệu của nạn nhân mà còn thường xuyên làm rò rỉ dữ liệu lên dark web.
Các yếu tố dẫn đến mất an toàn thông tin trong lĩnh vực y tế
Dưới đây là những yếu tố có thể dẫn đến nguy cơ cao khả năng bị tấn công vào các cơ sở y tế, dịch
vụ khám chữa bệnh:
1. Các thiết bị y tế được kết nối mạng có rủi ro cao
Thông thường, chúng ta nghe nói về những rủi ro của các thiết bị IoT. Đây thực chất là những thiết bị được kết nối mạng đơn giản để thực hiện một chức năng cụ thể. Ví dụ, nhiều thiết bị y tế được kết nối mạng trong bệnh viện, phòng khám để lưu trữ và truyền các số liệu thống kê, dữ liệu, biểu đồ, hồ sơ và nhiều loại dữ liệu khác. Điều đó có thể làm tăng đáng kể bề mặt tấn công.
Các thiết bị y tế có thể không được cập nhật các bản vá bằng các thiết bị bảo mật mới nhất cho hệ điều hành, firmware,… Bên cạnh đó, các thiết bị này có thể được đăng nhập và không được giám sát. Tất cả những yếu tố như vậy cùng một số yếu tố khác có thể dẫn đến sự gia tăng nguy cơ an ninh mạng.
Các tổ chức phải đảm bảo rằng họ có một bản kiểm kê thích hợp về mọi thiết bị y tế được kết nối trong hệ thống mạng, đồng thời giám sát, theo dõi, cập nhật các bản vá lỗi cần thiết để khắc phục các sự cố lỗ hổng bảo mật.
2. Mạng lưới y tế được kết nối với nhau không an toàn
Một thực trạng hiện nay là mạng lưới các bệnh viện lớn có thể được kết nối với các phòng khám nhỏ nhưng thường kém an toàn bảo mật. Mặc dù các mạng được kết nối với nhau cho phép thông tin được trao đổi nhanh chóng và dễ dàng, tuy nhiên nó có thể cung cấp một cách thuận tiện để tin tặc xâm nhập vào mục tiêu.
Các phòng khám có thể sử dụng các thiết bị mạng và chạy các giao thức bảo mật đã cũ và kém hiệu quả. Nhiều thiết bị điểm cuối có thể không được vá một cách thích hợp và thường xuyên đăng nhập bằng thông tin của quản trị viên. Việc truy cập vào một trang web độc hại có thể tạo ra cánh cửa cho phần mềm độc hại, ransomware hoặc một phương thức tấn công khác để xâm nhập vào mạng nhỏ hơn, sau đó chuyển đến mạng bệnh viện được kết nối thông qua các cổng đang mở và các kết nối được phép khác.
Việc triển khai mô hình zero-trust network giữa tất cả các mạng được kết nối và đảm bảo quyền truy cập với ít đặc quyền nhất vào các tài nguyên sẽ giúp tăng cường bảo mật cho các mạng lưới y tế.
3. Thiếu đào tạo về kỹ năng an toàn thông tin
Mặc dù các chuyên gia y tế có một số khóa đào tạo chuyên sâu, tuy nhiên những khóa học về nhận thức an toàn, an ninh thông tin thường không phải là một trong số đó. Do đó, nhiều cán bộ, chuyên gia y tế, cũng như các chuyên gia trong lĩnh vực khác, không được đào tạo đầy đủ về các kỹ năng an toàn thông tin, ví dụ như làm thế nào để nhận ra email lừa đảo, trang web độc hại hoặc phần mềm độc hại khác. Bên cạnh những rủi ro liên quan đến các trang thiết bị y tế và mạng lưới y tế được kết nối với nhau, điều này làm tăng thêm mối đe dọa đối với các tổ chức trong lĩnh vực y tế.
Các tổ chức cần phải đào tạo các kỹ năng cơ bản về an toàn thông tin thường xuyên cho tất cả nhân viên của mình, để đảm bảo rằng người dùng cuối (end-users) có được các kỹ năng cơ bản trước những mối đe dọa, chiến thuật khác nhau mà tin tặc thường sử dụng cho các cuộc tấn công lừa đảo hay kỹ nghệ xã hội.
4. Mật khẩu yếu hoặc bị xâm phạm
Cũng theo Báo cáo về chi phí vi phạm dữ liệu năm 2021 của IBM, một số thống kê đáng báo động có liên quan đến thông tin xác thực bị xâm phạm. Bao gồm:
Các tổ chức y tế có thể trở thành nạn nhân của các cuộc tấn công do thông tin đăng nhập bị xâm phạm, vì họ có thể gặp khó khăn trong việc phát hiện và cho phép tin tặc giả danh một người dùng nào đó có thông tin đăng nhập hợp pháp. Ngoài ra, các tin tặc cũng có thể biết được các mật khẩu ngay cả khi chúng được thiết lập phức tạp, nếu nằm trong danh sách mật khẩu bị xâm phạm. Nó có thể cung cấp quyền truy cập cho những tin tặc sử dụng danh sách bị xâm phạm trong tấn công password spraying, hoặc các cuộc tấn công thông tin xác thực khác.
Để giảm thiểu nguy cơ này, các tổ chức cần phải thực hiện các chính sách mật khẩu mạnh để ngăn chặn việc sử dụng mật khẩu yếu và bảo vệ mật khẩu tránh bị xâm phạm.
5. Thiếu đầu tư vào an ninh mạng
An ninh mạng trong lĩnh vực y tế đang bị đe dọa nghiêm trọng, một phần do thiếu sự đầu tư vào các giải pháp và công nghệ bảo mật thích hợp. Một nghiên cứu cho biết, trung bình các tổ chức y tế chỉ dành khoảng 5% ngân sách công nghệ thông tin của họ cho các vấn đề về an ninh mạng, trong khi phần còn lại dành cho việc áp dụng các công nghệ mới.
Điều đó có thể dẫn đến một kết quả ít mong muốn đến là sự mở rộng của các bề mặt tấn công và thiếu các công cụ cần thiết để bảo vệ hệ thống tránh khỏi các cuộc tấn công mạng.
Chính vì vậy, lãnh đạo cùng cán bộ các phòng ban liên quan sẽ cần phải nghiên cứu và tìm hiểu thật kỹ lưỡng về sự cần thiết phải ưu tiên đầu tư cơ sở hạ tầng an ninh mạng trong tổ chức của mình. Đồng thời, đánh giá rủi ro cũng cần phải xem xét tác động của một cuộc tấn công có thể xảy ra, điển hình như ransomware đối với dữ liệu nhạy cảm của bệnh nhân và những hậu quả đối với tổ chức nếu dữ liệu bị rò rỉ.
Tăng cường bảo vệ mật khẩu trong lĩnh vực y tế
Như đã đề cập trước đó, bảo vệ mật khẩu là một mối quan tâm lớn. Các tin tặc thường sử dụng thông tin đăng nhập bị xâm phạm để dễ dàng truy cập vào mạng lưới của các doanh nghiệp, bao gồm cả mạng lưới của các tổ chức y tế. Do đó, các chính sách mật khẩu kém và các vấn đề bảo mật liên quan đến mật khẩu có thể dẫn đến các lỗ hổng nghiêm trọng trên diện rộng.
Các tổ chức họạt động trong lĩnh vực y tế thường sử dụng chính sách mật khẩu trong Active Directory của Microsoft như một phần của Chính sách nhóm – Group Policy. Specops Password Policy là một giải pháp chính sách mật khẩu mạnh mẽ, bổ sung các tính năng chính cho các chính sách mật khẩu Active Directory hiện có, bao gồm Breached Password Protection.
Chính sách bảo vệ mật khẩu của Specops Password Policy trong Active Directory
Bên cạnh tính năng Breached Password Protection được cung cấp bởi Specops Password Policy, giải pháp này còn cung cấp một số tính năng khác như sau:
Đinh Hồng Đạt
Lê Bích Hằng
10:00 | 14/09/2021
10:00 | 10/04/2024
14:00 | 06/08/2021
14:00 | 03/06/2021
10:00 | 19/03/2024
Làn sóng khởi nghiệp về Trí tuệ nhân tạo (AI) đang dần nóng lên trong cuộc chiến giành nhân tài ở châu Âu, khiến các công ty như Google DeepMind phải đưa ra lựa chọn giữa việc trả mức lương hấp dẫn hoặc đánh mất những bộ óc giỏi nhất của công ty mình.
16:00 | 15/03/2024
Hàng năm, Microsoft phát hành Báo cáo phòng thủ kỹ thuật số. Đây là một bản đánh giá toàn diện về bối cảnh các mối đe dọa toàn cầu và các xu hướng lớn nhất trong lĩnh vực an ninh mạng. Năm 2023 tiếp tục ghi nhận sự gia tăng các mối đe dọa mạng cả về độ tinh vi cũng như tốc độ và quy mô, gây tổn hại đến các nhóm dịch vụ, thiết bị và người dùng. Các chuyên gia của Microsoft tin rằng trí tuệ nhân tạo (AI) có thể giúp tạo ra một sân chơi bình đẳng nhưng các nhóm bảo mật cần phải có hiểu biết sâu sắc và nguồn lực cần thiết để tận dụng tối đa tiềm năng của công nghệ này.
14:00 | 13/03/2024
Sáng ngày 13/3, tại Hà Nội, Đoàn công tác của Bộ Quốc phòng do Thượng tướng Lê Huy Vịnh, Ủy viên Ban Chấp hành Trung ương Đảng, Thứ trưởng Bộ Quốc phòng làm trưởng đoàn đến thăm và làm việc tại Học viện Kỹ thuật mật mã về công tác đào tạo nguồn nhân lực chuyển đổi số.
14:00 | 09/03/2024
Sáng ngày 09/3, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức gặp mặt các hội viên đầu năm. Tới tham dự và phát biểu chỉ đạo có ông Nguyễn Huy Dũng, Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
