Rủi ro đối với an toàn thông tin trong lĩnh vực y tế
Theo kết quả Báo cáo về chi phí vi phạm dữ liệu năm 2021 của Tập đoàn công nghệ IBM (có trụ sở tại Mỹ), trong vòng 11 năm qua, dịch vụ y tế có chi phí vi phạm dữ liệu cao nhất, từ tổng chi phí trung bình là 7,13 triệu USD vào năm 2020 đã lên con số 9,23 triệu USD vào năm 2021 (tăng 29,5%).
Thông tin càng nhạy cảm và bí mật thì càng có giá trị trên dark web (web đen). Các nhà nghiên cứu bảo mật đã lưu ý rằng, dữ liệu thông tin y tế trên các diễn đàn dark web có giá trị lớn hơn so với dữ liệu thẻ tín dụng. Đó cũng là lý do tại sao các tin tặc lại thường hướng mục tiêu khai thác vào các thông tin, dữ liệu nhạy cảm từ các tổ chức y tế và chăm sóc sức khỏe.
Các tổ chức, dịch vụ hoạt động trong lĩnh vực y tế đặc biệt là mục tiêu của các cuộc tấn công ransomware, điều này đã khiến một số cơ quan, tổ chức khác phải đưa ra các cảnh báo đặc biệt. Dưới đây là một số cảnh báo như vậy:
Ransomware gây ra rủi ro cực kỳ nguy hiểm. Do tính chất nhạy cảm của dữ liệu được lưu trữ trong các tổ chức y tế (ví dụ như các bệnh viện), ransomware hiện không chỉ mã hóa dữ liệu của nạn nhân mà còn thường xuyên làm rò rỉ dữ liệu lên dark web.
Các yếu tố dẫn đến mất an toàn thông tin trong lĩnh vực y tế
Dưới đây là những yếu tố có thể dẫn đến nguy cơ cao khả năng bị tấn công vào các cơ sở y tế, dịch
vụ khám chữa bệnh:
1. Các thiết bị y tế được kết nối mạng có rủi ro cao
Thông thường, chúng ta nghe nói về những rủi ro của các thiết bị IoT. Đây thực chất là những thiết bị được kết nối mạng đơn giản để thực hiện một chức năng cụ thể. Ví dụ, nhiều thiết bị y tế được kết nối mạng trong bệnh viện, phòng khám để lưu trữ và truyền các số liệu thống kê, dữ liệu, biểu đồ, hồ sơ và nhiều loại dữ liệu khác. Điều đó có thể làm tăng đáng kể bề mặt tấn công.
Các thiết bị y tế có thể không được cập nhật các bản vá bằng các thiết bị bảo mật mới nhất cho hệ điều hành, firmware,… Bên cạnh đó, các thiết bị này có thể được đăng nhập và không được giám sát. Tất cả những yếu tố như vậy cùng một số yếu tố khác có thể dẫn đến sự gia tăng nguy cơ an ninh mạng.
Các tổ chức phải đảm bảo rằng họ có một bản kiểm kê thích hợp về mọi thiết bị y tế được kết nối trong hệ thống mạng, đồng thời giám sát, theo dõi, cập nhật các bản vá lỗi cần thiết để khắc phục các sự cố lỗ hổng bảo mật.
2. Mạng lưới y tế được kết nối với nhau không an toàn
Một thực trạng hiện nay là mạng lưới các bệnh viện lớn có thể được kết nối với các phòng khám nhỏ nhưng thường kém an toàn bảo mật. Mặc dù các mạng được kết nối với nhau cho phép thông tin được trao đổi nhanh chóng và dễ dàng, tuy nhiên nó có thể cung cấp một cách thuận tiện để tin tặc xâm nhập vào mục tiêu.
Các phòng khám có thể sử dụng các thiết bị mạng và chạy các giao thức bảo mật đã cũ và kém hiệu quả. Nhiều thiết bị điểm cuối có thể không được vá một cách thích hợp và thường xuyên đăng nhập bằng thông tin của quản trị viên. Việc truy cập vào một trang web độc hại có thể tạo ra cánh cửa cho phần mềm độc hại, ransomware hoặc một phương thức tấn công khác để xâm nhập vào mạng nhỏ hơn, sau đó chuyển đến mạng bệnh viện được kết nối thông qua các cổng đang mở và các kết nối được phép khác.
Việc triển khai mô hình zero-trust network giữa tất cả các mạng được kết nối và đảm bảo quyền truy cập với ít đặc quyền nhất vào các tài nguyên sẽ giúp tăng cường bảo mật cho các mạng lưới y tế.
3. Thiếu đào tạo về kỹ năng an toàn thông tin
Mặc dù các chuyên gia y tế có một số khóa đào tạo chuyên sâu, tuy nhiên những khóa học về nhận thức an toàn, an ninh thông tin thường không phải là một trong số đó. Do đó, nhiều cán bộ, chuyên gia y tế, cũng như các chuyên gia trong lĩnh vực khác, không được đào tạo đầy đủ về các kỹ năng an toàn thông tin, ví dụ như làm thế nào để nhận ra email lừa đảo, trang web độc hại hoặc phần mềm độc hại khác. Bên cạnh những rủi ro liên quan đến các trang thiết bị y tế và mạng lưới y tế được kết nối với nhau, điều này làm tăng thêm mối đe dọa đối với các tổ chức trong lĩnh vực y tế.
Các tổ chức cần phải đào tạo các kỹ năng cơ bản về an toàn thông tin thường xuyên cho tất cả nhân viên của mình, để đảm bảo rằng người dùng cuối (end-users) có được các kỹ năng cơ bản trước những mối đe dọa, chiến thuật khác nhau mà tin tặc thường sử dụng cho các cuộc tấn công lừa đảo hay kỹ nghệ xã hội.
4. Mật khẩu yếu hoặc bị xâm phạm
Cũng theo Báo cáo về chi phí vi phạm dữ liệu năm 2021 của IBM, một số thống kê đáng báo động có liên quan đến thông tin xác thực bị xâm phạm. Bao gồm:
Các tổ chức y tế có thể trở thành nạn nhân của các cuộc tấn công do thông tin đăng nhập bị xâm phạm, vì họ có thể gặp khó khăn trong việc phát hiện và cho phép tin tặc giả danh một người dùng nào đó có thông tin đăng nhập hợp pháp. Ngoài ra, các tin tặc cũng có thể biết được các mật khẩu ngay cả khi chúng được thiết lập phức tạp, nếu nằm trong danh sách mật khẩu bị xâm phạm. Nó có thể cung cấp quyền truy cập cho những tin tặc sử dụng danh sách bị xâm phạm trong tấn công password spraying, hoặc các cuộc tấn công thông tin xác thực khác.
Để giảm thiểu nguy cơ này, các tổ chức cần phải thực hiện các chính sách mật khẩu mạnh để ngăn chặn việc sử dụng mật khẩu yếu và bảo vệ mật khẩu tránh bị xâm phạm.
5. Thiếu đầu tư vào an ninh mạng
An ninh mạng trong lĩnh vực y tế đang bị đe dọa nghiêm trọng, một phần do thiếu sự đầu tư vào các giải pháp và công nghệ bảo mật thích hợp. Một nghiên cứu cho biết, trung bình các tổ chức y tế chỉ dành khoảng 5% ngân sách công nghệ thông tin của họ cho các vấn đề về an ninh mạng, trong khi phần còn lại dành cho việc áp dụng các công nghệ mới.
Điều đó có thể dẫn đến một kết quả ít mong muốn đến là sự mở rộng của các bề mặt tấn công và thiếu các công cụ cần thiết để bảo vệ hệ thống tránh khỏi các cuộc tấn công mạng.
Chính vì vậy, lãnh đạo cùng cán bộ các phòng ban liên quan sẽ cần phải nghiên cứu và tìm hiểu thật kỹ lưỡng về sự cần thiết phải ưu tiên đầu tư cơ sở hạ tầng an ninh mạng trong tổ chức của mình. Đồng thời, đánh giá rủi ro cũng cần phải xem xét tác động của một cuộc tấn công có thể xảy ra, điển hình như ransomware đối với dữ liệu nhạy cảm của bệnh nhân và những hậu quả đối với tổ chức nếu dữ liệu bị rò rỉ.
Tăng cường bảo vệ mật khẩu trong lĩnh vực y tế
Như đã đề cập trước đó, bảo vệ mật khẩu là một mối quan tâm lớn. Các tin tặc thường sử dụng thông tin đăng nhập bị xâm phạm để dễ dàng truy cập vào mạng lưới của các doanh nghiệp, bao gồm cả mạng lưới của các tổ chức y tế. Do đó, các chính sách mật khẩu kém và các vấn đề bảo mật liên quan đến mật khẩu có thể dẫn đến các lỗ hổng nghiêm trọng trên diện rộng.
Các tổ chức họạt động trong lĩnh vực y tế thường sử dụng chính sách mật khẩu trong Active Directory của Microsoft như một phần của Chính sách nhóm – Group Policy. Specops Password Policy là một giải pháp chính sách mật khẩu mạnh mẽ, bổ sung các tính năng chính cho các chính sách mật khẩu Active Directory hiện có, bao gồm Breached Password Protection.
Chính sách bảo vệ mật khẩu của Specops Password Policy trong Active Directory
Bên cạnh tính năng Breached Password Protection được cung cấp bởi Specops Password Policy, giải pháp này còn cung cấp một số tính năng khác như sau:
Đinh Hồng Đạt
Lê Bích Hằng
10:00 | 14/09/2021
14:00 | 06/08/2021
14:00 | 03/06/2021
10:00 | 13/11/2023
Trong 2 ngày 9/11 và 10/11 tại Bangkok (Thái Lan) đã diễn ra cuộc thi An toàn thông tin Cyber SEA Game 2023. Đây là cuộc thi kỹ năng đảm bảo an toàn thông tin mạng dành cho đối tượng trẻ của ASEAN. Đội Nu_RobinHust gồm 4 sinh viên Đinh Thái Sơn, Trịnh Thăng Việt Anh, Vũ Chí Thành và Nguyễn Hoàng Huy đến từ trường Đại học CNTT-TT, Đại học Bách khoa Hà Nội đã xuất sắc giành giải Nhì cuộc thi.
15:00 | 24/10/2023
Ngày 10/10, Bang Utah (Mỹ) đưa ra thông báo sẽ kiện TikTok với cáo buộc khuyến khích trẻ em sử dụng mạng xã hội có hại cho sức khỏe tâm thần này.
15:00 | 18/10/2023
Nhà sản xuất thiết bị điện tử đa quốc gia Foxconn (trụ sở chính tại Đài Loan) cho biết sẽ kết hợp với Nvidia để xây dựng một trung tâm dữ liệu mới sử dụng chip và phần mềm của Nvidia cho nhiều ứng dụng, bao gồm cả ô tô tự lái, được gọi là “nhà máy AI”.
17:00 | 03/10/2023
Trong 03 ngày từ 25 - 28/9/2023, Đoàn công tác Ban Cơ yếu Chính phủ do đồng chí Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Hoà Bình, Sơn La và Điện Biên nhằm tăng cường sự phối hợp và đẩy mạnh việc triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Chiều ngày 16/11, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ và Phó Chủ nhiệm Văn phòng Quốc Hội Nguyễn Mạnh Hùng đồng chủ trì buổi Lễ Ký kết Quy chế phối hợp giữa Văn phòng Quốc hội và Ban Cơ yếu Chính phủ trong công tác bảo mật, an toàn thông tin của Văn phòng Quốc hội.
09:00 | 17/11/2023
Sáng 1/12, tại Hà Nội, Bộ Quốc phòng tổ chức Buổi gặp mặt báo chí giới thiệu về Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào – Campuchia lần thứ nhất. Thiếu tướng Lê Xuân Sang, Phó Cục trưởng Cục Tuyên huấn/Tổng cục Chính trị QĐND Việt Nam chủ trì buổi gặp mặt. Thiếu tướng Văn Ngọc Quế, Phó Chủ nhiệm Chính trị Bộ đội Biên phòng; Đại tá Nguyễn Duy Minh, Phó Cục trưởng Cục Đối ngoại và Đại tá Lê Văn Đông, Phó Cục trưởng Cục Quân y/TCHC cùng tham gia cung cấp thông tin cho các đại biểu tham dự buổi gặp mặt.
11:00 | 01/12/2023
Quyết định 950 của Thủ tướng Chính phủ: Phê duyệt Đề án phát triển đô thị thông minh bền vững Việt Nam giai đoạn 2018 - 2025 và định hướng đến năm 2030, mở ra các định hướng trong hợp tác, phát triển giữa chính quyền đô thị các cấp với các doanh nghiệp, đối tác trong nước và quốc tế, đồng thời đang dần định hình một số xu hướng nổi bật trong xây dựng đô thị thông minh, đáng sống, phát triển bền vững tại Việt Nam.
16:00 | 30/11/2023
