Rủi ro đối với an toàn thông tin trong lĩnh vực y tế
Theo kết quả Báo cáo về chi phí vi phạm dữ liệu năm 2021 của Tập đoàn công nghệ IBM (có trụ sở tại Mỹ), trong vòng 11 năm qua, dịch vụ y tế có chi phí vi phạm dữ liệu cao nhất, từ tổng chi phí trung bình là 7,13 triệu USD vào năm 2020 đã lên con số 9,23 triệu USD vào năm 2021 (tăng 29,5%).
Thông tin càng nhạy cảm và bí mật thì càng có giá trị trên dark web (web đen). Các nhà nghiên cứu bảo mật đã lưu ý rằng, dữ liệu thông tin y tế trên các diễn đàn dark web có giá trị lớn hơn so với dữ liệu thẻ tín dụng. Đó cũng là lý do tại sao các tin tặc lại thường hướng mục tiêu khai thác vào các thông tin, dữ liệu nhạy cảm từ các tổ chức y tế và chăm sóc sức khỏe.
Các tổ chức, dịch vụ hoạt động trong lĩnh vực y tế đặc biệt là mục tiêu của các cuộc tấn công ransomware, điều này đã khiến một số cơ quan, tổ chức khác phải đưa ra các cảnh báo đặc biệt. Dưới đây là một số cảnh báo như vậy:
Ransomware gây ra rủi ro cực kỳ nguy hiểm. Do tính chất nhạy cảm của dữ liệu được lưu trữ trong các tổ chức y tế (ví dụ như các bệnh viện), ransomware hiện không chỉ mã hóa dữ liệu của nạn nhân mà còn thường xuyên làm rò rỉ dữ liệu lên dark web.
Các yếu tố dẫn đến mất an toàn thông tin trong lĩnh vực y tế
Dưới đây là những yếu tố có thể dẫn đến nguy cơ cao khả năng bị tấn công vào các cơ sở y tế, dịch
vụ khám chữa bệnh:
1. Các thiết bị y tế được kết nối mạng có rủi ro cao
Thông thường, chúng ta nghe nói về những rủi ro của các thiết bị IoT. Đây thực chất là những thiết bị được kết nối mạng đơn giản để thực hiện một chức năng cụ thể. Ví dụ, nhiều thiết bị y tế được kết nối mạng trong bệnh viện, phòng khám để lưu trữ và truyền các số liệu thống kê, dữ liệu, biểu đồ, hồ sơ và nhiều loại dữ liệu khác. Điều đó có thể làm tăng đáng kể bề mặt tấn công.
Các thiết bị y tế có thể không được cập nhật các bản vá bằng các thiết bị bảo mật mới nhất cho hệ điều hành, firmware,… Bên cạnh đó, các thiết bị này có thể được đăng nhập và không được giám sát. Tất cả những yếu tố như vậy cùng một số yếu tố khác có thể dẫn đến sự gia tăng nguy cơ an ninh mạng.
Các tổ chức phải đảm bảo rằng họ có một bản kiểm kê thích hợp về mọi thiết bị y tế được kết nối trong hệ thống mạng, đồng thời giám sát, theo dõi, cập nhật các bản vá lỗi cần thiết để khắc phục các sự cố lỗ hổng bảo mật.
2. Mạng lưới y tế được kết nối với nhau không an toàn
Một thực trạng hiện nay là mạng lưới các bệnh viện lớn có thể được kết nối với các phòng khám nhỏ nhưng thường kém an toàn bảo mật. Mặc dù các mạng được kết nối với nhau cho phép thông tin được trao đổi nhanh chóng và dễ dàng, tuy nhiên nó có thể cung cấp một cách thuận tiện để tin tặc xâm nhập vào mục tiêu.
Các phòng khám có thể sử dụng các thiết bị mạng và chạy các giao thức bảo mật đã cũ và kém hiệu quả. Nhiều thiết bị điểm cuối có thể không được vá một cách thích hợp và thường xuyên đăng nhập bằng thông tin của quản trị viên. Việc truy cập vào một trang web độc hại có thể tạo ra cánh cửa cho phần mềm độc hại, ransomware hoặc một phương thức tấn công khác để xâm nhập vào mạng nhỏ hơn, sau đó chuyển đến mạng bệnh viện được kết nối thông qua các cổng đang mở và các kết nối được phép khác.
Việc triển khai mô hình zero-trust network giữa tất cả các mạng được kết nối và đảm bảo quyền truy cập với ít đặc quyền nhất vào các tài nguyên sẽ giúp tăng cường bảo mật cho các mạng lưới y tế.
3. Thiếu đào tạo về kỹ năng an toàn thông tin
Mặc dù các chuyên gia y tế có một số khóa đào tạo chuyên sâu, tuy nhiên những khóa học về nhận thức an toàn, an ninh thông tin thường không phải là một trong số đó. Do đó, nhiều cán bộ, chuyên gia y tế, cũng như các chuyên gia trong lĩnh vực khác, không được đào tạo đầy đủ về các kỹ năng an toàn thông tin, ví dụ như làm thế nào để nhận ra email lừa đảo, trang web độc hại hoặc phần mềm độc hại khác. Bên cạnh những rủi ro liên quan đến các trang thiết bị y tế và mạng lưới y tế được kết nối với nhau, điều này làm tăng thêm mối đe dọa đối với các tổ chức trong lĩnh vực y tế.
Các tổ chức cần phải đào tạo các kỹ năng cơ bản về an toàn thông tin thường xuyên cho tất cả nhân viên của mình, để đảm bảo rằng người dùng cuối (end-users) có được các kỹ năng cơ bản trước những mối đe dọa, chiến thuật khác nhau mà tin tặc thường sử dụng cho các cuộc tấn công lừa đảo hay kỹ nghệ xã hội.
4. Mật khẩu yếu hoặc bị xâm phạm
Cũng theo Báo cáo về chi phí vi phạm dữ liệu năm 2021 của IBM, một số thống kê đáng báo động có liên quan đến thông tin xác thực bị xâm phạm. Bao gồm:
Các tổ chức y tế có thể trở thành nạn nhân của các cuộc tấn công do thông tin đăng nhập bị xâm phạm, vì họ có thể gặp khó khăn trong việc phát hiện và cho phép tin tặc giả danh một người dùng nào đó có thông tin đăng nhập hợp pháp. Ngoài ra, các tin tặc cũng có thể biết được các mật khẩu ngay cả khi chúng được thiết lập phức tạp, nếu nằm trong danh sách mật khẩu bị xâm phạm. Nó có thể cung cấp quyền truy cập cho những tin tặc sử dụng danh sách bị xâm phạm trong tấn công password spraying, hoặc các cuộc tấn công thông tin xác thực khác.
Để giảm thiểu nguy cơ này, các tổ chức cần phải thực hiện các chính sách mật khẩu mạnh để ngăn chặn việc sử dụng mật khẩu yếu và bảo vệ mật khẩu tránh bị xâm phạm.
5. Thiếu đầu tư vào an ninh mạng
An ninh mạng trong lĩnh vực y tế đang bị đe dọa nghiêm trọng, một phần do thiếu sự đầu tư vào các giải pháp và công nghệ bảo mật thích hợp. Một nghiên cứu cho biết, trung bình các tổ chức y tế chỉ dành khoảng 5% ngân sách công nghệ thông tin của họ cho các vấn đề về an ninh mạng, trong khi phần còn lại dành cho việc áp dụng các công nghệ mới.
Điều đó có thể dẫn đến một kết quả ít mong muốn đến là sự mở rộng của các bề mặt tấn công và thiếu các công cụ cần thiết để bảo vệ hệ thống tránh khỏi các cuộc tấn công mạng.
Chính vì vậy, lãnh đạo cùng cán bộ các phòng ban liên quan sẽ cần phải nghiên cứu và tìm hiểu thật kỹ lưỡng về sự cần thiết phải ưu tiên đầu tư cơ sở hạ tầng an ninh mạng trong tổ chức của mình. Đồng thời, đánh giá rủi ro cũng cần phải xem xét tác động của một cuộc tấn công có thể xảy ra, điển hình như ransomware đối với dữ liệu nhạy cảm của bệnh nhân và những hậu quả đối với tổ chức nếu dữ liệu bị rò rỉ.
Tăng cường bảo vệ mật khẩu trong lĩnh vực y tế
Như đã đề cập trước đó, bảo vệ mật khẩu là một mối quan tâm lớn. Các tin tặc thường sử dụng thông tin đăng nhập bị xâm phạm để dễ dàng truy cập vào mạng lưới của các doanh nghiệp, bao gồm cả mạng lưới của các tổ chức y tế. Do đó, các chính sách mật khẩu kém và các vấn đề bảo mật liên quan đến mật khẩu có thể dẫn đến các lỗ hổng nghiêm trọng trên diện rộng.
Các tổ chức họạt động trong lĩnh vực y tế thường sử dụng chính sách mật khẩu trong Active Directory của Microsoft như một phần của Chính sách nhóm – Group Policy. Specops Password Policy là một giải pháp chính sách mật khẩu mạnh mẽ, bổ sung các tính năng chính cho các chính sách mật khẩu Active Directory hiện có, bao gồm Breached Password Protection.
Chính sách bảo vệ mật khẩu của Specops Password Policy trong Active Directory
Bên cạnh tính năng Breached Password Protection được cung cấp bởi Specops Password Policy, giải pháp này còn cung cấp một số tính năng khác như sau:
Đinh Hồng Đạt
Lê Bích Hằng
10:00 | 14/09/2021
10:00 | 10/04/2024
14:00 | 06/08/2021
14:00 | 03/06/2021
09:00 | 25/06/2024
10:00 | 02/10/2024
Sự kiện Security Bootcamp 2024 với chủ đề nhân tính (Humanity) nhằm thực hiện sứ mệnh truyền thông về việc cần thiết phải thường xuyên nâng cao trách nhiệm xã hội, cộng đồng trong bảo vệ an toàn thông tin, an ninh mạng.
07:00 | 16/09/2024
Ủy ban Bảo vệ dữ liệu của Ireland cho biết, mạng xã hội X đã cam kết ngừng thu thập dữ liệu cá nhân của người dùng tại EU để đào tạo chương trình AI của họ.
12:00 | 08/09/2024
Chương trình nghệ thuật “Vinh quang thầm lặng 2024” kết thúc để lại nhiều ấn tượng tốt đẹp và xúc cảm sâu sắc trong lòng người xem. Phóng viên Tạp chí An toàn thông tin đã ghi nhận lại cảm xúc của các cán bộ, nhân viên ngành Cơ yếu khi xem chương trình.
08:00 | 22/08/2024
Hội thảo khoa học quốc tế về mật mã và an toàn thông tin năm 2024 (The IEEE International Conference on Cryptography and Information Securiry – VCRIS 2024) là sự kiện được tổ chức bởi Học viện Kỹ thuật mật mã phối hợp cùng Tạp chí An toàn Thông tin (Ban Cơ yếu Chính phủ); Đại học Lorraine (Pháp); Viện Khoa học Công nghệ tiên tiến Nhật Bản (JAIST); Câu lạc bộ Khoa - Trường - Viện Công nghệ thông tin - Truyền thông Việt Nam (FISU) và Viện Nghiên cứu Cao cấp Toán học Việt Nam (VIASM).
Sau những trận lũ lụt, lở đất ở miền Bắc gần đây, đã có nhiều báo cáo về những kẻ lừa đảo đóng giả là các tổ chức từ thiện hoặc cơ quan chính phủ.
16:00 | 04/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
12:00 | 03/10/2024