Lĩnh vực nhạy cảm, dễ bị tấn công
Lĩnh vực chăm sóc sức khỏe/y tế đang xếp Top 1 lĩnh vực bị tấn công và rò rỉ dữ liệu nhiều nhất toàn cầu năm 2023, chi phí trung bình của một cuộc vi phạm dữ liệu trong lĩnh vực này đã tăng 53,3% vượt hơn 3 triệu USD so với chi phí trung bình chỉ là 7,13 triệu USD trong năm 2020.
Lĩnh vực Chăm sóc sức khỏe/Y tế đang xếp Top 1 lĩnh vực bị tấn công và rò rỉ dữ liệu nhiều nhất toàn cầu năm 2023. |
Tại Hoa kỳ, lĩnh vực này được coi là ngành công nghiệp quan trọng, đặc biệt là hệ thống cơ sở hạ tầng. Kể từ khi đại dịch Covid-19 diễn ra, ngành này đã ghi nhận mức chi phí vi phạm dữ liệu trung bình cao hơn đáng kể.
Còn ở Việt Nam, liên tiếp các cuộc tấn công mạng vào các cơ sở y tế lớn và có tên tuổi bằng các hình thức tấn công quen thuộc như email phishing, mã hóa tống tiền ransomware trong các năm trở lại đây, đặc biệt mục tiêu tấn công thậm chí không thay đổi nhưng các đơn vị y tế lớn vẫn không thoát (các cuộc tấn công vào các bệnh viện tại Việt Nam bên dưới).
Ngành Y tế có thể nói là ngành có mô hình hoạt động và kết nối vô cùng phức tạp, đồng thời tiềm ẩn nhiều rủi ro về an ninh mạng. Ngoài mô hình công nghệ thông tin thông thường như các tổ chức khác, có những đặc thù riêng của ngành như cơ sở dữ liệu vô cùng lớn, bên cạnh số lượng thiết bị kết nối vào hệ thống internet nhất là trong giai đoạn cách mạng số của ngành Y tế.
Số lượng thiết bị, phần mềm được đưa vào sử dụng trong ngành tăng theo cấp số nhân nhưng nhân sự để quản trị vận hành và được đào tạo chuyên môn về an ninh mạng của hệ thống hầu như không có nhiều thay đổi.
Về quy mô, các bệnh viện lớn hay hệ thống các nhà cung cấp dịch vụ y tế thường có khả năng thuê hoặc chi trả cho đội ngũ quản lý công nghệ thông tin, thậm chí là nhân sự phụ trách về an toàn thông tin.
Tuy nhiên, một số lượng lớn các bệnh viện tuyến nhỏ, tư nhân hầu như không có ngân sách cố định hoặc ưu tiên cho các chi phí về an toàn thông tin bởi mức độ phức tạp của hệ thống vận hành khi thuê đơn vị quản trị an toàn là một chi phí không nhỏ.
Về hiện trạng cơ sở hạ tầng và công nghệ mà các bệnh viện tại Việt Nam đang thiết kế và vận hành, bên cạnh mô hình công nghệ thông tin chung quản trị hoạt động nội bộ thì vấn đề kết nối, liên kết thông tin giữa các nhóm vận hành và lĩnh vực liên quan trong mạng lưới y tế vô cùng phức tạp.
Chỉ nói riêng về Hồ sơ bệnh án điện tử EHR (Electronic Health Record) tuy được quy định rõ từ Bộ Y tế nhưng mỗi đơn vị bệnh viện lại sử dụng một ứng dụng từ bên thứ ba khác nên khả năng kết nối tương thích khi dẫn xuất khó đồng bộ, cho đến hệ thống thông tin HIS (Hospital Information System), LIS (Laboratory Information System), PACS (Picture Archiving and Communication System), PMS (Pharmacy Management System), FMS (Financial Management System)… đều như một mạng nhện rối bời.
Số lượng thiết bị y tế lớn, lại có kết nối trực tiếp với người bệnh rồi thông qua mạng để truyền dữ liệu, … và cả việc áp dụng hình thức theo dõi khám chữa bệnh từ xa nên mỗi kết nối và thiết bị như vậy lại tạo ra hàng ngàn rủi ro và tin tặc dễ dàng tiếp cận.
Ghi nhận từ tổ chức Y tế thế giới WHO thì Bệnh viện công ở Việt Nam được chia thành ba cấp Trung Ương (47 bệnh viện), cấp tỉnh (419 bệnh viện) và cấp huyện (684 bệnh viện).
Theo Hiệp hội Bệnh viện tư nhân Việt Nam, tính đến hết năm 2022 cả nước có gần 320 bệnh viện tư cùng 38.000 phòng khám tư. Cứ thử tưởng tượng số lượng dữ liệu mỗi ngày cần kết nối đến các hệ thống bảo hiểm, bệnh án, cấp thuốc… thì đây là một siêu dữ liệu khổng lồ và ẩn chứa rủi ro lớn cỡ nào.
Một khi tin tặc truy cập được vào một bệnh viện hoặc một phòng khám không được trang bị các công cụ bảo mật thì không chỉ gây ra hậu quả về việc mất mát dữ liệu tại cơ sở mà cuộc tấn công hoàn toàn có thể leo thang và nhiễm độc đến toàn bộ các kênh thông tin có kết nối trong hệ thống y tế.
Một cuộc khủng hoảng của ngành y tế đe dọa đến bảo mật dữ liệu cá nhân của bệnh nhân, các nhà cung cấp sản phẩm y tế… có thể diễn ra và khó có thể hồi phục cũng như ảnh hưởng đến vấn đề khám chữa bệnh đặc biệt nghiêm trọng.
Nguy cơ rình rập mất dữ liệu
Mô hình vận hành càng phức tạp và cồng kềnh chưa được chuyên môn hoá, nhân sự được đào tạo chuyên môn về an toàn thông tin thiếu hụt hoặc chưa được chú trọng trong khi dữ liệu mà hệ thống chăm sóc sức khỏe/y tế lại vô cùng có giá trị nên ngành y tế tại Việt Nam đang bị đặt vào tầm ngắm của tin tặc.
Thông tin của bệnh nhân mà các cơ sở y tế nắm giữ rất chi tiết không chỉ tên, địa chỉ mà cả các thông tin về sinh học, độ tuổi, bệnh lý, hình ảnh, xét nghiệm, là tài sản có giá được yêu thích tại các chợ đen.
Các dữ liệu này một khi bị lộ lọt sẽ không bao giờ biến mất mà được kẻ xấu lợi dụng để thực hiện các hành vi như lợi dụng thông tin các cá nhân này để lừa đảo, giả mạo, trộm cắp, tống tiền bệnh nhân… Vì vậy, rủi ro hàng đầu về rò rỉ dữ liệu (Data Breaches)là thiệt hại vô cùng tiềm tàng.
Các chuyên gia y tế cần truy cập từ xa vào hệ thống dữ liệu y tế, các nhân viên trực vận hành, thu ngân… những người đang có quyền truy cập vào hệ thống thông tin của bệnh viện hoàn toàn có thể hoặc vô ý gây ra các sự cố an ninh mạng của bệnh viện. Mối nguy đến từ nội bộ (Insiders threats) không được đào tạo về các rủi ro an ninh thông tin là một điểm yếu đã và đang tồn tại ở các cơ sở.
Do tư duy trong lĩnh vực y tế thường tập trung vào vấn đề chuyên môn, nghiệp vụ khám chữa bệnh mà chưa thực sự chú trọng và nhận thức về tầm quan trọng của vấn đề an toàn bảo mật.
Như đã nói ở trên về số lượng các thiết bị y tế đang có kết nối mạng trong hệ thống khám chữa bệnh của các bệnh viện. Không bệnh viện, phòng khám nào lại không có một hệ thống thiết bị dày đặc và chứa nhiều “sơ hở” như trong ngành y tế.
Thiết bị mới với công nghệ tiên tiến thường sẽ đắt đỏ và kén người có chuyên môn để vận hành nên đa số hệ thống công nghệ hay thiết bị trong lĩnh vực này ở trạng thái lỗi thời hoặc sử dụng những hệ điều hành cũ kỹ tồn tại nhiều lỗ hổng.
Điều này càng tạo điều kiện cho việc các thiết bị kết nối mạng này không được trang bị các biện pháp an ninh một cách đầy đủ. Không phải bệnh viện nào cũng được trang bị các thiết bị mới, có kết nối an toàn bởi ngân sách và thời gian khấu hao thiết bị. Đây là điểm đáng lo ngại bởi thiết bị lỗi thời thường tồn tại các lỗ hổng và end of life nên thường không được hỗ trợ bản vá nếu có lỗi hoặc lỗ hổng.
Quy trình kiểm tra thiết bị định kỳ thường “quên” mất việc cần kiểm tra cả tính an toàn bảo mật hay khả năng truy cập từ các nguồn bên ngoài cho thiết bị. Tin tặc hoàn toàn có thể tấn công từ một thiết bị để gây ra các sự cố nguy hiểm nghiêm trọng đến bệnh nhân và danh tiếng của cơ sở khám chữa bệnh.
Các cuộc tấn công mạng đến từ bên ngoàicủa các hacker, các tổ chức tin tặc trên thế giới ưa thích nhất là sử dụng email phishing lừa đảo, cài cắm các phần mềm độc hại và đặc biệt là ransomware - mã độc tống tiến.
Lý do rất rõ ràng bởi chỉ cần một phần mềm, tài liệu bị mã hoá thì cả hệ thống y tế đang liên kết với nhau sẽ bị ảnh hưởng ngừng trệ, liên quan đến sức khoẻ, tình trạng của bệnh nhân sẽ càng thôi thúc việc trả tiền chuộc từ lĩnh vực này cao hơn nên các tổ chức tin tặc bỏ qua vấn đề đạo đức mà tấn công để đạt được lợi ích kinh tế.