Rủi ro đối với an toàn thông tin trong lĩnh vực y tế
Theo kết quả Báo cáo về chi phí vi phạm dữ liệu năm 2021 của Tập đoàn công nghệ IBM (có trụ sở tại Mỹ), trong vòng 11 năm qua, dịch vụ y tế có chi phí vi phạm dữ liệu cao nhất, từ tổng chi phí trung bình là 7,13 triệu USD vào năm 2020 đã lên con số 9,23 triệu USD vào năm 2021 (tăng 29,5%).
Thông tin càng nhạy cảm và bí mật thì càng có giá trị trên dark web (web đen). Các nhà nghiên cứu bảo mật đã lưu ý rằng, dữ liệu thông tin y tế trên các diễn đàn dark web có giá trị lớn hơn so với dữ liệu thẻ tín dụng. Đó cũng là lý do tại sao các tin tặc lại thường hướng mục tiêu khai thác vào các thông tin, dữ liệu nhạy cảm từ các tổ chức y tế và chăm sóc sức khỏe.
Các tổ chức, dịch vụ hoạt động trong lĩnh vực y tế đặc biệt là mục tiêu của các cuộc tấn công ransomware, điều này đã khiến một số cơ quan, tổ chức khác phải đưa ra các cảnh báo đặc biệt. Dưới đây là một số cảnh báo như vậy:
Ransomware gây ra rủi ro cực kỳ nguy hiểm. Do tính chất nhạy cảm của dữ liệu được lưu trữ trong các tổ chức y tế (ví dụ như các bệnh viện), ransomware hiện không chỉ mã hóa dữ liệu của nạn nhân mà còn thường xuyên làm rò rỉ dữ liệu lên dark web.
Các yếu tố dẫn đến mất an toàn thông tin trong lĩnh vực y tế
Dưới đây là những yếu tố có thể dẫn đến nguy cơ cao khả năng bị tấn công vào các cơ sở y tế, dịch
vụ khám chữa bệnh:
1. Các thiết bị y tế được kết nối mạng có rủi ro cao
Thông thường, chúng ta nghe nói về những rủi ro của các thiết bị IoT. Đây thực chất là những thiết bị được kết nối mạng đơn giản để thực hiện một chức năng cụ thể. Ví dụ, nhiều thiết bị y tế được kết nối mạng trong bệnh viện, phòng khám để lưu trữ và truyền các số liệu thống kê, dữ liệu, biểu đồ, hồ sơ và nhiều loại dữ liệu khác. Điều đó có thể làm tăng đáng kể bề mặt tấn công.
Các thiết bị y tế có thể không được cập nhật các bản vá bằng các thiết bị bảo mật mới nhất cho hệ điều hành, firmware,… Bên cạnh đó, các thiết bị này có thể được đăng nhập và không được giám sát. Tất cả những yếu tố như vậy cùng một số yếu tố khác có thể dẫn đến sự gia tăng nguy cơ an ninh mạng.
Các tổ chức phải đảm bảo rằng họ có một bản kiểm kê thích hợp về mọi thiết bị y tế được kết nối trong hệ thống mạng, đồng thời giám sát, theo dõi, cập nhật các bản vá lỗi cần thiết để khắc phục các sự cố lỗ hổng bảo mật.
2. Mạng lưới y tế được kết nối với nhau không an toàn
Một thực trạng hiện nay là mạng lưới các bệnh viện lớn có thể được kết nối với các phòng khám nhỏ nhưng thường kém an toàn bảo mật. Mặc dù các mạng được kết nối với nhau cho phép thông tin được trao đổi nhanh chóng và dễ dàng, tuy nhiên nó có thể cung cấp một cách thuận tiện để tin tặc xâm nhập vào mục tiêu.
Các phòng khám có thể sử dụng các thiết bị mạng và chạy các giao thức bảo mật đã cũ và kém hiệu quả. Nhiều thiết bị điểm cuối có thể không được vá một cách thích hợp và thường xuyên đăng nhập bằng thông tin của quản trị viên. Việc truy cập vào một trang web độc hại có thể tạo ra cánh cửa cho phần mềm độc hại, ransomware hoặc một phương thức tấn công khác để xâm nhập vào mạng nhỏ hơn, sau đó chuyển đến mạng bệnh viện được kết nối thông qua các cổng đang mở và các kết nối được phép khác.
Việc triển khai mô hình zero-trust network giữa tất cả các mạng được kết nối và đảm bảo quyền truy cập với ít đặc quyền nhất vào các tài nguyên sẽ giúp tăng cường bảo mật cho các mạng lưới y tế.
3. Thiếu đào tạo về kỹ năng an toàn thông tin
Mặc dù các chuyên gia y tế có một số khóa đào tạo chuyên sâu, tuy nhiên những khóa học về nhận thức an toàn, an ninh thông tin thường không phải là một trong số đó. Do đó, nhiều cán bộ, chuyên gia y tế, cũng như các chuyên gia trong lĩnh vực khác, không được đào tạo đầy đủ về các kỹ năng an toàn thông tin, ví dụ như làm thế nào để nhận ra email lừa đảo, trang web độc hại hoặc phần mềm độc hại khác. Bên cạnh những rủi ro liên quan đến các trang thiết bị y tế và mạng lưới y tế được kết nối với nhau, điều này làm tăng thêm mối đe dọa đối với các tổ chức trong lĩnh vực y tế.
Các tổ chức cần phải đào tạo các kỹ năng cơ bản về an toàn thông tin thường xuyên cho tất cả nhân viên của mình, để đảm bảo rằng người dùng cuối (end-users) có được các kỹ năng cơ bản trước những mối đe dọa, chiến thuật khác nhau mà tin tặc thường sử dụng cho các cuộc tấn công lừa đảo hay kỹ nghệ xã hội.
4. Mật khẩu yếu hoặc bị xâm phạm
Cũng theo Báo cáo về chi phí vi phạm dữ liệu năm 2021 của IBM, một số thống kê đáng báo động có liên quan đến thông tin xác thực bị xâm phạm. Bao gồm:
Các tổ chức y tế có thể trở thành nạn nhân của các cuộc tấn công do thông tin đăng nhập bị xâm phạm, vì họ có thể gặp khó khăn trong việc phát hiện và cho phép tin tặc giả danh một người dùng nào đó có thông tin đăng nhập hợp pháp. Ngoài ra, các tin tặc cũng có thể biết được các mật khẩu ngay cả khi chúng được thiết lập phức tạp, nếu nằm trong danh sách mật khẩu bị xâm phạm. Nó có thể cung cấp quyền truy cập cho những tin tặc sử dụng danh sách bị xâm phạm trong tấn công password spraying, hoặc các cuộc tấn công thông tin xác thực khác.
Để giảm thiểu nguy cơ này, các tổ chức cần phải thực hiện các chính sách mật khẩu mạnh để ngăn chặn việc sử dụng mật khẩu yếu và bảo vệ mật khẩu tránh bị xâm phạm.
5. Thiếu đầu tư vào an ninh mạng
An ninh mạng trong lĩnh vực y tế đang bị đe dọa nghiêm trọng, một phần do thiếu sự đầu tư vào các giải pháp và công nghệ bảo mật thích hợp. Một nghiên cứu cho biết, trung bình các tổ chức y tế chỉ dành khoảng 5% ngân sách công nghệ thông tin của họ cho các vấn đề về an ninh mạng, trong khi phần còn lại dành cho việc áp dụng các công nghệ mới.
Điều đó có thể dẫn đến một kết quả ít mong muốn đến là sự mở rộng của các bề mặt tấn công và thiếu các công cụ cần thiết để bảo vệ hệ thống tránh khỏi các cuộc tấn công mạng.
Chính vì vậy, lãnh đạo cùng cán bộ các phòng ban liên quan sẽ cần phải nghiên cứu và tìm hiểu thật kỹ lưỡng về sự cần thiết phải ưu tiên đầu tư cơ sở hạ tầng an ninh mạng trong tổ chức của mình. Đồng thời, đánh giá rủi ro cũng cần phải xem xét tác động của một cuộc tấn công có thể xảy ra, điển hình như ransomware đối với dữ liệu nhạy cảm của bệnh nhân và những hậu quả đối với tổ chức nếu dữ liệu bị rò rỉ.
Tăng cường bảo vệ mật khẩu trong lĩnh vực y tế
Như đã đề cập trước đó, bảo vệ mật khẩu là một mối quan tâm lớn. Các tin tặc thường sử dụng thông tin đăng nhập bị xâm phạm để dễ dàng truy cập vào mạng lưới của các doanh nghiệp, bao gồm cả mạng lưới của các tổ chức y tế. Do đó, các chính sách mật khẩu kém và các vấn đề bảo mật liên quan đến mật khẩu có thể dẫn đến các lỗ hổng nghiêm trọng trên diện rộng.
Các tổ chức họạt động trong lĩnh vực y tế thường sử dụng chính sách mật khẩu trong Active Directory của Microsoft như một phần của Chính sách nhóm – Group Policy. Specops Password Policy là một giải pháp chính sách mật khẩu mạnh mẽ, bổ sung các tính năng chính cho các chính sách mật khẩu Active Directory hiện có, bao gồm Breached Password Protection.
Chính sách bảo vệ mật khẩu của Specops Password Policy trong Active Directory
Bên cạnh tính năng Breached Password Protection được cung cấp bởi Specops Password Policy, giải pháp này còn cung cấp một số tính năng khác như sau:
Đinh Hồng Đạt
Lê Bích Hằng
10:00 | 14/09/2021
14:00 | 06/08/2021
14:00 | 03/06/2021
07:00 | 15/09/2023
Trong hai ngày 8 và 9/9, sự kiện Security Bootcamp 2023 được tổ chức tại thành phố Đà Nẵng thu hút sự quan tâm tham dự của hơn 300 chuyên gia trong lĩnh vực bảo mật và an toàn thông tin tại Việt Nam. Sự kiện được tổ chức bởi Hiệp hội Internet Việt Nam (VIA) phối hợp với Sở Thông tin và Truyền thông Đà Nẵng. Hai nội dung chính trong khuôn khổ chương trình là Đấu trường An toàn thông tin (ATTT) và Hội thảo chuyên đề ATTT.
16:00 | 21/07/2023
Ba mảng tiêu chuẩn lớn trong lĩnh vực công nghệ lượng tử (CNLT) đã và đang được các tổ chức tiêu chuẩn (SDO) xây dựng gồm: Điện toán lượng tử, Truyền thông lượng tử và Đo lường lượng tử. Các chuyên gia đánh giá rằng, phân phối khóa bảo mật lượng tử là một trong số ít các tiêu chuẩn ứng dụng đầu tiên của CNLT. Năm 2018, Ủy ban châu Âu đã đưa ra sáng kiến nghiên cứu Quantum Flagship quy mô lớn và dài hạn để hỗ trợ và thúc đẩy việc hình thành và phát triển ngành CNLT. Một trong những biện pháp để đạt được sự phát triển và ứng dụng nhanh chóng là thúc đẩy các nỗ lực chứng nhận và tiêu chuẩn hóa trong lĩnh vực CNLT. Bài viết dưới đây giới thiệu nội dung liên quan tới các nghiên cứu, tất cả thành viên và các cộng sự trong nhóm trọng điểm CEN-CENELEC về CNLT (FGQT).
14:00 | 14/07/2023
Các nhà nghiên cứu cho biết, khi sự tăng trưởng của 5G tăng lên trên toàn cầu, số lượng các mối đe dọa mạng nhắm vào 5G cũng tăng theo. Kiến trúc mở, chuyển vùng không độc lập, các cuộc tấn công quốc gia, mã độc và nhu cầu hợp tác nhiều hơn trong ngành di động sẽ là những thách thức bảo mật 5G lớn mà các nhà khai thác phải giải quyết trong thời gian tới.
11:00 | 26/05/2023
Ngày 25/5/2023, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Phó Trưởng ban Nguyễn Đăng Lực làm Trưởng đoàn đã có các buổi làm việc tại 02 tỉnh Nam Định và Hà Nam về công tác cơ yếu và bảo mật, an toàn thông tin.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Trong không khí náo nức trên khắp cả nước chào mừng một năm học mới, sáng ngày 08/9, tại Học viện Kỹ thuật mật mã, các bậc phụ huynh và tân sinh viên từ nhiều tỉnh thành khác nhau đã có mặt để làm thủ tục chính thức nhập học.
09:00 | 11/09/2023
Vừa qua, Văn phòng Tỉnh ủy Nghệ An phối hợp cùng Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ tổ chức Lớp tập huấn, huấn luyện bồi dưỡng nghiệp vụ công tác Cơ yếu năm 2023. Tham gia Lớp tập huấn có 78 đồng chí là Lãnh đạo Văn phòng Tỉnh ủy; các phòng thuộc Văn phòng Tỉnh ủy; cán bộ làm công tác văn thư của các ban Đảng, Ủy ban kiểm tra Tỉnh ủy, cơ yếu các huyện, thành, thị ủy.
08:00 | 22/09/2023
Mới đây, Google vừa phát hành phiên bản Chrome 117 để kỷ niệm 15 năm ra mắt của trình duyệt này. Trong bản cập nhật này, Google đã bổ sung thêm nhiều tính năng mới cũng như áp dụng ngôn ngữ Material You để trình duyệt Chrome tiện lợi và dễ sử dụng hơn.
18:00 | 22/09/2023
