Rủi ro đối với an toàn thông tin trong lĩnh vực y tế

Theo kết quả Báo cáo về chi phí vi phạm dữ liệu năm 2021 của Tập đoàn công nghệ IBM (có trụ sở tại Mỹ), trong vòng 11 năm qua, dịch vụ y tế có chi phí vi phạm dữ liệu cao nhất, từ tổng chi phí trung bình là 7,13 triệu USD vào năm 2020 đã lên con số 9,23 triệu USD vào năm 2021 (tăng 29,5%).

Thông tin càng nhạy cảm và bí mật thì càng có giá trị trên dark web (web đen). Các nhà nghiên cứu bảo mật đã lưu ý rằng, dữ liệu thông tin y tế trên các diễn đàn dark web có giá trị lớn hơn so với dữ liệu thẻ tín dụng. Đó cũng là lý do tại sao các tin tặc lại thường hướng mục tiêu khai thác vào các thông tin, dữ liệu nhạy cảm từ các tổ chức y tế và chăm sóc sức khỏe.

Các tổ chức, dịch vụ hoạt động trong lĩnh vực y tế đặc biệt là mục tiêu của các cuộc tấn công ransomware, điều này đã khiến một số cơ quan, tổ chức khác phải đưa ra các cảnh báo đặc biệt. Dưới đây là một số cảnh báo như vậy:

• Ngày 28/10/2020 - Một cố vấn chung về vấn đề an ninh mạng do Cơ quan an ninh mạng và cơ sở hạ tầng (CISA), Cục điều tra liên bang Mỹ (FBI) và Bộ Y tế và dịch vụ nhân sinh (HHS) đồng ủy quyền, đã đưa ra cảnh báo cho các nhà cung cấp dịch vụ y tế để bảo vệ chống lại phần mềm độc hại TrickBot dẫn đến các cuộc tấn công ransomware Ryuk.
• Ngày 20/5/2021 - FBI phát hành bản tin cảnh báo về các cuộc tấn công ransomware Conti ảnh hưởng đến các dịch vụ y tế. FBI đã xác định được ít nhất 16 cuộc tấn công ransomware Conti nhắm vào các dịch vụ mạng y tế.
• Ngày 25/8/2021 - FBI cảnh báo các tổ chức trong lĩnh vực y tế về mối đe dọa từ ransomware Hive, lần đầu tiên được tìm thấy vào tháng 6/2021 và có khả năng hoạt động dưới dạng affiliate-based ransomware, vừa mã hóa và vừa đánh cắp dữ liệu.

Ransomware gây ra rủi ro cực kỳ nguy hiểm. Do tính chất nhạy cảm của dữ liệu được lưu trữ trong các tổ chức y tế (ví dụ như các bệnh viện), ransomware hiện không chỉ mã hóa dữ liệu của nạn nhân mà còn thường xuyên làm rò rỉ dữ liệu lên dark web.

Các yếu tố dẫn đến mất an toàn thông tin trong lĩnh vực y tế

Dưới đây là những yếu tố có thể dẫn đến nguy cơ cao khả năng bị tấn công vào các cơ sở y tế, dịch

vụ khám chữa bệnh:

• Các thiết bị y tế được kết nối mạng có rủi ro cao.
• Mạng lưới y tế được kết nối với nhau không an toàn.
• Thiếu đào tạo về kỹ năng an toàn thông tin.
• Mật khẩu yếu hoặc bị xâm phạm.
• Thiếu đầu tư vào an ninh mạng.

1. Các thiết bị y tế được kết nối mạng có rủi ro cao

Thông thường, chúng ta nghe nói về những rủi ro của các thiết bị IoT. Đây thực chất là những thiết bị được kết nối mạng đơn giản để thực hiện một chức năng cụ thể. Ví dụ, nhiều thiết bị y tế được kết nối mạng trong bệnh viện, phòng khám để lưu trữ và truyền các số liệu thống kê, dữ liệu, biểu đồ, hồ sơ và nhiều loại dữ liệu khác. Điều đó có thể làm tăng đáng kể bề mặt tấn công.

Các thiết bị y tế có thể không được cập nhật các bản vá bằng các thiết bị bảo mật mới nhất cho hệ điều hành, firmware,… Bên cạnh đó, các thiết bị này có thể được đăng nhập và không được giám sát. Tất cả những yếu tố như vậy cùng một số yếu tố khác có thể dẫn đến sự gia tăng nguy cơ an ninh mạng.

Các tổ chức phải đảm bảo rằng họ có một bản kiểm kê thích hợp về mọi thiết bị y tế được kết nối trong hệ thống mạng, đồng thời giám sát, theo dõi, cập nhật các bản vá lỗi cần thiết để khắc phục các sự cố lỗ hổng bảo mật.

2. Mạng lưới y tế được kết nối với nhau không an toàn

Một thực trạng hiện nay là mạng lưới các bệnh viện lớn có thể được kết nối với các phòng khám nhỏ nhưng thường kém an toàn bảo mật. Mặc dù các mạng được kết nối với nhau cho phép thông tin được trao đổi nhanh chóng và dễ dàng, tuy nhiên nó có thể cung cấp một cách thuận tiện để tin tặc xâm nhập vào mục tiêu.

Các phòng khám có thể sử dụng các thiết bị mạng và chạy các giao thức bảo mật đã cũ và kém hiệu quả. Nhiều thiết bị điểm cuối có thể không được vá một cách thích hợp và thường xuyên đăng nhập bằng thông tin của quản trị viên. Việc truy cập vào một trang web độc hại có thể tạo ra cánh cửa cho phần mềm độc hại, ransomware hoặc một phương thức tấn công khác để xâm nhập vào mạng nhỏ hơn, sau đó chuyển đến mạng bệnh viện được kết nối thông qua các cổng đang mở và các kết nối được phép khác.

Việc triển khai mô hình zero-trust network giữa tất cả các mạng được kết nối và đảm bảo quyền truy cập với ít đặc quyền nhất vào các tài nguyên sẽ giúp tăng cường bảo mật cho các mạng lưới y tế.

3. Thiếu đào tạo về kỹ năng an toàn thông tin

Mặc dù các chuyên gia y tế có một số khóa đào tạo chuyên sâu, tuy nhiên những khóa học về nhận thức an toàn, an ninh thông tin thường không phải là một trong số đó. Do đó, nhiều cán bộ, chuyên gia y tế, cũng như các chuyên gia trong lĩnh vực khác, không được đào tạo đầy đủ về các kỹ năng an toàn thông tin, ví dụ như làm thế nào để nhận ra email lừa đảo, trang web độc hại hoặc phần mềm độc hại khác. Bên cạnh những rủi ro liên quan đến các trang thiết bị y tế và mạng lưới y tế được kết nối với nhau, điều này làm tăng thêm mối đe dọa đối với các tổ chức trong lĩnh vực y tế.

Các tổ chức cần phải đào tạo các kỹ năng cơ bản về an toàn thông tin thường xuyên cho tất cả nhân viên của mình, để đảm bảo rằng người dùng cuối (end-users) có được các kỹ năng cơ bản trước những mối đe dọa, chiến thuật khác nhau mà tin tặc thường sử dụng cho các cuộc tấn công lừa đảo hay kỹ nghệ xã hội.

4. Mật khẩu yếu hoặc bị xâm phạm

Cũng theo Báo cáo về chi phí vi phạm dữ liệu năm 2021 của IBM, một số thống kê đáng báo động có liên quan đến thông tin xác thực bị xâm phạm. Bao gồm:

• Tài khoản thông tin xác thực bị xâm phạm chiếm 20% tổng số sự kiện vi phạm.
• Các vi phạm do thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm mất nhiều ngày nhất để có thể xác định
• Trung bình một vụ vi phạm dữ liệu do thông tin đăng nhập bị xâm phạm tổn thất khoảng 4,37 triệu USD.

Các tổ chức y tế có thể trở thành nạn nhân của các cuộc tấn công do thông tin đăng nhập bị xâm phạm, vì họ có thể gặp khó khăn trong việc phát hiện và cho phép tin tặc giả danh một người dùng nào đó có thông tin đăng nhập hợp pháp. Ngoài ra, các tin tặc cũng có thể biết được các mật khẩu ngay cả khi chúng được thiết lập phức tạp, nếu nằm trong danh sách mật khẩu bị xâm phạm. Nó có thể cung cấp quyền truy cập cho những tin tặc sử dụng danh sách bị xâm phạm trong tấn công password spraying, hoặc các cuộc tấn công thông tin xác thực khác.

Để giảm thiểu nguy cơ này, các tổ chức cần phải thực hiện các chính sách mật khẩu mạnh để ngăn chặn việc sử dụng mật khẩu yếu và bảo vệ mật khẩu tránh bị xâm phạm.

5. Thiếu đầu tư vào an ninh mạng

An ninh mạng trong lĩnh vực y tế đang bị đe dọa nghiêm trọng, một phần do thiếu sự đầu tư vào các giải pháp và công nghệ bảo mật thích hợp. Một nghiên cứu cho biết, trung bình các tổ chức y tế chỉ dành khoảng 5% ngân sách công nghệ thông tin của họ cho các vấn đề về an ninh mạng, trong khi phần còn lại dành cho việc áp dụng các công nghệ mới.

Điều đó có thể dẫn đến một kết quả ít mong muốn đến là sự mở rộng của các bề mặt tấn công và thiếu các công cụ cần thiết để bảo vệ hệ thống tránh khỏi các cuộc tấn công mạng.

Chính vì vậy, lãnh đạo cùng cán bộ các phòng ban liên quan sẽ cần phải nghiên cứu và tìm hiểu thật kỹ lưỡng về sự cần thiết phải ưu tiên đầu tư cơ sở hạ tầng an ninh mạng trong tổ chức của mình. Đồng thời, đánh giá rủi ro cũng cần phải xem xét tác động của một cuộc tấn công có thể xảy ra, điển hình như ransomware đối với dữ liệu nhạy cảm của bệnh nhân và những hậu quả đối với tổ chức nếu dữ liệu bị rò rỉ.

Tăng cường bảo vệ mật khẩu trong lĩnh vực y tế

Như đã đề cập trước đó, bảo vệ mật khẩu là một mối quan tâm lớn. Các tin tặc thường sử dụng thông tin đăng nhập bị xâm phạm để dễ dàng truy cập vào mạng lưới của các doanh nghiệp, bao gồm cả mạng lưới của các tổ chức y tế. Do đó, các chính sách mật khẩu kém và các vấn đề bảo mật liên quan đến mật khẩu có thể dẫn đến các lỗ hổng nghiêm trọng trên diện rộng.

Các tổ chức họạt động trong lĩnh vực y tế thường sử dụng chính sách mật khẩu trong Active Directory của Microsoft như một phần của Chính sách nhóm – Group Policy. Specops Password Policy là một giải pháp chính sách mật khẩu mạnh mẽ, bổ sung các tính năng chính cho các chính sách mật khẩu Active Directory hiện có, bao gồm Breached Password Protection.

Chính sách bảo vệ mật khẩu của Specops Password Policy trong Active Directory

Bên cạnh tính năng Breached Password Protection được cung cấp bởi Specops Password Policy, giải pháp này còn cung cấp một số tính năng khác như sau:

• Dễ dàng triển khai nhiều danh sách từ điển mật khẩu để chặn các mật khẩu cụ thể, có thể tùy chỉnh trong tổ chức của mình.
• Hơn 2 tỷ mật khẩu bị xâm phạm được bảo vệ bởi tính năng Breached Password Protection, bao gồm các mật khẩu được tìm thấy trong danh sách vi phạm đã biết cũng như mật khẩu đang được sử dụng trong các cuộc tấn công xảy ra ngay bây giờ.
• Tìm và xóa mật khẩu bị xâm phạm trên môi trường Active Directory trong tổ chức.
• Hỗ trợ nhắn tin cho người dùng cuối đầy đủ thông tin khi việc thực hiện thay đổi mật khẩu không thành công.
• Phản hồi tự động khi có thay đổi mật khẩu trong thời gian thực.
• Thời hạn của mật khẩu dựa trên độ dài với thông báo email có thể được tùy chỉnh
• Hỗ trợ Passphrase - một chuỗi kí tự thường gồm 12 đến 24 chữ được dùng để mã hóa thông tin.
• Hỗ trợ hơn 25 ngôn ngữ.
• Sử dụng Regular Expression – biểu thức chính quy để tùy chỉnh thêm tính năng lọc mật khẩu.