An toàn thông tin trong lĩnh vực y tế: Như chia sẻ trong poll của tuần trước về việc lĩnh vực nào năm 2023 bị hac.ker nhắm đến nhiều nhất. Chúng tôi xin có lời giải đáp tại đây.
Theo báo cáo của IBM chỉ tính riêng về các thiệt hại do các vụ rò rỉ dữ liệu gây ra, thì đây là danh mục các lĩnh vực kinh tế bị tấn công nhiều nhất trong năm 2023.
Lĩnh vực Chăm sóc sức khỏe/Y tế đang xếp Top 1 lĩnh vực bị tấn công và rò rỉ dữ liệu nhiều nhất toàn cầu năm 2023, chi phí trung bình của một cuộc vi phạm dữ liệu trong lĩnh vực này đã tăng 53,3% vượt hơn 3 triệu USD so với chi phí trung bình chỉ là 7,13 triệu USD trong năm 2020. Tại Hoa kỳ, lĩnh vực này được coi là ngành công nghiệp quan trọng, đặc biệt là hệ thống cơ sở hạ tầng. Kể từ khi đại dịch Covid-19 diễn ra, ngành này đã ghi nhận mức chi phí vi phạm dữ liệu trung bình cao hơn đáng kể.
Tại Việt Nam, liên tiếp các cuộc tấn công mạng vào các cơ sở y tế lớn và có tên tuổi bằng các hình thức tấn công quen thuộc như email phishing, mã hóa tống tiền ransomware trong các năm trở lại đây, đặc biệt mục tiêu tấn công thậm chí không thay đổi nhưng các đơn vị y tế lớn vẫn không thoát (các cuộc tấn công vào các bệnh viện tại Việt Nam bên dưới).
Những vấn đề của riêng ngành Y tế đang phải đối mặt
Ngành Y tế có thể nói là ngành có mô hình hoạt động và kết nối vô cùng phức tạp, đồng thời tiềm ẩn nhiều rủi ro về an ninh mạng. Ngoài mô hình công nghệ thông tin thông thường như các tổ chức khác, có những đặc thù riêng của ngành như cơ sở dữ liệu vô cùng lớn, bên cạnh số lượng thiết bị kết nối vào hệ thống internet nhất là trong giai đoạn cách mạng số của ngành y tế. Số lượng thiết bị, phần mềm được đưa vào sử dụng trong ngành tăng theo cấp số nhân nhưng nhân sự để quản trị vận hành và được đào tạo chuyên môn về an ninh mạng của hệ thống hầu như không có nhiều thay đổi.
Về quy mô, các bệnh viện lớn hay hệ thống các nhà cung cấp dịch vụ y tế thường có khả năng thuê hoặc chi trả cho đội ngũ quản lý công nghệ thông tin, thậm chí là nhân sự phụ trách về an toàn thông tin. Tuy nhiên, một số lượng lớn các bệnh viện tuyến nhỏ, tư nhân hầu như không có ngân sách cố định hoặc ưu tiên cho các chi phí về an toàn thông tin bởi mức độ phức tạp của hệ thống vận hành khi thuê đơn vị quản trị an toàn là một chi phí không nhỏ.
Về hiện trạng cơ sở hạ tầng và công nghệ mà các bệnh viện tại Việt Nam đang thiết kế và vận hành, bên cạnh mô hình công nghệ thông tin chung quản trị hoạt động nội bộ thì vấn đề kết nối, liên kết thông tin giữa các nhóm vận hành và lĩnh vực liên quan trong mạng lưới y tế vô cùng phức tạp. Chỉ nói riêng về Hồ sơ bệnh án điện tử EHR (Electronic Health Record) tuy được quy định rõ từ Bộ Y tế nhưng mỗi đơn vị bệnh viện lại sử dụng một ứng dụng từ bên thứ ba khác nên khả năng kết nối tương thích khi dẫn xuất khó đồng bộ, cho đến hệ thống thông tin HIS (Hospital Information System), LIS (Laboratory Information System), PACS (Picture Archiving and Communication System), PMS (Pharmacy Management System), FMS (Financial Management System)… đều như một mạng nhện rối bời. Số lượng thiết bị y tế lớn, lại có kết nối trực tiếp với người bệnh rồi thông qua mạng để truyền dữ liệu, … và cả việc áp dụng hình thức theo dõi khám chữa bệnh từ xa nên mỗi kết nối và thiết bị như vậy lại tạo ra hàng ngàn rủi ro và tin tặc dễ dàng tiếp cận.
Ghi nhận từ tổ chức Y tế thế giới WHO thì Bệnh viện công ở Việt Nam được chia thành ba cấp Trung Ương (47 bệnh viện), cấp tỉnh (419 bệnh viện) và cấp huyện (684 bệnh viện). Còn theo Hiệp hội Bệnh viện tư nhân Việt Nam, tính đến hết năm 2022 cả nước có gần 320 bệnh viện tư cùng 38.000 phòng khám tư. Cứ thử tưởng tượng số lượng dữ liệu mỗi ngày cần kết nối đến các hệ thống bảo hiểm, bệnh án, cấp thuốc, … thì đây là một siêu dữ liệu khổng lồ và ẩn chứa rủi ro lớn cỡ nào.
Một khi tin tặc truy cập được vào một bệnh viện hoặc một phòng khám không được trang bị các công cụ bảo mật thì không chỉ gây ra hậu quả về việc mất mát dữ liệu tại cơ sở mà cuộc tấn công hoàn toàn có thể leo thang và nhiễm độc đến toàn bộ các kênh thông tin có kết nối trong hệ thống y tế. Một cuộc khủng hoảng của ngành y tế đe dọa đến bảo mật dữ liệu cá nhân của bệnh nhân, các nhà cung cấp sản phẩm y tế, … có thể diễn ra và khó có thể hồi phục cũng như ảnh hưởng đến vấn đề khám chữa bệnh đặc biệt nghiêm trọng.
Rủi ro có thể đến từ bất cứ nơi nào trong hệ thống không được kiểm soát
Mô hình vận hành càng phức tạp và cồng kềnh chưa được chuyên môn hoá, nhân sự được đào tạo chuyên môn về an toàn thông tin thiếu hụt hoặc chưa được chú trọng, … trong khi dữ liệu mà hệ thống chăm sóc sức khỏe/y tế lại vô cùng có giá trị nên ngành y tế tại Việt Nam đang bị đặt vào tầm ngắm của tin tặc.
Thông tin của bệnh nhân mà các cơ sở y tế nắm giữ rất chi tiết không chỉ tên, địa chỉ mà cả các thông tin về sinh học, độ tuổi, bệnh lý, hình ảnh, xét nghiệm, … là tài sản có giá được yêu thích tại các chợ đen. Các dữ liệu này một khi bị lộ lọt sẽ không bao giờ biến mất mà được kẻ xấu lợi dụng để thực hiện các hành vi như lợi dụng thông tin các cá nhân này để lừa đảo, giả mạo, trộm cắp, tống tiền bệnh nhân … Vì vậy, rủi ro hàng đầu về rò rỉ dữ liệu (Data Breaches)là thiệt hại vô cùng tiềm tàng.
Các chuyên gia y tế cần truy cập từ xa vào hệ thống dữ liệu y tế, các nhân viên trực vận hành, thu ngân, … những người đang có quyền truy cập vào hệ thống thông tin của bệnh viện hoàn toàn có thể hoặc vô ý gây ra các sự cố an ninh mạng của bệnh viện. Mối nguy đến từ nội bộ (Insiders threats) không được đào tạo về các rủi ro an ninh thông tin là một điểm yếu đã và đang tồn tại ở các cơ sở. Do tư duy trong lĩnh vực y tế thường tập trung vào vấn đề chuyên môn, nghiệp vụ khám chữa bệnh mà chưa thực sự chú trọng và nhận thức về tầm quan trọng của vấn đề an toàn bảo mật.
Như đã nói ở trên về số lượng các thiết bị y tếđang có kết nối mạng trong hệ thống khám chữa bệnh của các bệnh viện. Không bệnh viện, phòng khám nào lại không có một hệ thống thiết bị dày đặc và chứa nhiều “sơ hở” như trong ngành y tế. Thiết bị mới với công nghệ tiên tiến thường sẽ đắt đỏ và kén người có chuyên môn để vận hành nên đa số hệ thống công nghệ hay thiết bị trong lĩnh vực này ở trạng thái lỗi thời hoặc sử dụng những hệ điều hành cũ kỹ tồn tại nhiều lỗ hổng. Điều này càng tạo điều kiện cho việc các thiết bị kết nối mạng này không được trang bị các biện pháp an ninh một cách đầy đủ. Không phải bệnh viện nào cũng được trang bị các thiết bị mới, có kết nối an toàn bởi ngân sách và thời gian khấu hao thiết bị. Đây là điểm đáng lo ngại bởi thiết bị lỗi thời thường tồn tại các lỗ hổng và end of life nên thường không được hỗ trợ bản vá nếu có lỗi hoặc lỗ hổng. Quy trình kiểm tra thiết bị định kỳ thường “quên” mất việc cần kiểm tra cả tính an toàn bảo mật hay khả năng truy cập từ các nguồn bên ngoài cho thiết bị. Tin tặc hoàn toàn có thể tấn công từ một thiết bị để gây ra các sự cố nguy hiểm nghiêm trọng đến bệnh nhân và danh tiếng của cơ sở khám chữa bệnh.
Các cuộc tấn công mạng đến từ bên ngoàicủa các hacker, các tổ chức tin tặc trên thế giới ưa thích nhất là sử dụng email phishing lừa đảo, cài cắm các phần mềm độc hại và đặc biệt là ransomware – mã độc tống tiến. Lý do rất rõ ràng bởi chỉ cần một phần mềm, tài liệu bị mã hoá thì cả hệ thống y tế đang liên kết với nhau sẽ bị ảnh hưởng ngừng trệ, liên quan đến sức khoẻ, tình trạng của bệnh nhân sẽ càng thôi thúc việc trả tiền chuộc từ lĩnh vực này cao hơn nên các tổ chức tin tặc bỏ qua vấn đề đạo đức mà tấn công để đạt được lợi ích kinh tế.
Bài học từ các cuộc tấn công mạng vào hệ thống bệnh viện tại Việt Nam
Thông tin công bộ về các cuộc tấn công mạng vào hệ thống các bệnh viện tại Việt Nam thường ít được công bố. Bởi vấn đề này ảnh hưởng nghiêm trọng đến niềm tin của bệnh nhân và uy tín của tổ chức.
Lấy một thống kê từ công ty an ninh mạng Emsisoft được công bố năm 2023, 46 hệ thống bệnh viện ở Mỹ bao gồm 141 bệnh viện đã bị ảnh hưởng bởi mã độc tống tiền ransomware, con số này tăng từ 25 hệ thống bệnh viện bị mã độc ransomware tấn công so với năm 2022. Tại Việt Nam, không có thống kê nào trong lĩnh vực này một cách chính thức. Không kể đến vấn đề là hiện nay dù có Luật Y tế số 40/2009/QH12, hay Thông tư 14/2015/TT-BYT của Bộ Y tế cho đến Quy định của Bộ Thông tin & Truyền thông về bảo vệ dữ liệu và thông tin trên mạng thì cũng chưa có một đạo luật hay quy định nào liên quan đến Bảo vệ thông tin/dữ liệu của bệnh nhân ngoại trừ nguyên tắc trong hành nghề khám chữa bệnh được quy định trong Luật khám chữa bệnh 2009 về tôn trọng bí mật riêng tư của bệnh nhân. Vì vậy không có tiêu chuẩn hay các quy định về việc nếu vi phạm gây mất mát, rò rỉ dữ liệu bệnh nhân thì sẽ bị phạt ra sao đối với các cơ sở, đơn vị cung cấp dịch vụ chăm sóc sức khỏe trong ngành y tế. Chỉ sau khi bị tấn công, các đơn vị mới thực hiện cài đặt phần mềm antivirus, đào tạo nhận thức hay hiếm hoi có các đơn vị, bệnh viện bổ sung ngân sách cho việc kiểm tra đánh giá bảo mật. Và câu chuyện về những rủi ro vẫn còn tiềm ẩn của đơn vị lại lặng lẽ bị lãng quên.
- Năm 2018, BM – một bệnh viện có tiếng nhất nhì tại Việt Nam bị tấn công ransomware khi tin tặc xâm nhập vào hệ thống và mã hoá nhiều tập tin và đòi tiền chuộc. Hệ thống thông tin của bệnh nhân tại bệnh viện bị gián đoạn và ảnh hưởng đến việc truy cập cũng như quản lý hồ sơ bệnh nhân. Bệnh viện đã phải chuyển sang sử dụng phương pháp thủ công để duy trì hoạt động trong thời gian khắc phục sự cố gây khó khăn và chậm trễ trong quá trình khám chữa bệnh. Không có thông tin chi tiết về việc bệnh viện có trả tiền chuộc hay không.
- Năm 2019, tại một bệnh viện Đa khoa khu vực miền trung, một nhân viên y tế đã nhấp vào email giả mạo có chứa liên kết/tệp độc hại khiến hệ thống máy tính của bệnh viện bị lây nhiễm. Một số thông tin được cho là nhạy cảm của bệnh viện và bệnh nhân đã bị rò rỉ. Hậu quả sau đó là bệnh viện phải tiến hành kiểm tra và làm sạch toàn diện hệ thống để đảm bảo không còn phần mềm độc hại. Vụ việc cũng là một lần cảnh tỉnh về vấn đề đào tạo nhận biết các kiến thức về an toàn thông tin tại cơ sở cho cán bộ nhân viên trong bệnh viện.
- Năm 2020, một bệnh viện vô cùng tên tuổi tại Hà Nội bị khai thác lỗ hổng trên hệ thống HIS. Nhóm tin tặc đã xâm nhập vào hệ thống thông qua lỗ hổng và truy cập trái phép, lấy cắp một lượng lớn dữ liệu nhạy cảm bao gồm thông tin cá nhân và hồ sơ y tế của bệnh nhân. Lỗ hổng tại thời điểm đó đã được khắc phục nhanh chóng và bảo vệ các dữ liệu còn lại.
- Năm 2021, một bệnh viện cấp trung ương khu vực miền trung bị tấn công bằng phần mềm độc hại. Chưa rõ phần mềm độc hại được phát tán qua email hay thông qua thiết bị USB nhiễm virus nhưng sau đó đã lây lan trong mạng nội bộ của bệnh viện này. Hậu quả là hệ thống máy tính của bệnh viện bị gián đoạn, ảnh hưởng đến việc truy cập và xử lý các thông tin y tế.
- Năm 2023, một trong các bệnh viện lớn của TP.HCM tiếp tục bị tấn công ransomware và mục tiêu tiếp tục là hệ thống HIS tương tự năm 2020. Nhưng lần này tin tặc tấn công thông qua email phishing để lây nhiễm ransomware. Từ một email của nhân viên mà phần mềm độc hại này lây lan nhanh chóng vào hệ thống mạng nội bộ của bệnh viện. Hệ thống HIS tiếp tục bị khai thác và cả hệ thống lưu trữ hồ sơ bệnh nhân dẫn đến tình trạng gián đoạn nghiêm trọng hoạt động của bệnh viện. Số lượng lớn dữ liệu bị lộ lọt không được công bố nhưng bao gồm hồ sơ bệnh nhân, lịch sử khám chữa bệnh thậm chí cả thông tin quản lý của nội bộ đã bị mã hoá. Bệnh viện phải chuyển sang hình thức quản lý thủ công dẫn đến việc chậm trễ trong quá trình điều trị, bất tiện cho cả bệnh nhân lẫn nhân viên y tế. Không có thông tin về việc chi trả tiền chuộc cho tin tặc.
- Năm 2024, vừa mới đây vào ngày 27/3 tiếp tục cuộc tấn công khác vào hệ thống web của một trong những bệnh viện quan trọng tại TP.HCM cũng gây ra hậu quả là tình trạng gia tăng đột biến số lượng đăng ký khám bệnh. Sự cố tấn công gây ảnh hưởng đến việc cấp số thứ tự của khách hàng và thanh toán không dùng tiền mặt thông qua QR code của bệnh viện. Đến nay chưa ghi nhận tình trạng rò rỉ dữ liệu của bệnh nhân.
Các tổ chức hoạt động trong ngành Y tế cần làm gì?
Không chỉ các đơn vị thực hiện hoặc cung cấp trực tiếp dịch vụ y tế khám chữa bệnh mà ngay cả các công ty đang cung cấp các sản phẩm, thiết bị phục vụ trong lĩnh vực y tế đều phải thay đổi nhận thức trong việc đảm bảo vấn đề an toàn thông tin của mình.
Rủi ro trong lĩnh vực y tế cần được nhìn nhận thực tế rằng đây là lĩnh vực sẽ luôn là mối quan tâm yêu thích hàng đầu của tin tặc. Vì vậy điều mà các đơn vị trong ngành cũng như các nhà cung cấp thứ ba trong chuỗi/mạng lưới y tế cần làm ngay là:
- Rà soát định kỳ vấn đề bảo mật, rà quét nhăm phát hiện các lỗ hổng, … cho các thiết bị, hệ thống phần mềm, quy trình và phân quyền truy cập hệ thống (Đánh giá bảo mật Penetration Testing hoặc Pentest as a Service nhằm tối ưu hệ thống với chi phí hợp lý).
- Xây dựng và tuân thủ các quy định về truy cập hệ thống chặt chẽ.
- Đào tạo nhận thức, rủi ro về an ninh mạng không chỉ cho bộ phận công nghệ thông tin mà là toàn bộ nhân sự trong hệ thống.
- Cập nhật phần mềm, sao lưu các dữ liệu quan trọng.
- Xây dựng ngân sách và thuê đơn vị quản trị an toàn thông tin uy tín giám sát truy cập hệ thống (SOC – Security Operation Center).
Nâng cao năng lực phòng vệ của đội ngũ CNTT bằng các hoạt động diễn tập thực chiến. (Red Team, Incident Response).
Và điều quan trọng hơn cả là việc xây dựng một lộ trình an toàn thông tin cho toàn bộ hệ thống. Không chỉ năng lực về chuyên môn của đội ngũ khám chữa bệnh mà năng lực và tính an toàn của toàn bộ hệ thống công nghệ thông tin trong cơ sở cũng cần song hành để tạo sự yên tâm, niềm tin của bệnh nhân và đội ngũ y tế. Thay đổi về nhận thức tầm quan trọng của đội ngũ lãnh đạo sẽ tác động to lớn đến chất lượng và tính bảo mật của dữ liệu ngành y tế.
Nguồn: Báo Đầu tư
Về VSEC:
20 năm kinh nghiệm trong lĩnh vực bảo mật và an toàn thông tin, là Trung tâm đào tạo và cảnh báo An toàn thông tin đầu tiên tại Việt Nam từ năm 2004.
Chúng tôi đã cộng tác và đồng hành với hơn 500+ doanh nghiệp để đảm bảo an toàn thông tin trong nước và quốc tế trong đó 90% các tổ chức tài chính Top 1 Việt Nam là khách hàng của VSEC.
VSEC là đơn vị đầu tiên tại Việt Nam tuân thủ và được CREST công nhận đạt tiêu chuẩn cho cả 2 dịch vụ Penetration Testing (Kiểm thử xâm nhập) và SOC (Security Operation Center – Trung tâm Vận hành và Giám sát ATTT) tại Việt Nam.
Chúng tôi cũng được tổ chức CyberRisk bình chọn là nhà cung cấp dịch vụ bảo mất duy nhất của Việt Nam lọt vào Top 250 MSSPs (Managed Security Service Provider) hàng đầu thế giới vào năm 2023.
https://vsec.com.vn/ve-chung-toi/ | Your Information – Our Responsibilities