An ninh mạng trong ngành chăm sóc sức khỏe

03:35 PM 10/08/2018 In bài viết

Kết quả hình ảnh cho Cybersecurity in the healthcare industryCuộc tấn công mạng vào SingHealth liên quan đến hai lớp dữ liệu khác nhau. Đầu tiên là dữ liệu cá nhân, phi y tế (ví dụ: tên, số NRIC, địa chỉ, giới tính, chủng tộc và ngày sinh); và thứ hai, thông tin về thuốc được điều trị ngoại trú. Hai lớp dữ liệu này có giá trị và có thể được sử dụng bởi các đối tượng tiêu cực theo nhiều cách khác nhau. Ví dụ:

  • Mạo danh y tế: Bằng cách mạo danh bệnh nhân bị ảnh hưởng, các đối tượng tiêu cực có thể mua và bán lại thiết bị y tế được kiểm soát và thuốc hoặc thậm chí nộp đơn yêu cầu bảo hiểm hư cấu dựa trên hồ sơ y tế của bệnh nhân;
  • Mạo danh danh tính: Các đối tượng sử dụng thông tin ăn cắp có thể xác minh và xác thực địa chỉ email doanh nghiệp và tài khoản ngân hàng cá nhân và thực hiện các hành động “thay mặt cho” bệnh nhân bị ảnh hưởng;
  • Xây dựng hệ thống lừa đảo: Sử dụng thông tin như vậy, các đối tượng trộm thông tin có thể lừa đảo các bệnh nhân bị ảnh hưởng cho các dữ liệu nhạy cảm hơn. Đã có các báo cáo chưa được xác minh của tin nhắn lừa đảo sao chép SMS hợp pháp nhằm thông báo cho người dùng về vi phạm SingHealth.

Không ngạc nhiên, vì phạm vi sử dụng và lạm dụng tiềm năng của họ, Forbes ước tính hồ sơ y tế trị giá lên đến 1000 đô la trên thị trường chợ đen.

Ai nên chịu trách nhiệm trong một cuộc tấn công mạng y tế?

Có phải bác sĩ hoặc nhà cung cấp CNTT của SingHealth phải chịu trách nhiệm về cuộc tấn công mạng như vậy không? Thật không may, câu trả lời có thể là cả hai.

Các chuyên gia y tế không thể đơn giản đẩy trách nhiệm cho các nhà cung cấp CNTT của họ. Hiệp hội Y khoa Singapore (SMA) trước đây đã tuyên bố rằng chính bác sĩ “chịu trách nhiệm thống kê đối với bất kỳ hệ thống nào được thực hiện trong thực tế công việc của ông ấy về hoạt động quản lý (lưu trữ, truy cập và đảm bảo tính toàn vẹn) của dữ liệu y tế”. Theo các quy định mới về đóng góp cho hồ sơ sức khỏe điện tử quốc gia của Singapore (NEHR), các bác sĩ lý tưởng nên có kiến ​​thức cơ bản về an ninh thông tin, dù bằng cách đào tạo hay cách khác.

Đại diện pháp nhân của bệnh viện cũng có thể phải chịu trách nhiệm pháp lý. Phần 24 của Đạo luật bảo vệ dữ liệu cá nhân yêu cầu các tổ chức bảo vệ dữ liệu cá nhân trong việc sở hữu hoặc kiểm soát bằng cách thực hiện các thỏa thuận bảo mật hợp lý để ngăn chặn truy cập trái phép, thu thập, sử dụng, tiết lộ, sao chép, sửa đổi, xử lý hoặc rủi ro tương tự. Chúng bao gồm các biện pháp kỹ thuật như an ninh mạng, sức mạnh của kiểm soát truy cập, và mức độ thường xuyên và mức độ vá lỗi và sửa lỗi.

Các nghĩa vụ khác cũng có thể áp dụng tùy thuộc vào bản chất của các hệ thống máy tính được đề cập. Theo Đạo luật an toàn không gian mới được thông qua của Singapore, các dịch vụ chăm sóc và dịch vụ chăm sóc cấp tính liên quan đến giám sát và đáp ứng dịch bệnh được xem là “các dịch vụ thiết yếu”. Nếu được Cơ quan an ninh mạng của Singapore (CSA) chỉ định là cơ sở hạ tầng thông tin quan trọng, các chủ hệ thống máy tính sẽ phải chịu các nghĩa vụ khác nhau, chẳng hạn như kiểm toán hai năm, đánh giá rủi ro hàng năm, cũng như tuân thủ các tiêu chuẩn và mã cụ thể. Như vậy có thể cho các chủ sở hữu để trở thành nhà cung cấp CNTT, đại diện pháp nhân công ty hoặc thậm chí là các bác sĩ.

Những gì có thể được thực hiện?

Dân số già hóa của Singapore đòi hỏi ngành công nghiệp chăm sóc sức khỏe thích ứng với một cơ sở bệnh nhân mở rộng và ngày càng phức tạp. Trong khi các hiệu thuốc trực tuyến, hệ thống lập kế hoạch tự động, đăng ký bệnh tiểu đường từ xa và các cải tiến khác đã phát triển để giải quyết nhu cầu này, việc sử dụng tăng lên của họ yêu cầu nhà cung cấp dịch vụ chăm sóc sức khỏe phải chú ý hơn đến an toàn thông tin cá nhân và y tế của bệnh nhân.

Mặc dù đây là lần đầu tiên ở Singapore, nhưng các sự cố liên quan đến hàng triệu hồ sơ cá nhân như cuộc tấn công mạng SingHealth không phải là mới. Trong thực tế, nhiều vi phạm tương tự nhưng một số trên một quy mô lớn hơn, đã xảy ra trong quá khứ. Ví dụ:

  • Tại Hàn Quốc, vi phạm 35 triệu hồ sơ người dùng của mạng xã hội Cyworld và cổng thông tin Nate năm 2011;
  • Tại Hoa Kỳ, vi phạm 80 triệu hồ sơ người dùng của Anthem Healthcare vào năm 2015 và sự rò rỉ 143 triệu hồ sơ người dùng của Equifax vào năm 2017.

Không có giải pháp bảo mật mạng nào có thể loại bỏ hoàn toàn rủi ro mạng. Tuy nhiên, một yếu tố lớn trong việc giảm nhẹ rủi ro mạng là giáo dục người dùng - trong trường hợp này, các bác sĩ và nhà cung cấp dịch vụ chăm sóc sức khỏe CNTT. Điều này là do an ninh mạng hiệu quả bắt đầu với sự tài trợ từ các nhà lãnh đạo tổ chức, và một nền văn hóa nhận thức không gian mạng trong tổ chức.

An ninh mạng toàn diện liên quan đến con người, quy trình và công nghệ. Liên quan đến mọi người, các bác sĩ và các nhà cung cấp CNTT cần lưu ý rằng họ có thể là mục tiêu cho các vi phạm liên quan đến lừa đảo và mạo danh. Nguy cơ lừa đảo không phải là duy nhất đối với ngành chăm sóc sức khỏe và ảnh hưởng đến các ngành khác (ví dụ: dịch vụ tài chính, dịch vụ pháp lý) đối phó với dữ liệu nhạy cảm, nhưng không có hướng dẫn xử lý bảo mật mạng hoặc hiểu những rủi ro mà họ phải đối phó.

Liên quan đến quy trình và công nghệ, các bác sĩ và nhà cung cấp CNTT nên làm việc với đối tác an ninh không gian mạng để xây dựng và duy trì môi trường công nghệ an toàn. Điều này có thể bao gồm đánh giá tính dễ bị xâm nhập và mối đe dọa, thiết lập xác thực đa yếu tố và thông báo ứng dụng. Những giải pháp này có thể được điều chỉnh theo kích thước và quy mô của phòng khám và tổ chức của bạn. Đối với các doanh nghiệp chăm sóc sức khỏe tinh vi hơn và CII, chuyên gia bảo mật mạng có thể cung cấp các đánh giá tổn thương định kỳ, kiểm tra và kiểm tra thâm nhập để tuân thủ quy định.

Mai Linh