Diễn tập An toàn thông tin phải sát với thực tế

02:20 PM 24/11/2017 In bài viết

Nguy cơ mất ATTT ngành Y tế ngày càng gia tăng

Trong khuôn khổ phối hợp với cơ quan chủ trì các lĩnh vực quan trọng, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) phối hợp với Cục Công nghệ thông tin (Bộ Y tế) tổ chức tập huấn và diễn tập bảo đảm an toàn thông tin, phòng, chống tấn công mạng cho các hệ thống thông tin lĩnh vực Y tế, với sự tham gia của các chuyên viên CNTT và ATTT tại một số cơ quan, đơn vị thuộc Bộ Y tế, Sở Y tế của các tỉnh, thành phố trực thuộc Trung ương, các bệnh viện, tổ chức liên quan trong lĩnh vực Y tế trên phạm vi cả nước.

Ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin cho biết, với sự tham mưu của Cục CNTT, Bộ Y tế là một trong hai bộ đầu tiên tổ chức diễn tập về an toàn thông tin trong năm 2017. Trước đó Bộ Giao thông Vận tải đã tổ chức diễn tập về an toàn thông tin vào tháng 9/2017.

Ông Dũng cho hay, khi tin tặc tấn công đánh cắp dữ liệu thì ngành y tế có nguy cơ tấn công rất cao. Ví dụ, khi virus WannaCry tấn công hồi giữa năm 2017 thì các bệnh viện, cơ sở y tế ở Anh bị ảnh hưởng lớn nhất. Việc sớm tổ chức tập huấn và diễn tập thể hiện sự quan tâm của lãnh đạo Bộ Y tế, của Cục CNTT (Bộ Y tế) trong công tác đảm bảo an toàn thông tin, phòng, chống tấn công vào hệ thống CNTT của toàn ngành y tế.

Ông Nguyễn Huy Dũng, Phó Cục trưởng Cục ATTT, phát biểu khai mạc Diễn tập

Với sự phát triển của công nghệ thông tin và truyền thông, việc ứng dụng mô hình Y tế điện tử (E-Health) đã đem lại cho mọi người những dịch vụ y tế nhanh và chất lượng cao. Tuy nhiên, E-Health cũng tiềm ẩn những nguy cơ mất an ninh an toàn thông tin dữ liệu, đó là những cuộc tấn công ăn cắp hồ sơ y tế điện tử, lộ lọt những thông tin cá nhân sức khỏe nhạy cảm có nguy cơ đe dọa đến tính mạng con người.

Đánh cắp nhận dạng cá nhân trong y tế và tiết lộ thông tin bệnh nhân do vấn đề bảo mật có thể rất nguy hiểm cho sức khỏe của cá nhân và cộng đồng. Các tổ chức y tế lưu trữ rất nhiều thông tin nhận dạng cá nhân như tên, địa chỉ, ngày sinh, số an sinh xã hội, giấy phép lái xe, và thông tin tài khoản tài chính… đều được lưu trong các hồ sơ y tế. Trong các hồ sơ đó còn có những thông tin về tình trạng sức khỏe của người bệnh và bảo hiểm y tế. Những vi phạm thông tin sức khỏe có thể khiến nhà cung cấp dịch vụ y tế bị thiệt hại về kinh tế cũng như những hậu quả nghiêm trọng khác. Những Vi phạm bảo mật xảy ra trong ngành chăm sóc sức khỏe từng đứng trong nhóm 10 và dẫn đầu về số lượng bản ghi bị tấn công. Theo chỉ số bảo mật không gian mạng thông minh năm 2016 (2016 IBM X-Force Cyber Security Intelligence) của IBM, mức độ trộm cắp hồ sơ dữ liệu chăm sóc sức khỏe đã tăng gấp 11 lần trong năm 2015, với hơn 100 triệu hồ sơ trên toàn thế giới bị tổn hại. Nói cách khác, cứ 3 người thì có 1 người đã bị xâm nhập trái phép vào hồ sơ y khoa trong năm 2015. Tội phạm mạng nhận ra rằng thông tin sức khỏe y tế là một tài sản sinh lợi trong một môi trường kém an toàn. Thông tin sức khỏe y tế điện tử ngày càng phổ biến và có giá trị cao trên thị trường chợ đen. Năm 2015 có thể được xem là năm nổi bật cho các hành vi vi phạm dữ liệu y tế, chủ yếu vì các cuộc tấn công mang tính bước ngoặt vào 3 nhà cung cấp hàng đầu tại Mỹ là Excellus Health Plan, Premera Blue Cross và Anthem. Số liệu thống kê từ hãng bảo mật Trend Micro cho biết, chỉ riêng tại Mỹ, năm 2015 đã có hơn 113 triệu đĩa dữ liệu đã bị đánh cắp.

Mặt khác, cuộc cách mạng Công nghiệp lần thứ 4 cùng nhiều ứng dụng CNTT mới đang được sử dụng trong lĩnh vực chăm sóc sức khỏe. Sự gia tăng của các thiết bị IoT trong ngành này cũng mang đến một số mối lo ngại, đó là các lỗ hổng an ninh mạng trong nhiều thiết bị y tế. Chẳng hạn như việc cập nhật phần mềm của nhà sản xuất máy hỗ trợ thở bị tấn công và nhiễm mã độc, khiến bệnh nhân có nguy cơ về sức khỏe hay các thiết bị cấy ghép không được bảo mật khiến chúng dễ dàng bị tấn công... Các chuyên gia trong lĩnh vực an toàn bảo mật cảnh báo, cuộc tấn công vào các tổ chức y tế sẽ tiếp tục được mở rộng trong năm 2017 do xu hướng sử dụng Internet of Things (IoT). Theo đó, các thiết bị y tế thông minh đặt ở khắp mọi nơi, nhưng nhiều trong số đó không được đảm bảo an ninh khiến chúng trở thành mục tiêu hoàn hảo cho tin tặc. Không chỉ vậy, các thiết bị IoT cũng có thể được sử dụng trong các cuộc tấn công DDoS như đã thấy với botnet Mirai. Nếu không có biện pháp bảo vệ thích hợp, những hệ thống này dễ bị xâm nhập và lấy cắp thông tin nhạy cảm, gian lận, phá hoại các hoạt động hoặc khởi động các cuộc tấn công chống lại các hệ thống và mạng máy tính khác. Mối đe dọa là đáng kể và ngày càng gia tăng vì nhiều nguyên nhân bao gồm sự dễ dàng xâm nhập và sử dụng công cụ và công nghệ tấn công.

Vì vậy song song với phát triển và ứng dụng những thành quả mà cuộc cách mạng trong y tế điện tử, cần có biện pháp đảm bảo an ninh an toàn thông tin dữ liệu trong ngành y tế.

Diễn tập phải sát với thực tế

Ở nước ta, Y tế là một trong 11 lĩnh vực cần ưu tiên bảo đảm an toàn thông tin mạng theo quy định tại Quyết định số 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ về việc Ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia. Do đó, việc triển khai các hoạt động nhằm bảo đảm an toàn thông tin cho lĩnh vực Y tế là yêu cầu cần thiết và cấp bách.

Chương trình tập huấn và diễn tập diễn ra trong 3 ngày và được chia làm hai giai đoạn. Hai ngày đầu các học viên sẽ được tập huấn các kiến thức chuyên sâu về an toàn thông tin, đến ngày thứ ba sẽ chia thành nhóm để diễn tập tổ chức các bài thi, các bài thực hành, tái hiện các kiến thức kỹ năng được học trong 2 ngày đầu.

Toàn cảnh buổi Diễn tập

Trong ngày thứ 3, những người tham gia diễn tập chia thành 10 đội, thực hiện các nhiệm vụ được giả lập như thật. Mỗi đội quản trị một hệ thống CNTT, giám sát an toàn và hiệu quả cơ sở hạ tầng an ninh và đánh giá những thay đổi cần thiết. Mỗi tổ lưu giữ cấu hình, trạng thái của hệ thống nhằm sẵn sàng đáp ứng cho việc phòng thủ khi xảy ra sự cố. Đồng thời mỗi đội cũng thực hiện tấn công hệ thống của các đội khác. Hệ thống tính điểm online sẽ tính điểm thực hành cho các nhóm. Cuối buổi ngày thứ 3, cuộc thi giữa các đội đã có kết quả chấm điểm và chọn ra 3 đội xếp 3 vị trí đầu với số lượng cờ và tài khoản lấy được cao nhất.

Các đội diễn tập cả tấn công và phòng thủ

Với Thông điệp “Đưa diễn tập an toàn thông tin vào thực chất”, khác với các cuộc diễn tập đã diễn ra trước đây, các cuộc diễn tập trong Chuỗi sự kiện Diễn tập bảo đảm ATTT cho lĩnh vực quan trọng sẽ tập trung chú trọng vào việc trang bị cho cán bộ kỹ thuật kiến thức, kỹ năng, kinh nghiệm thực tế và sự nhanh nhạy, ứng phó xử lý tình huống khi xảy ra tấn công mạng, nguy cơ, mối đe dọa về an toàn đối với các hệ thống thông tin; bên cạnh mục tiêu tuyên truyền, phổ biến nâng cao nhận thức và trách nhiệm của các cơ quan, tổ chức và người sử dụng về an toàn thông tin. Nội dung buổi tập huấn lần này sẽ trang bị cho các cán bộ CNTT của ngành y tế kiến thức về phòng chống tấn công APT, tấn công DoS và DDoS, về điều tra chứng cứ số, công cụ điều tra số, bảo mật mạng Wi-Fi… Qua đó, giúp cán bộ kỹ thuật có kinh nghiệm thực tiễn để tự tin hơn khi ứng phó, xử lý trước các cuộc tấn công mạng.

Ông Nguyễn Huy Dũng trao phần thưởng cho các đội đạt thứ hạng Nhất, Nhì, Ba

Việc bảo đảm an toàn thông tin cần phải liên kết để trở thành một mạng lưới, chương trình tập huấn và diễn tập này là một sự liên kết trong mạng lưới đó. Không ai, không đơn vị nào có thể đảm bảo an toàn thông tin một mình bởi dù hệ thống của ngành y tế có đảm bảo an toàn nhưng đơn vị khác kết nối dữ liệu vào mà không an toàn thì cũng sẽ mất an toàn cho toàn bộ hệ thống. Các nội dung diễn tập và tập huấn rất cần thiết và phải được tổ chức định kỳ cho cán bộ CNTT của các đơn vị trong ngành y tế.

Những người hoàn thành Diễn tập nhận chứng chỉ của Cục ATTT

Qua sự kiện diễn tập bảo đảm ATTT, các cơ quan, đơn vị liên quan, đặc biệt là cán bộ kỹ thuật trực tiếp sẽ được trang bị vững vàng thêm kiến thức, kỹ năng và kinh nghiệm thực tiễn để triển khai công tác bảo đảm an toàn cho các lĩnh vực, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ cho hoạt động của cơ quan, tổ chức cũng như phục vụ cho cộng đồng.

Đại diện Cục ATTT và các cán bộ, chuyên viên CNTT của Bộ Y tế tham dự Diễn tập

Trong thời gian tới, thực hiện nhiệm vụ được Bộ trưởng Bộ Thông tin và Truyền thông giao về việc tổ chức triển khai bảo đảm ATTT cho 11 lĩnh vực quan trọng, Cục An toàn thông tin sẽ tiếp tục phối hợp với các cơ quan chủ trì lĩnh vực quan trọng, chủ quản hệ thống thông tin tổ chức các hoạt động nhằm bảo đảm an toàn thông tin cho các hệ thống thông tin quan trọng quốc gia, trong đó bao gồm cả Chuỗi sự kiện Diễn tập bảo đảm an toàn thông tin cho lĩnh vực quan trọng. Ông Dũng cho biết thêm, sau đợt diễn tập của ngành Y tế, ngành Điện lực cũng sẽ sớm thực hiện diễn tập, đào tạo tập huấn về an toàn thông tin.

 

Minh Thiện