Một số giải pháp đảm bảo an toàn cho hồ sơ sức khỏe điện tử

Tuy nhiên, do đây cũng chính là một mục tiêu hấp dẫn của tội phạm mạng nên vấn đề đảm bảo an toàn thông tin, dữ liệu bệnh nhân đang trở thành một thách thức lớn lớn.

Hồ sơ sức khỏe điện tử: Những rủi ro tiềm năng

Hồ sơ sức khỏe điện tử (EHR - Electronic Health Records) là hệ thống quản lý hồ sơ ghi chép tình trạng chăm sóc và lịch sử sức khỏe của một người từ lúc sinh ra cho đến lúc mất đi (bảo đảm quản lý dữ liệu lâm sàng của cá nhân suốt đời, chia sẻ dữ liệu giữa các hệ thống thông tin y tế, tính an toàn và riêng tư của hồ sơ). EHR được tạo thành từ nhiều nguồn thông tin/dữ liệu khác nhau bao gồm thông tin/dữ liệu từ các bệnh viện, phòng khám, bác sĩ, nhà thuốc, phòng xét nghiệm… Thông tin rất quan trọng này sẽ giúp các chuyên gia y tế có đầy đủ thông tin trong quá trình khám bệnh, chữa bệnh và chăm sóc sức khỏe cho người dân nhằm nâng cao chất lượng dịch vụ khám bệnh, chữa bệnh. Ngoài ra, hồ sơ sức khỏe điện tử sẽ giúp tăng cường giám sát y tế dự phòng, tránh được tình trạng cấp trùng thẻ bảo hiểm y tế hoặc lạm dụng bảo hiểm y tế, sử dụng hiệu quả quỹ Bảo hiểm y tế…

Tuy nhiên, bên cạnh những lợi ích đó, EHR cũng tiềm ẩn nhiều rủi ro. Lý do lớn nhất khiến tin tặc thích tấn công EHR là ở giá trị của dữ liệu y tế chứa trong đó. Dữ liệu EHR rất được quan tâm bởi vì bên cạnh dữ liệu sức khỏe, nó còn chứa các dữ liệu nhạy cảm khác như thông tin liên lạc, ID bảo hiểm y tế, số an sinh xã hội cũng như các thông tin tài chính của bệnh nhân. Tội phạm mạng có thể phân tích dữ liệu này và bán riêng rẽ hoặc dưới dạng tổng hợp. Một số dịch vụ mà tin tặc có thể lợi dụng từ EHR bao gồm thông tin đơn thuốc cho việc mua sắm thuốc, tạo ra giấy khai sinh giả, gian lận trong khai thuế… Vì vậy, thông tin y tế cá nhân hiện vẫn là một trong những loại dữ liệu được tội phạm mạng tìm kiếm và đánh cắp nhiều nhất.

Theo một báo cáo từ mới đây của Accenture, công ty chuyên cung cấp các dịch vụ về công nghệ kỹ thuật và tư vấn quản lý toàn cầu, khoảng 1/4 người tiêu dùng (26%) tại Mỹ đã từng bị vi phạm dữ liệu EHR. Một nửa trong số đó là nạn nhân của hành vi trộm cắp danh tính y tế. Cụ thể, tin tặc thường đánh cắp danh tính y tế để mua các hàng hóa (37%) và thực hiện những hoạt động gian lận khác bao gồm sử dụng các dịch vụ chăm sóc sức khỏe, thanh toán chi phí chăm sóc sức khỏe, nhận đơn thuốc và truy cập/chỉnh sửa hồ sơ sức khỏe (Hình 1). Theo ước tính của Accenture, chi phí trung bình đối với mỗi sự cố mà các nạn nhân phải gánh chịu vào khoảng 2.528 USD.

Hình 1: Đánh cắp danh tính y tế được sử dụng cho các hoạt động gian lận khác nhau

Báo cáo của Accenture còn cho thấy khoảng 1/3 (36%) số vụ vi phạm dữ liệu y tế xảy ra ngay trong  bệnh viện – một nơi tưởng chừng rất tin cậy để lưu giữ dữ liệu, trong khi 1/5 (22%) số người được khảo sát cho biết các vụ vi phạm xảy ra tại một phòng khám chăm sóc khẩn cấp, sau đó tới hiệu thuốc (22%), văn phòng bác sĩ (21%) và công ty bảo hiểm y tế đang lưu giữ dữ liệu của họ (21%). Điều thú vị là các tổ chức chính phủ có mức độ vi phạm dữ liệu này thấp nhất (6%) (Hình 2).

Hình 2: Vi phạm dữ liệu y tế số xảy ra tại nhiều địa điểm khác nhau

Và mới đây nhất là vụ tấn công mạng vào cơ sở dữ liệu y tế quốc gia Singapore (SingHealth), khiến thông tin cá nhân của 1,5 triệu người dân nước này, tương đương với khoảng 1/3 dân số cả nước, đã bị đánh cắp, trong đó có cả Thủ tướng Lý Hiển Long. Dữ liệu bị khai thác như tên, số chứng minh nhân dân, địa chỉ, giới tính, dân tộc và ngày sinh. Ngoài ra, thông tin đơn thuốc của khoảng 160.000 người điều trị ngoại trú cũng bị sàng lọc.

Một yếu tố quan trọng khác làm cho EHR trở thành một mục tiêu bị tấn công là sự thiếu nhận thức và không đầu tư vào lĩnh vực an ninh mạng của các tổ chức, cơ quan khám chữa bệnh. Các bác sỹ hay nhân viên y tế không đủ kinh nghiệm bảo vệ dữ liệu vì họ hầu như chỉ tập trung vào công tác chăm sóc sức khỏe, chưa được trang bị các kiến thức cơ bản về an ninh, an toàn thông tin mạng. Ngoài ra, ngành y tế còn thiếu các chuyên gia bảo mật trong môi trường mạng.

Một số khuyến cáo để bảo vệ dữ liệu trong hồ sơ sức khỏe điện tử

EHR đang là mục tiêu của nhiều cuộc tấn công khác nhau. Nhưng nhiều cơ quan quản lý dữ liệu EHR hiện vẫn còn lơ là, không đầu tư đúng mức vào lĩnh vực an ninh, bao gồm xác thực hai yếu tố, mã hóa dữ liệu… dẫn đến việc tạo ra lỗ hổng bảo mật để tội phạm mạng khai thác. Thêm vào đó là sự phát triển bùng nổ của IoT, khiến cho nhiều thiết bị y tế thông minh được kết nối vào mạng, nhưng nhiều trong số đó lại không được đảm bảo an ninh khiến chúng trở thành mục tiêu hoàn hảo cho tin tặc. Chính vì vậy, nhằm phòng tránh rủi ro, các cơ quan chăm sóc sức khỏe cần hiểu rõ hơn về tầm quan trọng của việc nâng cao vấn đề an ninh trên hệ thống mạng của mình,  đồng thời cần thực hiện 4 bước sau để đảm bảo an toàn cho hồ sơ sức khỏe điện tử:

1. Xây dựng một bộ quy tắc và chính sách trong việc xử lý dữ liệu bệnh nhân

Xây dựng bộ chính sách và thủ tục về cách nhân viên xử lý dữ liệu EHR có vai trò quan trọng. Sau đó cần cung cấp tài liệu và tiến hành đào tạo về các chính sách cho toàn bộ nhân viên. Điều này sẽ giúp công ty bạn giảm thiểu nguy cơ bị vi phạm dữ liệu, và đây còn là tài liệu hữu ích thể hiện sự nỗ lực của tổ chức bạn trong việc tuân thủ các quy định của bộ luật về tính linh hoạt và tính trách nhiệm về bảo hiểm sức khoẻ (HIPPA) cũng như các luật về quyền riêng tư khác.

2.Tập huấn, đào tạo nhân viên về cách nhận biết và phát hiện các hành vi gian lận lừa đảo

Đánh cắp bản sao dẫn đầu trong bảng danh sách các phương thức đánh cắp hồ sơ y tế, sau đó đến lừa đảo qua emai. Vì vậy, bạn cũng sẽ cần tập huấn và đào tạo cho nhân viên của mình về cách xử lý email, trang web, liên kết đáng ngờ và tải các tệp tin xuống.

3. Hạn chế các ứng dụng nhắn tin và cộng tác hướng tới những ứng dụng được HIPAA phê duyệt

Có nhiều ứng dụng an toàn tuân thủ các quy định của HIPAA để lưu trữ, gửi và nhận dữ liệu được quy định là nhạy cảm. Bí quyết là tìm các công cụ và ứng dụng phù hợp với công ty của bạn và tuân thủ các quy định của HIPAA. Đồng thời, thực hiện kiểm tra định kỳ để phát hiện bất kỳ vi phạm bảo mật hoặc xác định lỗ hổng bảo mật.

Các chuyên gia tại eFax Corporate cũng đưa ra những khuyến cáo về việc sử dụng các dịch vụ tin nhắn qua đám mây: "Một yếu tố quan trọng, nhưng thường bị bỏ qua ngay cả các ứng dụng được thiết kế để truyền dữ liệu qua đám mây - email, nhắn tin văn bản, hội nghị truyền hình, fax, v.v ... là chúng sẽ lưu lại các bản sao dữ liệu đó trên máy chủ của các nhà sản xuất ứng dụng. Vì lý do này, bạn nên tìm kiếm các ứng dụng không chỉ cam kết bảo mật dữ liệu của bạn khi truyền trên Internet mà còn bảo vệ nó sau đó, trong các đám mây lưu giữ.

4. Luôn cập nhật các mối đe dọa an ninh mạng mới nhất trên hệ thống và cho nhân viên

Các công ty xử lý EHR có thể đã có những giải pháp cho vấn đề an ninh mạng hiện, đặc biệt là khi có liên quan tới thông tin bệnh nhân. Tuy nhiên, hầu hết các nền tảng an ninh mạng đã được triển khai hiện nay chỉ hoạt động và làm việc hiệu quả đối với các kỹ thuật lừa đảo đã biết, các loại phần mềm độc hại đã được phát hiện và các cuộc tấn công vi phạm dữ liệu thành công. Đây chính là lý do tại sao cần phải cập nhật liên tục thông tin về các vụ tấn công và đe doạ an ninh mạng hiện tại. Thông báo cho toàn thể nhân viên trong tổ chức, doanh nghiệp về các phương thức tấn công yêu thích của tội phạm mạng sẽ là một giải pháp hiệu quả để ngăn chặn vi phạm dữ liệu.