Hoa Kỳ nỗ lực giải quyết các mối đe dọa an ninh mạng

03:53 PM 28/11/2018 In bài viết

Kết quả hình ảnh cho OIG: HHS Must Do More to Address Cybersecurity Threats

Trong một báo cáo thường niên được phát hành vào ngày 16 tháng 11, Văn phòng Tổng thanh tra (Office of Inspector General- OIG) của HHS xác định việc bảo mật dữ liệu và hệ thống của HHS cũng như thúc đẩy an ninh mạng trong hệ sinh thái y tế là một trong 12 thách thức quan trọng nhất trong hoạt động và quản lý đối với cơ quan này.

Trong số các hành động của HHS, báo cáo đề xuất:

  • Trở nên chủ động hơn trong việc xác định và giảm thiểu các lỗ hổng;
  • Tạo ra một chương trình dự phòng được thiết kế tốt như là một tính năng chủ đạo của hàng phòng thủ mạng;
  • Phát triển thêm các mối quan hệ cho việc chia sẻ các phương pháp tốt nhất và thông tin về các mối đe dọa mạng với các đối tác chính phủ và ngành.

Các vấn đề phức tạp

Vấn đề an ninh mạng đã được HHS OIG đánh giá là thách thức hàng đầu đối với HHS vì "quản lý dữ liệu, sử dụng và bảo mật là rất cần thiết cho hoạt động hữu hiệu và hiệu quả của các cơ quan và chương trình của HHS".

"HHS chi hơn 5 tỷ USD mỗi năm cho CNTT - không bao gồm chi phí CNTT liên quan đến tài trợ. Môi trường mà HHS phải bảo vệ hệ thống của mình là phức tạp, với khối lượng dữ liệu ngày càng tăng ở nhiều nơi và với nhiều đối tượng và cá nhân, và IoT đang tiếp tục được mở rộng, bao gồm cả các thiết bị y tế nối mạng. "

Ngoài ra, báo cáo lưu ý, "những người sở hữu dữ liệu về dịch vụ sức khỏe và con người - bao gồm các bên liên quan công cộng - có trách nhiệm trong an ninh mạng, bao gồm đảm bảo con người, quy trình và công nghệ hiệu quả được thực hiện để bảo vệ dữ liệu HHS".

Những thách thức của HHS bao gồm bảo vệ dữ liệu trên các hệ thống nội bộ, giám sát an ninh mạng của dữ liệu trong môi trường đám mây và đảm bảo rằng các nhà cung cấp, người hưởng trợ cấp và nhà thầu tuân thủ các nguyên tắc an ninh mạng.

Thách thức thực sự

"HHS OIG đã đúng khi nhận định an ninh mạng tiếp tục là thách thức hàng đầu đối với HHS", luật sư Adam Greene của công ty luật Davis Wright Tremaine nói. "HHS có lượng dữ liệu lớn là mục tiêu hấp dẫn đối với tin tặc và chỉ có tài nguyên hạn chế để bảo vệ dữ liệu này".

Một sự cố gần đây liên quan đến Healthcare.gov - trong đó dữ liệu của 75.000 cá nhân đã bị lộ - nhấn mạnh thách thức tiếp tục mà HHS đang phải đối mặt trong việc cân bằng quyền truy cập và bảo mật cho số lượng lớn thông tin nhạy cảm.

Báo cáo OIG dường như tập trung vào vai trò của HHS với tư cách người thực hiện - không phải với vai trò là cơ quan thiết lập hướng dẫn cho các đối tượng được quản lý theo HIPAA, luật sư Kirk Nahra của hãng luật Wiley Rein nói. "Tuy nhiên, vì vai trò trực tiếp quan trọng mà HHS nắm giữ trên hệ thống chăm sóc sức khỏe - từ Medicare và Medicaid, đến Viện Y tế Quốc gia và nghiên cứu y học, cho đến các hoạt động Quản lý Thực phẩm và Dược ... thật tốt khi thấy HHS tiếp tục công nhận tầm quan trọng của thách thức [an ninh mạng] này."

Nahra nói rằng ông hy vọng rằng HHS nhận được sự hỗ trợ và nguồn lực cần thiết để giải quyết hiệu quả các thách thức mạng.

Mục tiêu chính

Thật vậy, báo cáo HHS OIG lưu ý rằng các mối đe dọa an ninh mạng HHS đang đối mặt là "thật và cấp bách".

Báo cáo cho biết: "Dữ liệu chăm sóc sức khỏe là mục tiêu chính của tội phạm mạng và giá trị của hồ sơ sức khỏe điện tử bị xâm phạm được báo cáo là lớn hơn gấp 10 lần so với số thẻ tín dụng. Ngoài các mối đe dọa về danh tính, xâm phạm đến tính toàn vẹn và tính khả dụng các hệ thống HHS có thể ảnh hưởng xấu đến việc chăm sóc bệnh nhân. "

Ví dụ, lỗ hổng ransomware của WannaCry ảnh hưởng đến khoảng 300.000 máy tính trên toàn thế giới và dẫn đến hàng ngàn ca phẫu thuật và các cuộc hẹn với bệnh nhân bị hủy bỏ trừ khi tiền chuộc từ 300 đô la đến 600 đô la được thanh toán.

Tiến hành

Báo cáo OIG nói rằng HHS đã thực hiện một số tiến bộ trong việc giải quyết các vấn đề an ninh mạng liên quan đến dữ liệu và hệ thống của mình. Ngân sách tài chính 2017 của cơ quan đã phân bổ 50 triệu USD cho bảo mật mạng để bảo vệ thông tin nhạy cảm và quan trọng.

Ngoài ra, HHS đã tiến hành các chiến dịch phòng chống lừa đảo và nâng cao nhận thức về bảo mật trong suốt cả năm.

Một số đơn vị trong HHS phối hợp với Bộ An ninh Nội địa Hoa Kỳ (Department of Homeland Security-DHS) để tiến hành kiểm tra an ninh mạng. OHS viết: “HHS đang sử dụng nền tảng phân tích quá trình tạo ra hồ sơ của máy tính được chuẩn hóa, nền tảng này cho phép HHS và các đơn vị hoạt động của mình thực hiện phân tích sâu hơn các sự kiện và tạo điều kiện tự động hóa và tích hợp với các nguồn dữ liệu nội bộ và bên ngoài cùng các các công cụ bảo mật.

Ngoài ra, DHS tiến hành quét bảo mật các hệ thống tiếp xúc bên ngoài của HHS, báo cáo lưu ý.

Các nỗ lực của hệ sinh thái

Báo cáo của cơ quan giám sát cũng nói rằng HHS đang thực hiện một số tiến bộ trong việc nâng cao an ninh mạng trong hệ sinh thái y tế.

"Các báo cáo phân tích và chia sẻ thông tin về an ninh mạng, cụ thể là liên quan đến lĩnh vực chăm sóc sức khỏe, có sẵn thông qua nhiều nguồn, bao gồm báo cáo FireEye iSight, Trung tâm phân tích và chia sẻ thông tin y tế, Trung tâm điều phối an ninh mạnh ngành y tế và Trung tâm phản hồi thông tin bảo mật máy tính".

Một số đơn vị HHS - bao gồm cả Cơ quan Quản lý Thực phẩm và Dược phẩm - đã tạo mối quan hệ đối tác với các tổ chức chia sẻ thông tin bên ngoài để phối hợp tốt hơn các nỗ lực an ninh mạng.

Đề xuất của OIG

Nhưng HHS cần phải thực hiện các cải tiến bổ sung, cơ quan giám sát viết.

Để bảo vệ dữ liệu và hệ thống của mình, HHS phải tiếp tục thực hiện các bước để giải quyết các lỗ hổng được xác định bởi OIG và những cơ quan khác trong các đánh giá trước đó, cũng như thực hiện các biện pháp bổ sung, báo cáo lưu ý.

HHS cần phải có "một chương trình dự phòng được thiết kế tốt ... không chỉ để ứng phó với thảm họa do con người gây ra mà còn là một tính năng quan trọng của hàng phòng thủ mạng", OIG nói.

Ngoài ra, HHS phải chủ động trong việc xác định các lỗ hổng và phát triển các giao thức giảm nhẹ ảnh hưởng một cách kịp thời để chống lại các mối đe dọa an ninh mạng hiện tại và tương lai, OIG nói.

Do đó, HHS nên tập trung vào các khả năng ứng phó hữu hiệu và hiệu quả đối với một loạt các mối đe dọa của ngành chăm sóc sức khỏe và khả năng phục hồi của các hệ thống thông tin, bao gồm các kênh điều phối ứng phó sự cố và lập kế hoạch dự phòng ”.

OIG cũng khuyến cáo rằng các cơ quan HHS nên liên tục tìm kiếm cơ hội hợp tác với các cơ quan chính phủ, ngành tư nhân, học viện và chính quyền tiểu bang để chia sẻ thông tin về an ninh mạng, các mối đe dọa, rủi ro và thực tiễn tốt nhất.

Các bước bổ sung

Một số chuyên gia bảo mật cho rằng HHS nên xem xét thực hiện các bước khác không được nêu bật trong báo cáo để giúp cải thiện vị thế an ninh mạng của ngành y tế.

"HIPAA cần được cập nhật để phản ánh tình hình hiện tại", Keith Fricke, chuyên gia tư vấn nguyên tắc tại tw-Security cho biết.

"Các danh sách thuật ngữ và công nghệ còn thiếu trong quy tắc bảo mật rất rộng. Các thuật ngữ như phương tiện truyền thông xã hội, phần mềm tống tiền, IoT, và thậm chí cả tường lửa thế hệ tiếp theo đều vắng mặt - và đó mới chỉ là phần nổi của tảng băng chìm".

Fricke cho rằng Văn phòng Dân quyền của HHS cần phải xem xét lại cách tiếp cận với các hình phạt tài chính đối với các vi phạm HIPAA.

Nhiều nhà cung cấp dịch vụ chăm sóc sức khỏe đã được khuyến khích về mặt tài chính để áp dụng EHR thông qua chương trình "sử dụng có ý nghĩa" của Đạo luật HITECH, ông lưu ý. "Chúng ta có nên xem xét một khuôn khổ để khuyến khích các tổ chức chăm sóc sức khỏe đầu tư đúng đắn vào an ninh mạng không? Mục tiêu cuối cùng là cải thiện tính bảo mật và quyền riêng tư của thông tin bệnh nhân; đây có thể là cách để giúp chúng ta đạt được điều đó".

Greene, luật sư, cũng cho thấy HHS thực hiện các bước bổ sung để giúp các tổ chức chăm sóc sức khỏe nhỏ hơn tăng cường an ninh mạnh của họ.

"Tôi muốn thấy HHS tập trung phát triển một bộ công cụ bảo mật mà các cơ sở y tế có nguồn lực hạn chế, chẳng hạn như phòng khám tư, có thể tận dụng để bảo vệ dữ liệu của họ", ông nói. "Ngày càng không thực tế khi mong đợi các cơ sở chăm sóc sức khỏe vừa và nhỏ có thể phòng thủ một cách hợp lý chống lại các mối đe dọa an ninh mạng mà không cần trợ giúp thêm."

Thanh Hương