Bức tranh an ninh thông tin trong y tế điện tử

NV| 13/11/2017 16:26
Theo dõi ICTVietnam trên

Đánh cắp nhận dạng cá nhân trong y tế và tiết lộ thông tin bệnh nhân do vấn đề bảo mật có thể rất nguy hiểm - thậm chí còn có thể gây ra chết người – cho sức khỏe của cá nhân và cộng đồng. Những vi phạm thông tin sức khỏe có thể khiến nhà cung cấp dịch vụ y tế bị thiệt hại về kinh tế cũng như những hậu quả nghiêm trọng khác.

Bùng nổ các cuộc tấn công mạng nhắm tới lĩnh vực y tế

Các sự cố an ninh và vi phạm dữ liệu là phổ biến trong các tổ chức y tế. Từ cuộc tấn công mạng và làm lỗi hệ thống cho đến sơ suất của nhân viên và những mối đe dọa từ bên trong tổ chức y tế. Câu hỏi thực sự không phải là “nếu xảy ra” mà là các vi phạm xảy ra khi nào và như thế nào. Các tổ chức chăm sóc y tế nhỏ tin rằng qui mô và giá trị của họ thấp nên nguy cơ bị tấn công ít hơn, nhưng trên thực tế, thì ngược lại, tin tặc biết những tổ chức này không có khả năng để đảm bảo an toàn nên chúng sẽ không tốn nhiều công sức để tấn công.

Những Vi phạm bảo mật xảy ra trong ngành chăm sóc sức khỏe từng đứng trong nhóm 10 và dẫn đầu về số lượng bản ghi bị tấn công. Theo chỉ số bảo mật không gian mạng thông minh năm 2016 (2016 IBM X-Force Cyber Security Intelligence) của IBM, mức độ trộm cắp hồ sơ liệu chăm sóc sức khỏe đã tăng 1.100% trong năm 2015, với hơn 100 triệu hồ sơ trên toàn thế giới bị tổn hại. Nói cách khác, cứ 3 người thì có 1 người đã bị xâm nhập trái phép vào hồ sơ y khoa trong năm 2015.

Ảnh minh họa

Số liệu trong nghiên cứu thường niên lần thứ 5 về tính riêng tư và bảo mật đối với dữ liệu chăm sóc sức khỏe của Viện Ponemon cho thấy, trong hai năm qua, 65% các tổ chức chăm sóc sức khỏe đã trải qua sự cố an ninh trên các bản ghi điện tử và 54% trải qua sự cố an ninh trên giấy. Hơn 90% đã từng bị vi phạm dữ liệu, và 40% trải qua hơn 5 vi phạm. Nghiên cứu ước tính rằng ngành công nghiệp chăm sóc y tế chiếm 44% của tất cả các dữ liệu vi phạm năm 2013, nhiều hơn bất kỳ ngành kinh tế khác.

Năm 2015 có thể được xem là năm nổi bật cho các hành vi vi phạm dữ liệu y tế, chủ yếu vì các cuộc tấn công mang tính bước ngoặt vào 3 nhà cung cấp hàng đầu tại Mỹ là Excellus Health Plan, Premera Blue Cross và Anthem. Số liệu thống kê từ hãng bảo mật Trend Micro cho biết, chỉ riêng tại Mỹ, năm 2015 đã có hơn 113 triệu đĩa dữ liệu đã bị đánh cắp.

Gần đây với sự xuất hiện của cuộc cách mạng Công nghiệp lần thứ 4, thông qua các công nghệ như Internet vạn vật (IoT), trí tuệ nhân tạo (AI), thực tế ảo (VR), tương tác thực tại ảo (AR), mạng xã hội, điện toán đám mây, di động, phân tích dữ liệu lớn (SMAC)... đang chuyển hóa toàn bộ thế giới thực thành thế giới số. Các thiết bị IoT đang ngày càng trở nên phổ biến ở hầu hết các ngành công nghiệp, tạo ra một thế giới ngày càng kết nối, mang đến cho các doanh nghiệp và người sử dụng khả năng tiếp cận với dữ liệu được sắp xếp hợp lý. Tuy nhiên, trong lĩnh vực chăm sóc sức khỏe, sự gia tăng của các thiết bị IoT trong ngành này cũng mang đến một số mối lo ngại, đó là các lỗ hổng an ninh mạng trong nhiều thiết bị y tế. Chẳng hạn như việc cập nhật phần mềm của nhà sản xuất máy hỗ trợ thở bị tấn công và nhiễm mã độc, khiến bệnh nhân có nguy cơ về sức khỏe hay các thiết bị cấy ghép không được bảo mật khiến chúng dễ dàng bị tấn công... Các chuyên gia trong lĩnh vực an toàn bảo mật cảnh báo, cuộc tấn công vào các tổ chức y tế sẽ tiếp tục được mở rộng trong năm 2017 do xu hướng sử dụng Internet of Things (IoT). Theo đó, các thiết bị y tế thông minh đặt ở khắp mọi nơi, nhưng nhiều trong số đó không được đảm bảo an ninh khiến chúng trở thành mục tiêu hoàn hảo cho tin tặc. Không chỉ vậy, các thiết bị IoT cũng có thể được sử dụng trong các cuộc tấn công DDoS như đã thấy với botnet Mirai. Nếu không có biện pháp bảo vệ thích hợp, những hệ thống này dễ bị xâm nhập và lấy cắp thông tin nhạy cảm, gian lận, phá hoại các hoạt động hoặc khởi động các cuộc tấn công chống lại các hệ thống và mạng máy tính khác. Mối đe dọa là đáng kể và ngày càng gia tăng vì nhiều nguyên nhân bao gồm sự dễ dàng xâm nhập và sử dụng công cụ và công nghệ tấn công.

Một số yếu tố đã hội tụ để tạo ra một cơn bão càn quét trong ngành chăm sóc sức khỏe, ở đó, tội phạm mạng nhận ra rằng thông tin sức khỏe y tế là một tài sản sinh lợi trong một môi trường kém an toàn. Đó là: Thứ nhất, thông tin sức khỏe y tế điện tử ngày càng phổ biến; Thứ hai, những thông tin này có giá trị cao trên thị trường chợ đen.  Khẳng định thêm về điều này, tháng 4 năm 2014, Cục Điều tra Liên bang Mỹ (FBI) đã cảnh báo "Ngành công nghiệp chăm sóc sức khỏe không có khả năng phục hồi trước các xâm nhập mạng so với các lĩnh vực tài chính và bán lẻ, do đó khả năng bị xâm nhập mạng gia tăng. . . . ".

Bảng 1. Giá thông tin PHI trên thị trường chợ đen

Loại thông tin

Giá (USD)

Toàn bộ cơ sở dữ liệu EHR

500.000

Dữ liệu nhận dạng bảo hiểm y tế

1

Hồ sơ cá nhân (với dữ liệu y tế và bảo hiểm)

0,99

Hồ sơ cá nhân đầy đủ (với PHI, số an sinh xã hội, lịch hẹn, ngày sinh, số CMND bảo hiểm, …)

5

Giấy phép lái xe

170

(Nguồn: trendmicro.com)

Những mối đe dọa an ninh thay đổi nhanh chóng đặt ra không ít thách thức cho các tổ chức chăm sóc sức khỏe. Bọn tội phạm mạng nhận ra hai điểm quan trọng của ngành công nghiệp chăm sóc sức khỏe: 1) Các tổ chức y tế quản lý một kho tàng thông tin cá nhân hấp dẫn về tài chính và 2) Các tổ chức y tế không có đủ nguồn lực, quy trình và công nghệ để ngăn chặn và phát hiện các cuộc tấn công và bảo vệ hoàn toàn dữ liệu bệnh nhân. Trong khi những phát hiện trong nghiên cứu của Viện Ponemon cho thấy rằng một sự gia tăng chậm chạp và ổn định trong công nghệ, cũng như tốc độ đầu tư là không đủ để theo kịp với các mối đe dọa nhằm tạo ra được một thế trận an ninh mạnh.

5 mối đe dọa an ninh mạng đối với các bệnh viện

1. Các cuộc tấn công lừa đảo

Tấn công lừa đảo đang trở nên phổ biến. Tin tặc thường sử dụng một liên kết email không hợp lệ hoặc tên miền cấp cao TLD liên quan đến trang web đáng ngờ, sau khi liên kết, thường có một yêu cầu đăng nhập thông tin cá nhân.

Mối đe dọa này ngày càng trở nên phổ biến hơn khi các bác sĩ chia sẻ hồ sơ y tế điện tử EHR (Electronic Healthcare Record), trong khi kỹ thuật tấn công của tin tặc thì ngày càng tinh vi.

2. Malware & Ransomware

Ransomware đang ngày càng phổ biến và các bệnh viện là mục tiêu lý tưởng với những thông tin cập nhật về chăm sóc bệnh nhân. Sự gia tăng số lượng các cuộc tấn công như vậy làm tăng gấp đôi mối nguy hiểm cho các bệnh viện.

Loại mã độc này có thể xâm nhập vào hệ thống thông qua một số kênh: tải về do sơ suất, thông qua một cuộc tấn công lừa đảo, qua lỗ hổng phần mềm, xâm nhập vào mạng thông qua mã hóa lưu lượng… Với loại tấn công này, tin tặc đã thu về những khoản tiền chuộc lớn từ những nạn nhân. Ví dụ, Trung tâm Y tế Hollywood Presbyterian đã từng phải chi 40 Bitcoins - tương đương với 17.000 USD - để tin tặc trả lại quyền truy cập tới EHR của bệnh viện.

3. Mối đe dọa “ẩn nấp” trong lưu lượng mã hóa

Mã hóa được chứng minh là một công cụ tuyệt vời đối với việc bảo vệ dữ liệu, đặc biệt là khi dữ liệu lưu chuyển giữa người sử dụng các ứng dụng cài đặt tại chỗ (on-premise) và trên đám mây. Tuy nhiên, các tin tặc đã tìm ra cách để ẩn nấp trong lưu lượng được mã hóa, sử dụng nó như một phương tiện để tránh bị phát hiện. Theo dự báo của Garther, sẽ có khoảng 50% các cuộc tấn công mạng năm 2017 sử dụng cách thức ẩn trong lưu lượng được mã hóa. Với chiêu thức này, việc theo dõi và phát hiện vi phạm và tấn công mục tiêu của các công cụ phân tích an ninh trở nên khó khăn hơn nhiều.

4. Các mối đe dọa trên đám mây

Ngành công nghiệp chăm sóc sức khỏe đã rất thận trọng khi chấp nhận các ứng dụng và lưu trữ trên đám mây do lo ngại an ninh và sự riêng tư của dữ liệu. Nhưng lợi ích mà điện toán đám mây đem lại là rất hấp dẫn nên ngày càng có nhiều tổ chức chăm sóc sức khỏe chuyển sang đám mây để giúp cải thiện chăm sóc bệnh nhân và thuận tiện cho việc hợp tác. Tuy nhiên, khi bắt đầu chuyển sang điện toán đám mây, vẫn còn một số vấn đề cần được tính đến, chẳng hạn như việc tuân thủ dữ liệu.

Nếu sử dụng các dịch vụ dựa trên đám mây, bệnh viện cần hiểu chính xác những thông tin tài sản trong đám mây. Sau đó cần phải sắp xếp hệ thống, con người và các qui trình để truy cập vào các tài sản đó.

5. Nguy cơ từ các nhân viên

Các tổ chức thường rất ngạc nhiên khi biết một trong những mối đe dọa lớn nhất đối với an ninh dữ liệu lại chính là từ nhân viên của họ. Nhìn chung nhân viên là những người không có kiến thức và thực tế tốt nhất về an ninh mạng, thậm chí họ không biết cuộc tấn công lừa đảo hay ransomware là gì. Tuy nhiên, cũng không loại trừ các hành vi nội gián hoặc có ý đồ xấu. Theo Báo cáo khảo sát của IBM, 68% các cuộc tấn công mạng nhằm vào các tổ chức y tế năm 2016 là từ nội bộ và 1/3 trong số đó là do nhân viên có ý đồ xấu.

và những hậu quả nghiêm trọng

Vi phạm thông tin y tế có thể dẫn tới hậu quả nghiêm trọng cho cả nhà cung cấp dịch vụ y tế và người bệnh, với những tổn thất về tài chính khi xảy ra các sự cố an ninh mạng và vi phạm dữ liệu. Ngoài ra, công sức và chi phí liên quan đến việc điều tra, thẩm định, giảm thiểu thiệt hại, mất uy tín và danh tiếng, các vấn đề về thanh toán, kiểm tra và phát hiện thẻ thanh toán của người dùng, là đáng kể và có thể có ảnh hưởng sâu rộng đối với tất cả các bên liên quan trong lĩnh vực chăm sóc sức khỏe. Và một ảnh hưởng khác cho đến nay vẫn chưa được thừa nhận đó là việc xâm phạm dữ liệu còn có thể góp phần làm cho kết quả sức khỏe không chính xác.

Các tổ chức y tế lưu trữ rất nhiều thông tin nhận dạng cá nhân PII (Personally Identifiable Information) như tên, địa chỉ, ngày sinh, số an sinh xã hội, giấy phép lái xe, và thông tin tài khoản tài chính, … đều được lưu trong các hồ sơ y tế. Trong các hồ sơ đó còn có những thông tin về tình trạng sức khỏe của người bệnh và bảo hiểm y tế. Vi phạm và lạm dụng thông tin nhận dạng cá nhân, y tế, hoặc ngay cả những rủi ro do nhận thức về vi phạm hoặc sử dụng sai các thông tin đó, có thể gây ra thiệt hại về con người cũng như tài chính.

Khi xảy ra một sự cố hoặc vi phạm dữ liệu y tế, thông tin sức khỏe của bệnh nhân có thể được sử dụng để thực hiện hành vi trộm cắp danh tính (hành vi gian lận sử dụng các thông tin y tế để nhận hoặc thanh toán dịch vụ chăm sóc sức khỏe), kết quả là một "hồ sơ bệnh án lẫn lộn giữa giả/thật" và gây tác hại nghiêm trọng đến thể chất của bệnh nhân. Ngoài ra, những thông tin bị tiết lộ có thể khiến bệnh nhân xấu hổ, tổn hại đến tinh thần của họ. Bà Terrell McSweeney, Ủy viên Ủy ban Thương mại Liên bang của Mỹ - FTC (Federal Trade Commission) cho biết: “Một trong những con đường có lợi nhất cho việc ăn trộm danh tính là lấy cắp và khai thác các hồ sơ y tế. Không giống như các hình thức nhận dạng, hồ sơ y tế cung cấp những bức chân dung gần như toàn bộ về tính mạng và dữ liệu cuộc sống của mỗi cá nhân. Những thông tin này đã khiến cho hồ sơ y tế - các thông tin của người dùng - có giá trị lớn trong các thị trường chợ đen. Đặc biệt với việc ăn cắp và gian lận hồ sơ y tế của trẻ em, tin tặc có nhiều cơ hội hơn bởi nguy cơ bị phát hiện có thể chỉ là khi đứa trẻ đó đủ 18 tuổi”.

Ăn cắp thông tin nhận dạng cá nhân trong y tế

Ăn cắp thông tin nhận dạng cá nhân (PII) trong y tế xảy ra khi người dùng bất hợp pháp sử dụng thông tin y tế để gian lận thanh toán hàng hóa hoặc dịch vụ, hoặc để có được sự chăm sóc sức khỏe bằng tên của người khác. Những người dùng không hợp pháp này có thể thực hiện điều này với sự đồng ý của bệnh nhân, ví dụ, khi bệnh nhân chia sẻ thông tin sức khỏe bí mật với thành viên trong gia đình hoặc bạn bè không có bảo hiểm y tế – hoặc bằng cách ăn cắp PII của bệnh nhân. Đánh cắp nhận dạng y tế là hành vi bị coi thường nhưng lại đang tăng lên. Viện Ponemon ước tính số nạn nhân tăng từ hơn 1,5 triệu vào năm 2012 lên hơn 1,8 triệu vào năm 2013.

Việc ăn cắp nhận dạng y tế có thể gây ra những hậu quả như: mất tiền, làm hỏng thẻ thanh toán, và gây tổn hại danh tiếng. Ngoài ra, rất có khả năng việc đánh cắp nhận dạng y tế còn khiến cho hồ sơ bệnh án bị sai lệch. Cụ thể là khi một người nhận được dịch vụ chăm sóc y tế bằng tên của người khác, thông tin y tế của người sử dụng lừa đảo được tích hợp với thông tin bệnh nhân thực, dẫn tới hồ sơ bệnh án bị sai lệch, không phản ánh chính xác tình trạng sức khỏe bệnh nhân đó. Khi đó, dẫn tới việc sai lệch nhóm máu, dị ứng thuốc…

Những tác hại tiềm ẩn trên thực tế là rất lớn. Một khảo sát được Poneman tiến hành vào năm 2013 khi phỏng vấn 788 người trưởng thành cho biết, chính họ hoặc thành viên trong gia đình họ đã từng là nạn nhân của hành vi trộm cắp danh tính y tế.

Đánh cắp nhận dạng y tế rõ ràng là một vấn đề ảnh hưởng đến chất lượng chăm sóc sức khỏe cho bệnh nhân.

- 56% mất niềm tin đối với nhà cung cấp dịch vụ chăm sóc sức khỏe của mình;

- 15% cho biết bị chẩn đoán sai vì có sự không chính xác trong hồ sơ y tế;

- 14% bị chậm trễ trong việc tiếp nhận điều trị y tế vì hồ sơ y tế không chính xác;

- 13% bị ngược đãi vì có sự không chính xác trong hồ sơ y tế;

- 11% bị kê đơn thuốc sai.

Tiết lộ thông tin từ bệnh nhân

Các biện pháp an ninh mạng của các nhà cung cấp chăm sóc sức khỏe và nhận thức của bệnh nhân về các thực tế an ninh mạng có thể có những ảnh hưởng sâu sắc đến cả bệnh nhân và y tế công cộng. Nghiên cứu năm 2014 của Trường Y tế Havard (Mỹ) cho thấy, những bệnh nhân quan tâm đến vấn đề thực hành an ninh mạng của nhà cung cấp dịch vụ chăm sóc sức khỏe của chính họ, có nhiều khả năng từ chối cung cấp thông tin y tế.

Theo nghiên cứu này, hơn 12% số người được hỏi đã từ chối cung cấp thông tin cho nhà cung cấp của họ, vì lo ngại an ninh. Số liệu thống kê của chính phủ liên bang cho thấy thậm chí tỷ lệ này còn cao hơn: so với tổng dân số, các cá nhân không đồng ý để các nhà cung cấp chăm sóc sức khỏe bảo vệ các hồ sơ y tế điện tử là nhiều hơn gần 5 lần số người không cung cấp thông tin cho nhà cung cấp dịch vụ y tế của họ (33% so với 7%).

Việc bệnh nhân không cung cấp thông tin cho các chuyên gia y tế không chỉ tác động tiêu cực trực tiếp đến các bệnh nhân mà còn có khả năng làm tổn hại đến sức khỏe của người khác và chất lượng của hệ thống giám sát y tế. Những hậu quả đối với cá nhân là rất đa dạng, từ mức độ tương đối nhỏ (chẳng hạn như bỏ lỡ cơ hội để được tư vấn hoặc điều trị vì không tiết lộ tình trạng sức khỏe) đến mức nghiêm trọng hơn (chẳng hạn như phải đánh đổi về tính kịp thời, chất lượng, và sự phù hợp của chăm sóc y tế). Những bệnh nhân có tiền sử bệnh lây nhiễm, truyền nhiễm nếu không khai báo hoặc giữ lại một phần thông tin vô tình có thể khiến cho cuộc sống của những người khác có nguy cơ bị lây bệnh cao. Hơn nữa, không tiết lộ, giữ lại thông tin hoặc thông tin sai lệch có thể gây nguy hiểm cho chất lượng dữ liệu của hệ thống giám sát y tế. Đây là mối quan tâm sức khỏe cộng đồng rất quan trọng, kể từ khi hệ thống giám sát y tế phụ thuộc vào dữ liệu chính xác để theo dõi các xu hướng hiện tại và đang nổi lên trong các kết quả y tế và làm cơ sở để can thiệp vào chính sách và dân số./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Bức tranh an ninh thông tin trong y tế điện tử
POWERED BY ONECMS - A PRODUCT OF NEKO