Các cá nhân và tổ chức y tế nên làm gì để tránh tình trạng vi phạm dữ liệu như SingHealth

SingHealth, IHiS, Cơ quan an ninh mạng của Singapore và Bộ Y tế đã nhanh chóng thực hiện hành động cả về phụ trợ công nghệ thông tin (CNTT) cũng như thông báo cho các cá nhân bị ảnh hưởng và công chúng nói chung. Nhưng những cá nhân và nhà cung cấp dịch vụ chăm sóc sức khỏe có thể làm gì?

Paul Ducklin, kỹ thuật viên cao cấp tại Sophos, khuyên rằng các cá nhân nên:

1. Cẩn thận kiểm tra tất cả các báo cáo tài chính của bạn - tài khoản ngân hàng, thẻ thanh toán, khoản vay, quỹ hưu trí, hồ sơ thuế và các giấy tờ tài chính khác. Báo cáo bất kỳ hoạt động đáng ngờ nào ngay lập tức. (Nhưng hãy đọc điểm 3 và 4 dưới đây!)
2. Nói chuyện với các tổ chức tài chính của bạn về việc khóa chi tiết tài khoản để đảm bảo các tội phạm mạng khó tìm cách chiếm đoạt tài khoản của bạn hoặc đăng ký dịch vụ dưới tên của bạn.
3. Đặc biệt nghi ngờ các liên lạc không được yêu cầu đến sau bất cứ sự vi phạm nào mà có yêu cầu cung cấp bất kỳ loại trợ giúp nào hoặc yêu cầu thêm chi tiết “để hỗ trợ điều tra”. Các kỹ sư xã hội và kẻ lừa đảo là những chuyên gia đang lo lắng về nỗi sợ hãi của mọi người (và sự sẵn sàng giúp đỡ họ) sau sự cố an ninh thuộc loại này.
4. Nếu bạn cần trợ giúp hoặc lời khuyên về những việc cần làm tiếp theo, đó là không sử dụng thông tin liên hệ, liên kết web hoặc số điện thoại được gửi trực tuyến - tìm thông tin liên hệ trên hóa đơn hiện tại, trên thư bạn đã in trước đây hoặc trực tiếp đến văn phòng của một tổ chức.

Olli Jarva, chuyên gia tư vấn quản lý, Tập đoàn Software Integrity, Synopsys lưu ý rằng, khi nói đến những thách thức an ninh mạng trong ngành y tế, đó là một môi trường khác để bảo vệ và đảm bảo an toàn.

Từ quan điểm bảo mật, ngành y tế có chung những thiếu sót như các doanh nghiệp khác, nhưng với một số trở ngại khác như:

• Thiếu tài nguyên an ninh, nguồn lực tài chính và chuyên môn để sửa điểm yếu này.
• Đối phó với một môi trường cực kỳ không đồng nhất. Trong khi các tổ chức y tế có thể tiêu chuẩn hóa trên máy tính xách tay và máy chủ CNTT, các nhà cung cấp cũng quản lý nhiều thiết bị được gắn vào mạng. Chúng có thể bao gồm bơm tiêm, thiết bị hình ảnh như máy quét MRI và CT, và phần mềm xử lý (chẳng hạn như phần mềm được sử dụng để quản lý máy điều hòa nhịp tim).
• Các hệ thống ở các bộ phận khác nhau của một tổ chức chăm sóc sức khỏe có thể không chơi tốt với nhau. Giống như bất kỳ tổ chức lớn, một tổ chức chăm sóc sức khỏe có thể có nhiều đơn vị kinh doanh hoặc hoạt động, và mỗi đơn vị có thể mua các giải pháp phần mềm đáp ứng tốt nhất nhu cầu của họ, nhưng có thể không có hiệu quả an ninh mạng thống nhất. Hồ sơ Y tế Điện tử (EHRs) hứa hẹn sẽ giúp các học viên và bệnh nhân bằng cách đơn giản hóa việc chia sẻ thông tin.

Jarva chỉ ra rằng, để đáp ứng Đạo luật an ninh mạng năm 2015, Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) đã thành lập Nhóm Công tác Bảo vệ An toàn Công nghiệp về Chăm sóc Sức khỏe (2017), đưa ra 6 khuyến nghị mà các tổ chức y tế cần cân nhắc:

• Xác định và hợp lý hóa lãnh đạo, quản trị và kỳ vọng về an ninh mạng trong ngành y tế.
• Tăng cường an ninh và khả năng phục hồi của các thiết bị y tế và sức khỏe CNTT.
• Phát triển năng lực lực lượng lao động chăm sóc sức khỏe cần thiết để ưu tiên và đảm bảo nhận thức về an ninh mạng và khả năng kỹ thuật.
• Tăng cường sự sẵn sàng của ngành y tế thông qua nâng cao nhận thức về an ninh mạng và giáo dục.
• Xác định các cơ chế để bảo vệ các nỗ lực R&D và sở hữu trí tuệ (IP) khỏi các cuộc tấn công hoặc tiếp xúc.
• Cải thiện chia sẻ thông tin về các mối đe dọa, rủi ro và giảm nhẹ trong ngành.