Thành phố Singapore đã bị ảnh hưởng bởi cuộc tấn công mạng lớn chưa từng có từ trước đến nay. Các tin tặc nhằm mục đích thâm nhập hệ thống an ninh của tổ chức chăm sóc sức khỏe lớn nhất của Singapore, SingHealth, và có thể thu giữ hơn 1,5 triệu dữ liệu cá nhân cùng với các chi tiết về đơn thuốc cho 160.000 bệnh nhân khác.
Thủ tướng Singapore Lý Hiển Long cho biết: cuộc tấn công đã được “lên kế hoạch tốt” và bọn tội phạm “cực kỳ có kỹ năng và quyết tâm”, và được hỗ trợ bởi “nguồn lực khổng lồ” phía sau họ. Ông nói thêm"Đây là một cuộc tấn công mạng có chủ ý, nhắm đúng mục tiêu và được lên kế hoạch tốt".
Các tên tội phạm không gian mạng nhắm vào ngành y tế, một lĩnh vực đã bị tấn công ở nhiều thời điểm khác nhau, đã mở ra một mặt trận mới cho tin tặc. Tội phạm đã chứng kiến cách dữ liệu cá nhân của các doanh nghiệp y tế này, cho dù là công khai hoặc được bảo mật, đều ít được bảo vệ hơn so với những dữ liệu trong lĩnh vực tài chính, trong khi sức hấp dẫn của thông tin đó có thể được bán hoặc sử dụng để chống lại chủ nhân của họ.
Trên thực tế, trong năm 2017, hơn một nửa số cuộc tấn công mạng đã nhắm vào lĩnh vực này. Đó là một nguy cơ ngày càng tăng mà chúng ta phải đối mặt hàng ngày và các tổ chức công cộng cần phải đảm bảo rằng họ cung cấp tất cả các nguồn lực cần thiết để ngăn chặn dịch bệnh này.
Chúng tôi đã liên hệ với Olli Jarva, Cố vấn quản lý tại Nhóm toàn vẹn phần mềm của Synopsys, để biết thêm về cuộc tấn công cụ thể này, tại sao bọn tội phạm mạng đang nhắm tới các mục tiêu là các tổ chức chăm sóc sức khỏe thường xuyên hơn và ngành công nghiệp này đang hướng tới tương lai sắp tới như thế nào.
Giá trị của các dữ liệu y tế giờ đây có giá trị hơn là thẻ tín dụng hoặc thông tin tài chính
Sự xâm phạm các dữ liệu y tế đã vạch ra một thực tế mới. Ngày nay, chúng ta đang bắt đầu nhận thấy một thực tế mới và đáng sợ - giá trị của dữ liệu chăm sóc sức khỏe đã phát triển đến mức mà các tin tặc đã sẵn sàng bất chấp nguy hiểm để có được đó. Đây là một xu hướng ngày càng tăng trong vài năm qua, vì vậy giá trị của dữ liệu chăm sóc sức khỏe đã phát triển nhanh hơn giá trị của thẻ tín dụng hoặc số an sinh xã hội. Liệu các nhà cung cấp dịch vụ y tế đã nhận thức được giá trị của dữ liệu mà họ đang lưu trữ không?
Đã đến lúc để xây dựng bảo mật cho các ứng dụng lưu trữ dữ liệu chăm sóc sức khỏe
Tin tức hôm nay đã chỉ ra rằng "Hoạt động bất thường được phát hiện lần đầu tiên vào ngày 4 tháng 7 năm 2018, trên một trong các cơ sở dữ liệu CNTT của SingHealth". Khi chúng tôi thiết kế và xây dựng các hệ thống để có khả năng chống lại các cuộc tấn công mạng, chúng ta phải bắt đầu xây dựng hệ thống an ninh từ bên trong, thay vì chỉ dựa vào việc bảo vệ vành đai. Điều này có nghĩa là trước khi một dòng mã được viết, chúng tôi đã bắt đầu lập bản đồ các vấn đề bảo mật tiềm ẩn của chúng tôi từ thời điểm thiết kế. Các vấn đề bảo mật của ứng dụng có thể được chia thành hai phần, Flaw và Bug. Để bắt được hầu hết các vấn đề bảo mật phần mềm này, chúng ta cần xác định chúng sớm để chúng không trở lại ám ảnh chúng ta sau này. Chúng ta phải thận trọng khi nói đến sự hiểu biết về cách thức và loại dữ liệu chúng tôi đang bảo vệ, vị trí của nó và các phương thức bảo mật nào chúng tôi có để bảo vệ nó. Nếu chúng ta để lại những vấn đề này cho sau này, chi phí sửa chữa và phản ứng lại với vi phạm sẽ rất tốn kém.
Chuỗi cung ứng phức tạp
Thông thường các hệ thống máy tính lớn là một phần của một dự án lớn hơn được phát triển và phân phối bởi các nhà tích hợp hệ thống (bên thứ ba), nơi mà các chuỗi cung ứng có thể trở nên phức tạp. Điều này tạo ra thách thức để quản lý bảo mật, vì các phần khác nhau của hệ thống có thể có các thành phần phần mềm từ bên thứ ba khác nhau và có các lỗ hổng cố hữu, và thường có thể không được xác định và sửa chữa đúng cách sớm. Đây không phải là một thách thức duy nhất đối với lĩnh vực chăm sóc sức khỏe, đó là thách thức mà mọi tổ chức lớn đều trải qua.
Những thách thức trong ngành y tế nói chung
Khi nói đến những thách thức an ninh mạng trong ngành công nghiệp chăm sóc sức khỏe, đây là một môi trường khác biệt trong vấn đề bảo mật.
Từ quan điểm bảo mật, ngành y tế có chung những thiếu sót như các doanh nghiệp khác, nhưng với một số trở ngại khác:
Trong ngành công nghiệp không đồng nhất này, nơi mà trách nhiệm chưa được phân định rõ ràng giữa các tổ chức, một mạng lưới cơ sở dữ liệu tập trung là cực kỳ quan trọng để tránh các cuộc tấn công mới. Điều quan trọng là các lớp bảo mật khác nhau cũng cần được thêm vào cơ sở dữ liệu và kẻ tấn công có thể tìm gặp nhiều rào cản hơn khi tấn công.