Cuộc tấn công hệ thống y tế Singapore đã phơi bày một ngành công nghiệp không có khả năng tự vệ

Thủ tướng Singapore Lý Hiển Long cho biết: cuộc tấn công đã được “lên kế hoạch tốt” và bọn tội phạm “cực kỳ có kỹ năng và quyết tâm”, và được hỗ trợ bởi “nguồn lực khổng lồ” phía sau họ. Ông nói thêm"Đây là một cuộc tấn công mạng có chủ ý, nhắm đúng mục tiêu và được lên kế hoạch tốt".

Các tên tội phạm không gian mạng nhắm vào ngành y tế, một lĩnh vực đã bị tấn công ở nhiều thời điểm khác nhau, đã mở ra một mặt trận mới cho tin tặc. Tội phạm đã chứng kiến cách dữ liệu cá nhân của các doanh nghiệp y tế này, cho dù là công khai hoặc được bảo mật, đều ít được bảo vệ hơn so với những dữ liệu trong lĩnh vực tài chính, trong khi sức hấp dẫn của thông tin đó có thể được bán hoặc sử dụng để chống lại chủ nhân của họ.

Trên thực tế, trong năm 2017, hơn một nửa số cuộc tấn công mạng đã nhắm vào lĩnh vực này. Đó là một nguy cơ ngày càng tăng mà chúng ta phải đối mặt hàng ngày và các tổ chức công cộng cần phải đảm bảo rằng họ cung cấp tất cả các nguồn lực cần thiết để ngăn chặn dịch bệnh này.

Chúng tôi đã liên hệ với Olli Jarva, Cố vấn quản lý tại Nhóm toàn vẹn phần mềm của Synopsys, để biết thêm về cuộc tấn công cụ thể này, tại sao bọn tội phạm mạng đang nhắm tới các mục tiêu là các tổ chức chăm sóc sức khỏe thường xuyên hơn và ngành công nghiệp này đang hướng tới tương lai sắp tới như thế nào.

Giá trị của các dữ liệu y tế giờ đây có giá trị hơn là thẻ tín dụng hoặc thông tin tài chính

Sự xâm phạm các dữ liệu y tế đã vạch ra một thực tế mới. Ngày nay, chúng ta đang bắt đầu nhận thấy một thực tế mới và đáng sợ - giá trị của dữ liệu chăm sóc sức khỏe đã phát triển đến mức mà các tin tặc đã sẵn sàng bất chấp nguy hiểm để có được đó. Đây là một xu hướng ngày càng tăng trong vài năm qua, vì vậy giá trị của dữ liệu chăm sóc sức khỏe đã phát triển nhanh hơn giá trị của thẻ tín dụng hoặc số an sinh xã hội. Liệu các nhà cung cấp dịch vụ y tế đã nhận thức được giá trị của dữ liệu mà họ đang lưu trữ không?

Đã đến lúc để xây dựng bảo mật cho các ứng dụng lưu trữ dữ liệu chăm sóc sức khỏe

Tin tức hôm nay đã chỉ ra rằng "Hoạt động bất thường được phát hiện lần đầu tiên vào ngày 4 tháng 7 năm 2018, trên một trong các cơ sở dữ liệu CNTT của SingHealth". Khi chúng tôi thiết kế và xây dựng các hệ thống để có khả năng chống lại các cuộc tấn công mạng, chúng ta phải bắt đầu xây dựng hệ thống an ninh từ bên trong, thay vì chỉ dựa vào việc bảo vệ vành đai. Điều này có nghĩa là trước khi một dòng mã được viết, chúng tôi đã bắt đầu lập bản đồ các vấn đề bảo mật tiềm ẩn của chúng tôi từ thời điểm thiết kế. Các vấn đề bảo mật của ứng dụng có thể được chia thành hai phần, Flaw và Bug. Để bắt được hầu hết các vấn đề bảo mật phần mềm này, chúng ta cần xác định chúng sớm để chúng không trở lại ám ảnh chúng ta sau này. Chúng ta phải thận trọng khi nói đến sự hiểu biết về cách thức và loại dữ liệu chúng tôi đang bảo vệ, vị trí của nó và các phương thức bảo mật nào chúng tôi có để bảo vệ nó. Nếu chúng ta để lại những vấn đề này cho sau này, chi phí sửa chữa và phản ứng lại với vi phạm sẽ rất tốn kém.

Chuỗi cung ứng phức tạp

Thông thường các hệ thống máy tính lớn là một phần của một dự án lớn hơn được phát triển và phân phối bởi các nhà tích hợp hệ thống (bên thứ ba), nơi mà các chuỗi cung ứng có thể trở nên phức tạp. Điều này tạo ra thách thức để quản lý bảo mật, vì các phần khác nhau của hệ thống có thể có các thành phần phần mềm từ bên thứ ba khác nhau và có các lỗ hổng cố hữu, và thường có thể không được xác định và sửa chữa đúng cách sớm. Đây không phải là một thách thức duy nhất đối với lĩnh vực chăm sóc sức khỏe, đó là thách thức mà mọi tổ chức lớn đều trải qua.

Những thách thức trong ngành y tế nói chung

Khi nói đến những thách thức an ninh mạng trong ngành công nghiệp chăm sóc sức khỏe, đây là một môi trường khác biệt trong vấn đề bảo mật.

Từ quan điểm bảo mật, ngành y tế có chung những thiếu sót như các doanh nghiệp khác, nhưng với một số trở ngại khác:

• Thiếu tài nguyên an ninh, nguồn lực tài chính và chuyên môn để sửa điểm yếu này.
• Phải đối phó với một môi trường cực kỳ không đồng nhất. Trong khi các tổ chức y tế có thể tiêu chuẩn hóa máy tính xách tay, máy chủ CNTT, các nhà cung cấp, cũng như quản lý nhiều thiết bị được gắn vào mạng. Chúng có thể bao gồm bơm tiêm ma túy, thiết bị hình ảnh như máy quét MRI và CT, và phần mềm xử lý (chẳng hạn như phần mềm được sử dụng để quản lý máy điều hòa nhịp tim).
• Các hệ thống ở các bộ phận khác nhau của một tổ chức chăm sóc sức khỏe có thể không hoạt động tốt với nhau. Giống như bất kỳ tổ chức lớn, một tổ chức chăm sóc sức khỏe có thể có nhiều đơn vị kinh doanh hoặc hoạt động, và mỗi đơn vị có thể mua các giải pháp phần mềm đáp ứng tốt nhất nhu cầu của họ, nhưng có thể không có hiệu quả bảo mật mạng thống nhất. Hồ sơ Y tế Điện tử (EHRs) hứa hẹn sẽ giúp các bệnh viện và bệnh nhân bằng cách đơn giản hóa việc chia sẻ thông tin.

Trong ngành công nghiệp không đồng nhất này, nơi mà trách nhiệm chưa được phân định rõ ràng giữa các tổ chức, một mạng lưới cơ sở dữ liệu tập trung là cực kỳ quan trọng để tránh các cuộc tấn công mới. Điều quan trọng là các lớp bảo mật khác nhau cũng cần được thêm vào cơ sở dữ liệu và kẻ tấn công có thể tìm gặp nhiều rào cản hơn khi tấn công.