Tại hội thảo bảo mật trong lĩnh vực y tế mới đây, ông Yeo Siang Tiong, Giám đốc Kaspersky Đông Nam Á cho biết chuyển đổi số trong lĩnh vực y tế có 2 mảng: các hồ sơ y tế gồm thông tin của bệnh nhân, việc nhận bệnh nhân vào khám chữa bệnh của bệnh viện, những tư vấn khám bệnh trước đây, lịch sử gia đình… và quy trình khám bệnh kê thuốc. Nhiều bệnh viện hiện nay đang ở giai đoạn đầu của số hóa. Trong giai đoạn hai của số hóa, các thiết bị số ngày càng được sử dụng nhiều giúp các bác sĩ có được nhiều thông tin y tế số. Vì vậy, trách nhiệm quản lý và bảo vệ dữ liệu y tế là rất quan trọng.
Để bảo vệ dữ liệu, các bệnh viện cần hiểu và đánh giá dữ liệu nào là quan trọng. Nhiều bệnh viện hiện nay chưa có bộ phận bảo mật riêng. Để số hoá bệnh viện rất cần bổ nhiệm 1 giám đốc phụ trách bảo mật, tiếp theo là xây dựng, hình thành đội ngũ/chuyên gia làm công tác bảo mật. Họ là những người hiểu bảo mật là gì và khởi động một kế hoạch/quy trình/lộ trình bảo mật cũng như nghiên cứu công nghệ bảo mật để đảm bảo cho bệnh viện chuyển đổi số thành công, Yeo Siang Tiong chia sẻ.
Ông Yeo Siang Tong cũng cho biết đã có nhiều cơ sở y tế bắt tay vào thực hiện việc này và đang hợp tác với chúng tôi để xây dựng lộ trình bảo mật. Chúng tôi đang giúp họ xem xét nhiều khía cạnh để thực hiện công tác bảo mật gồm công nghệ, thông tin y tế nào cần số hóa, nâng cao nhận thức cho đội ngũ, xử lý những trường hợp khẩn cấp, quy trình xử lý… Tiếp theo, cần phải lưu ý là công tác bảo mật không chỉ liên quan đến người làm CNTT, bảo mật, mà các bác sỹ, y tá, người làm công tác xã hội, người chăm sóc bệnh nhân… cũng cần được tập huấn, đào tạo về bảo mật.
Một vấn đề cần thiết nữa, theo ông Yeo Siang Tong, là các cơ sở y tế cần xây dựng các chính sách/quy trình cho bảo mật. Các tổ chức y tế phải có chính sách bảo vệ dữ liệu, đánh giá được dữ liệu nào quan trọng và cần được bảo vệ, các chuẩn bảo mật cần phải được xây dựng…
Tấn công vào lĩnh vực y tế là vấn đề trên toàn thế giới. Kaspersky đã phát hiện nhóm APT10 hoạt động tại Malaysia vào năm ngoái, và năm nay đang chuyển sự chú ý sang Việt Nam, ông Yeo Siang Tong cho hay.
Bàihọc từ Wannacryđối với các cơ sở y tế
Hơn 2 năm sau ngày mã độc tống tiền Wannacry nổi tiếng khiến hệ thống y tế và các tổ chức trên thế giới tê liệt, lĩnh vực y tế có vẻ như đã rút ra được bài học khi số liệu từ Kaspersky cho thấy số lượng thiết bị y tế bị tấn công trong năm 2019 đã giảm.
Thống kê từ Kaspersky cho thấy vào năm 2017 30% thiết bị y tế bị nhiễm mã độc, con số này chỉ còn 28% trong năm 2018, và gần như giảm 1/3 khi chỉ còn 19% tính đến thời điểm hiện nay.
Tuy nhiên, Kaspersky cho biết xu hướng sụt giảm số cuộc tấn công đối với thiết bị trong các cơ sở y tế không phải diễn ra ở mọi nơi. Hơn 7 trong số 10 thiết bị y tế ở Venezuela (77%), Philippines (76%), Libya (75%), và Argentina (73%) vẫn đang bị tấn công. Có hai quốc gia khác ở khu vực châu Á - Thái Bình Dương thuộc top 15 quốc gia nhiễm mã độc nhiều nhất, gồm Bangladesh (58% thiết bị bị tấn công) và Thái Lan (44%). Đây là tỷ lệ số lượng thiết bị y tế tại những quốc gia sử dụng giải pháp từ Kaspersky trên số lượng thiết bị nhiễm độc bị phát hiện. Các thiết bị y tế bao gồm máy chủ, máy tính, di động và máy tính bảng, ứng dụng Internet vạn vật và máy móc bệnh viện có kết nối với mạng Internet tại cơ sở chăm sóc sức khỏe.
Ông Yury Namestnikov, Giám đốc Trung tâm Nghiên cứu và Phân tích toàn cầu của Kaspersky (GReAT) tại Nga bình luận: “Dù muốn tin rằng mọi người đã cảnh giác hơn sau những thiệt hại mà đợt tấn công Wannacry đã gây ra, nhưng sự thật thì vẫn còn nhiều quốc gia bị bỏ lại phía sau trong việc bảo mật cho thiết bị y tế. Một nguyên nhân mà chúng tôi ghi nhận là khả năng bị tấn công mạng phụ thuộc vào ngân sách mà Chính phủ chi ra để bảo đảm an ninh mạng trong lĩnh vực y tế công cộng. Một lý do chính yếu khác là mức độ nhận thức của chính những người làm việc tại các cơ sở y tế về an ninh mạng còn khá thấp”.
Khảo sát của Kaspersky trong lĩnh vực chăm sóc sức khỏe tại Hoa Kỳ và Canada đã phát hiện ra rằng gần 1/3 người được hỏi (32%) chưa từng được đào tạo về an ninh mạng tại nơi làm việc. 1/10 nhân viên cấp quản lý thừa nhận họ không biết gì về chính sách an ninh mạng tại tổ chức nơi họ công tác.
Liên quan đến những sơ hở mà các tội phạm mạng lợi dụng để làm lây nhiễm ở bệnh viện và các cơ sở y tế, Namestnikov lưu ý rằng tài khoản Microsoft Office hết hạn chiếm đến 59% các cuộc tấn công trong năm 2019. Theo sau đó là EternalBlue (32%). Thiết bị Android (2%) cũng đang gia tăng khả năng truy cập vào các hệ thống y tế.
“Hạ tầng y tế có rất nhiều thiết bị trong đó có các thiết bị di động, và phần lớn những thiết bị này có thể dễ dàng kết nối Internet. Công nghệ phát triển cho phép bác sĩ tiến hành phẫu thuật từ xa, và chúng ta thực sự đang tiến tới thời đại y học siêu kết nối. Trong khi đón chào những sự tiến bộ này thì chúng ta cũng không thể phủ nhận những cánh cửa cho tội phạm mạng hoạt động sẽ được mở ra. Do đó, ngành chăm sóc sức khỏe phải lưu tâm đến vấn đề này một cách nghiêm túc”, Namestnikov nói thêm.
Những khuyến nghị đối với cơ sở y tế
Nhận biết những mối đe dọa nghiêm trọng mà tội phạm mạng có thể gây ra cho lĩnh vực chăm sóc sức khỏe, Kaspersky khuyến nghị các cơ sở y tế cần nhận thức nghiêm túc về vấn đề an ninh mạng bởi tấn công mạng trong lĩnh vực này nên được giải quyết một cách chuyên nghiệp bởi những rủi ro tiềm ẩn mà nó mang lại cho cuộc sống của mọi người.
Tất cả cá nhân trong bệnh viện, phòng khám hoặc cơ sở y tế nên có hiểu biết đầy đủ về các mối đe dọa mạng mới nhất và cam kết tăng cường lực lượng lao động, hệ thống và công cụ để chống lại các cuộc tấn công độc hại này.
Các phần mềm có tích hợp nguồn cấp dữ liệu về các mối đe dọa và báo cáo về các mối đe dọa hiểm họa có thể giúp ngành chăm sóc sức khỏe hiểu thêm và ngăn chặn các cuộc tấn công mạng có thể xảy ra.
Việc tiếp theo là xác định khả năng bảo mật của nhà cung cấp thứ ba. Máy móc y tế thường khá đắt đỏ và có thời hạn bảo hành lên đến 10 năm. Nhà sản xuất các thiết bị y tế nên xem xét việc xây dựng một phần cứng được thiết kế để bảo mật nhằm sẵn sàng đối phó với những lỗ hổng trong tương lai.
Nhà cung cấp cũng cần cân nhắc việc thành lập một nhóm ứng phó sự cố trong trường hợp xảy ra các cuộc tấn công mạng.
Các bệnh viện và các cơ sở y tế đang ngày càng trở nên phụ thuộc vào mạng Internet; do đó, việc kiểm tra ai có quyền truy cập vào máy chủ và kho dữ liệu là vấn đề cần thiết.
Bệnh viện là nơi công cộng. Một nhân viên cũ có thể gây ra nhiều thiệt hại, vì vậy, cần xem xét việc gỡ bỏ thông tin đăng nhập của nhân viên cũ ra khỏi hệ thống.
Tương tự như lĩnh vực tài chính, các cơ quan công pháp và tư pháp nên bắt tay vào việc soạn thảo luật và các quy định nhằm giải quyết các mối đe dọa leo thang trong lĩnh vực chăm sóc sức khỏe.