Các công ty sản xuất thiết bị y tế đang phải đối mặt với phần mềm độc hại hoặc mã độc tống tiền
Diễn đàn - Ngày đăng : 21:49, 23/04/2019
Vấn đề ngày càng tăng
Một cuộc khảo sát được thực hiện bởi Hiệp hội các giám đốc điều hành quản lý thông tin chăm sóc sức khỏe (CHIME) đã phát hiện ra rằng gần 20% các nhà cung cấp dịch vụ chăm sóc sức khỏe có thiết bị y tế bị nhiễm phần mềm độc hại hoặc mã độc tống tiền trong 18 tháng qua. Đây rõ ràng không chỉ là một sự phiền toái mà những sự cố như vậy thực sự đe dọa an ninh mạng, thậm chí khả năng chăm sóc bệnh nhân liên tục cũng như quản lý các vấn đề sức khỏe của người bệnh trong thời gian dài.
Vì vậy, bảo vệ các thiết bị y tế nên là ưu tiên hàng đầu của tất cả các tổ chức trong ngành chăm sóc sức khỏe. Tuy nhiên, điều này khó có thể đạt được do kiến thức về hệ thống của các thiết bị y tế khá khác biệt so với các thiết bị máy tính thông thường khác. Bảo vệ các thiết bị này thường cần có sự hỗ trợ, đặc biệt khi rủi ro tăng theo cấp số nhân do mức độ liên kết ngày càng tăng.
Khi đối mặt với các vi phạm bảo mật, các nhà sản xuất thiết bị y tế thường bị đổ lỗi. Thật vậy, một nghiên cứu được thực hiện bởi CHIME cho thấy 96% các nhà cung cấp dịch vụ sức khỏe cho rằng lỗi của nhà sản xuất là trung tâm của các vi phạm dữ liệu và các vấn đề bảo mật liên quan đến thiết bị. Đây có thể là một tình trạng đáng báo động vì cho dù các nhà cung cấp dịch vụ y tế được các nhà sản xuất bảo đảm thiết bị an toàn đến mức nào đi chăng nữa thì họ vẫn cần phải bắt đầu phát triển các kế hoạch bảo mật dựa trên giả định rằng trên thực tế, chúng rất dễ bị tấn công.
Quan hệ đối tác tích cực
Tuy nhiên, ngay cả khi các nhà cung cấp dịch vụ y tế hiểu được điều này, nó vẫn có thể không đủ để hình thành một mối quan hệ đối tác tích cực với các nhà sản xuất thiết bị vì nhiều tổ chức chăm sóc sức khỏe thừa nhận rằng tài nguyên CNTT hiện tại của họ đã đạt giới hạn. Trong nghiên cứu CHIME, 76% các nhà cung cấp dịch vụ y tế kết luận rằng tài nguyên của họ là không đủ và quá gượng ép để có thể bảo đảm an toàn cho các thiết bị y tế.
Tuy nhiên, chúng ta vẫn có thể lạc quan một chút. Đây có thể là một lĩnh vực tương đối mới nhưng các hãng bảo mật nổi tiếng đang tiến tới hỗ trợ loại bỏ phần mềm độc hại khỏi các thiết bị y tế. McAfee là một trong những tên tuổi lớn tham gia và công ty đáng kính này đã hợp tác chặt chẽ với các nhà sản xuất thiết bị y tế trong nỗ lực ngăn chặn các cuộc tấn công và tuân thủ môi trường pháp lý ngày càng nghiêm ngặt.
Các thiết bị y tế hiện đang được sản xuất với nhiều biện pháp bảo mật tích hợp sẵn trong đó, bao gồm: kiểm soát ứng dụng, danh sách trắng, bảo vệ chống vi-rút và chống phần mềm độc hại, quản lý bảo mật thiết bị, bảo vệ dữ liệu nâng cao và mã hóa. Bên cạnh đó, các nhà sản xuất thiết bị đang tiếp tục làm việc để đảm bảo việc quản lý thiết bị được sắp xếp hợp lý hơn, hạn chế rủi ro của việc phần mềm độc hại và mã độc tống tiền được cài đặt ngay từ đầu. Với khả năng tùy chỉnh, các yêu cầu thiết kế cho tất cả các thiết bị y tế có thể được đáp ứng bởi cả nhà sản xuất và các chương trình chống phần mềm độc hại.
Siemens Healthineers gần đây đã lên tiếng về sự nguy hiểm của phần mềm độc hại và mã độc tống tiền trong môi trường y tế và chia sẻ cách các bác sĩ y khoa cần sẵn sàng để đối phó với những mối đe dọa này. Siemens là công ty hàng đầu trong lĩnh vực sản xuất các thiết bị y tế, họ nhận ra rằng bảo mật hệ thống có thể bị tổn hại bởi các thiết bị y tế dễ bị tấn công. Do đó, công ty đã hợp tác chặt chẽ với McAfee để tạo ra một giải pháp phù hợp.
Và Bảo mật hệ thống siêu âm của Siemens là kết quả của sự hợp tác này, cung cấp một giải pháp chống vi-rút mạnh mẽ và linh hoạt cao. Và RapidLab1200, cũng được phát triển thông qua sự hợp tác giữa hai tổ chức, sử dụng danh sách trắng của McAfee để bảo vệ thiết bị, ngăn chặn mọi ứng dụng trái phép có thể làm hỏng thiết bị y tế.
Kho tài nguyên
Sự hợp tác này cho thấy thực tế rằng việc bảo vệ các thiết bị y tế đòi hỏi nỗ lực chung từ cả tổ chức cung cấp dịch vụ y tế và nhà sản xuất thiết bị. Không có giải pháp toàn năng nào cũng như không có câu trả lời dễ dàng nào vào thời điểm này, thay vào đó các chuyên gia y tế trong cả bộ phận phần cứng và phần mềm cần phải tập hợp tài nguyên của mình lại.
Tuy nhiên, tin tốt là nhiều công ty và tổ chức trong môi trường chăm sóc sức khỏe đang bắt đầu có thể kiểm soát được vấn đề này. Theo Adam Gale, chủ tịch của KLAS Research, “Nhiều nhà cung cấp dịch vụ y tế có các mô đun cơ bản cho một chương trình bảo mật chung và đang đạt được những tiến bộ nhất định, hướng tới việc phát triển một chương trình hoàn thiện, mặc dù điều này là rất khó khăn và tốn thời gian. Chúng tôi cũng thấy các nhà sản xuất thiết bị chủ động và có trách nhiệm hơn.” Ông cũng cho biết các đối tác có thể bắt đầu giải quyết được các vấn đề liên quan đến phần mềm độc hại trong tương lai gần.
Một tác động khác ảnh hưởng đến việc bảo vệ các thiết bị chăm sóc sức khỏe khỏi virus là môi trường lập pháp được tạo ra bởi chính phủ. Về vấn đề này, sự giám sát của chính phủ sẽ đóng một vai trò quan trọng trong việc nâng cao bảo mật, và trong lĩnh vực này, chắc chắn có chỗ cho những cải tiến. Khi CHIME nói chuyện với các nhà sản xuất thiết bị với chủ đề về quy định của chính phủ, một số lưu ý rằng các quy định từ Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) thực sự cản trở bảo mật bằng cách biến một số thay đổi cần thiết về mặt pháp lý trở thành không thể.
FDA đã nỗ lực thực hiện các biện pháp để cải thiện tình hình. Một bản ghi nhớ thỏa thuận đã được ký kết giữa FDA và Bộ An ninh Nội địa Hòa Kỳ với mục đích đạt được một khuôn khổ tăng cường phối hợp và chia sẻ thông tin về các lỗ hổng thiết bị y tế tiềm năng, theo Suzanne B. Schwartz, phó giám đốc của FDA.
Những giải pháp đơn giản các công ty có thể thực hiện ngay lập tức
Trong thời gian chờ đợi, đảm bảo các thiết bị được cập nhật thường xuyên, tất cả các bản vá được áp dụng càng sớm càng tốt, tuyển dụng các chuyên gia trong lĩnh vực bảo mật và các giải pháp bảo mật phân lớp có thể bảo vệ các hệ thống và thiết bị y tế khỏi phần mềm độc hại và mã độc tống tiền, thậm chí cả tin tặc, những kẻ cố ý khai thác lỗ hổng của hệ thống với mục đích xấu. Khi việc các thiết bị y tế được kết nối tiếp tục mở rộng, cuộc chiến giữa tin tặc và bảo mật thiết bị mới chỉ bắt đầu.