Y tế điện tử: Tiềm năng và thách thức an ninh an toàn thông tin mạng

Tuy nhiên, E-Health cũng tiềm ẩn những nguy cơ mất an ninh an toàn thông tin dữ liệu, đó là những cuộc tấn công ăn cắp hồ sơ y tế điện tử, lộ lọt những thông tin cá nhân sức khỏe nhạy cảm có nguy cơ đe dọa đến tính mạng con người. Vì vậy song song với phát triển và ứng dụng những thành quả mà cuộc cách mạng trong y tế điện tử, cần có biện pháp đảm bảo an ninh an toàn thông tin dữ liệu trong ngành y tế.

Xu hướng phát triển E-Health

Tiềm năng của e-Health là rất lớn, phạm vi ứng dụng rất rộng. Đặc biệt, trong tương lai, khi dân số ngày càng già đi, mô hình bệnh tật của con người chuyển dần sang các bệnh mãn tính cần được điều trị lâu dài, đồng thời sự bùng nổ về công nghệ, tri thức cũng như mức sống của con người được nâng cao, e-Health sẽ đóng vai trò chủ chốt trong ngành y tế.

Mô hình E-Health bao gồm một phạm vi rộng lớn các khâu: Từ khám bệnh từ xa, hội chẩn từ xa, điều trị từ xa, huấn luyện, đào tạo chuyên môn trực tuyến cho các bệnh viện tuyến dưới, đội ngũ chăm sóc ảo... cho đến hồ sơ y tế điện tử (HER - Electronic Health Record).

Với sự phát triển đột phá của công nghệ, ngành công nghiệp E-Health sẽ phát triển nhanh chóng, mang lại một sự thay đổi cơ bản trong mô hình cung cấp chăm sóc sức khỏe vào năm 2030 (Hình 1). Mỗi trung tâm y tế điện tử đều được cung cấp các thiết bị chẩn đoán tích hợp công nghệ đám mây, máy trạm và hệ thống truyền tải hình ảnh và âm thanh giữa những nơi cách xa nhau. Việc áp dụng công nghệ cho phép thu thập, phân tích và theo dõi các dữ liệu cá nhân cũng như trong phạm vi cộng đồng rộng lớn, thí dụ: Mô hình bệnh tật, các nguy cơ hay việc kiểm soát hồ sơ y tế địa phương… Nhờ vậy việc theo dõi diễn biến bệnh tật trong thời gian thực trở nên dễ dàng hơn nhiều. Những công nghệ trong tương lai có thể chuyển đổi vai trò tham gia của bệnh nhân từ “phụ thuộc” vào kiến thức của các chuyên gia sang "tự chủ", với khả năng tự quản lý sức khỏe của chính mình.

Hình 1. E-Health – Tầm nhìn công nghệ đến năm 2030

Sự gia tăng năng lực xử lý và sự ra đời của công nghệ thiết bị đeo, thiết bị thông minh sẽ đóng một vai trò thiết yếu trong các lĩnh vực y tế. Các thiết bị như điện thoại thông minh hoặc đồng hồ thông minh, kết hợp với các ứng dụng hướng đến sức khỏe và cảm biến sinh học sẽ có thể theo dõi tình trạng sức khỏe (duy trì thông báo cho cả người dùng/bệnh nhân cũng như các bác sĩ trong thời gian thực), khuyến nghị chuyên sâu và thậm chí cho phép chẩn đoán bệnh từ xa. Điều này sẽ giúp cho bệnh nhân hiểu rõ hơn về sức khỏe và tự quản lý sức khỏe của chính mình.

Bên cạnh đó, gia tăng dữ liệu trong lĩnh vực chăm sóc sức khỏe cũng sẽ giúp mở rộng phạm vi của các giải pháp nhanh hơn và làm cho E-Health có mặt ở những khu vực, vùng miền mà hệ thống y tế thông thường không thể thiết lập một cách hiệu quả. Ví dụ, thiết lập một cơ sở bệnh viện trong một ngôi làng châu Phi xa xôi là khó khăn, nhưng sẽ dễ dàng hơn nhiều nếu thiết lập một phòng khám hội thảo thấy hình (video-conferencing), để tư vấn từ xa cho các bệnh nhân.

Hơn nữa, vào năm 2030, chi phí giải mã DNA và mầm bệnh được dự đoán sẽ giảm đáng kể, cho phép ngày càng nhiều bệnh nhân có cơ hội được giải mã AND và mầm bệnh của chính cơ thể họ. Cùng với việc kết hợp quyền truy cập an toàn vào một cơ sở lưu trữ dữ liệu lớn, sẽ cho phép các bác sĩ phân tích dữ liệu một cách nhanh chóng để chẩn đoán chính xác và điều chỉnh phương pháp điều trị phù hợp.

Sự kết hợp của những công nghệ đột phá như: công nghệ đeo, phân tích dữ liệu lớn và giải mã DNA và mầm bệnh, được cho là sẽ tạo nên cuộc cách mạng trong ngành công nghiệp chăm sóc sức khỏe, bởi những công nghệ này sẽ giúp cải thiện việc phòng ngừa, nâng cao tiếp cận chăm sóc sức khỏe; chẩn đoán sớm và đưa ra kế hoạch điều trị đầy đủ cho từng bệnh nhân.

Những lợi ích của E-Health

Lợi ích đầu tiên có thể nhận thấy khi sử dụng E-Health chính là giảm được sự đi lại của người bệnh và giảm sử dụng cơ sở khám chữa bệnh, và đồng thời sẽ giảm lượng phát thải CO2. Theo số liệu tính toán, riêng tại nước Anh, E-Health giúp nước này giảm được 0.007Gt CO2. Dữ liệu ngoại suy từ GDP, dân số và dữ liệu truy nhập chăm sóc sức khỏe cho thấy, con số giảm khí thải trên toàn cầu có thể đạt tới  0.205Gt CO2.

Tuy nhiên, những lợi ích bền vững của một ngành y tế ICT không chỉ giới hạn ở việc giảm lượng khí thải mà còn bao gồm cả những lợi ích kinh tế - xã hội khác như chỉ ra ở Hình 2. Theo đó, đến năm 2030, E-Health sẽ tiết kiệm được 66 tỷ USD do không phải sử dụng cơ sở khám bệnh, đồng nghĩa với việc sẽ giải phóng được 271,4 triệu m2 diện tích đô thị dành cho xây dựng cơ sở y tế; cung cấp các dịch vụ sức khỏe cho 1,6 tỉ người.

Hình 2. Những lợi ích của E- Health

Hình 2 giải thích chi tiết hơn về những lợi ích mà dịch vụ E-Health có thể mang lại cho môi trường, kinh tế và xã hội, mà kết quả chính là việc giảm đi lại và giảm không gian của các cơ sở khám chữa bệnh.

Ngoài ra, theo nghiên cứu của Telenor, tác động kinh tế - xã hội rộng lớn hơn của chăm sóc sức khỏe di động đó là tạo ra nhiều cơ hội tiết kiệm chi phí, bao gồm chi phí chăm sóc người già giảm 25% và cắt giảm tới 50 - 60% chi phí liên quan đến giảm hoạt động ngoài giờ hành chính của bệnh viện và tái nhập viện cho bệnh nhân có bệnh mãn tính.

Tuy nhiên, cùng với những lợi ích mà E-Health mang đến cho cuộc sống của con người, cũng tiềm ẩn những rủi ro an ninh, đó là những cuộc tấn công ăn cắp hồ sơ y tế điện tử, lộ lọt những thông tin cá nhân sức khỏe nhạy cảm có nguy cơ đe dọa đến tính mạng con người. Hiện nay, các hồ sơ y tế bị đánh cắp đang được rao bán với mức giá dao động từ  1,5 USD  đến 10 USD/bản. Dữ liệu trong hồ sơ y tế là thông tin quý giá mà kẻ gian có thể sử dụng để đánh cắp thông tin nhận dạng cũng như thực hiện các hành vi gian lận và lừa đảo trong thanh toán y tế. Tình trạng báo động cao đối với ngành dịch vụ chăm sóc sức khỏe như các mối đe dọa an ninh mạng tiếp tục phát triển, trong đó có liên quan đến hành động tống tiền và đe dọa công khai thông tin từ các tin tặc. Năm 2016, thông tin cá nhân của 3,3 triệu khách hàng bảo hiểm y tế đã bị xâm nhập khi máy chủ của một công ty tạo ra thẻ ID cho bên thanh toán đã bị truy cập trái phép; Số lượng các tổ chức trong ngành công nghiệp chăm sóc sức khỏe bị tấn công mạng đã tăng từ 57 năm 2015 lên 93 vào năm 2016 (Báo cáo của TrapX).

 Theo các chuyên gia ATTT, xu hướng tấn công mạng năm 2017 sẽ diễn biến phức tạp hơn. Vì vậy, cần phải tăng cường công tác bảo đảm an toàn thông tin số, tăng cường khả năng phòng, chống các nguy cơ tấn công, xâm nhập hệ thống công nghệ thông tin và ngăn chặn, khắc phục kịp thời các sự cố an toàn thông tin trên mạng máy tính. Dưới đây là 5 mối đe dọa an ninh phổ biến đối với ngành E-Health và cách phòng chống.

Những rủi ro an ninh đối với E-Health

1. Các cuộc tấn công lừa đảo

Tấn công lừa đảo đang trở nên phổ biến và nhân viên cần được đào tạo về các mối đe dọa tiềm năng ẩn chứa trong hộp thư điện tử của họ. Các chương trình nâng cao nhận thức của nhân viên đối với các cuộc tấn công là rất quan trọng để giúp họ phát hiện và tránh những kiểu tấn công lừa đảo, không trở thành người “tiếp tay” cho tin tặc. Có một số cách để nhận dạng các cuộc tấn công lừa đảo. Để bắt đầu, tin tặc giả danh một công ty hay dịch vụ nào đó gửi thư đến email của nhân viên. Chúng thường sử dụng một liên kết email không hợp lệ hoặc tên miền cấp cao TLD liên quan đến trang web đáng ngờ, sau khi liên kết, thường có một yêu cầu đăng nhập thông tin cá nhân.

Mối đe dọa này ngày càng trở nên phổ biến hơn khi các bác sĩ chia sẻ hồ sơ y tế điện tử EHR (Electronic Healthcare Record), trong khi kỹ thuật tấn công của tin tặc thì ngày càng tinh vi. Chính vì vậy các bác sĩ luôn phải kiểm tra để đảm bảo rằng đó là một yêu cầu chia sẻ thông tin EHR đến từ một cơ sở y tế tin cậy.

Đối với nhân viên của bệnh viên, cần yêu cầu họ không bao giờ được mở file đính kèm hoặc nhấp chuột vào liên kết từ những người gửi không quen biết. Trong những trường hợp không chắc chắn việc tuân thủ của nhân viên thì phải yêu cầu quản trị CNTT kiểm tra. Ngoài ra, nhân viên không bao giờ chia sẻ thông tin cá nhân hoặc thông tin nhậy cảm khi chưa biết được chính xác yêu cầu từ người gửi đến. Việc phân tích ngôn ngữ và hình thức được sử dụng trong các email là rất quan trọng trước khi quyết định chia sẻ thông tin. 

2. Malware & Ransomware

Malware có thể xâm nhập vào hệ thống thông qua một số kênh: tải về do sơ suất, thông qua một cuộc tấn công lừa đảo, qua lỗ hổng phần mềm, xâm nhập vào mạng thông qua mã hóa lưu lượng… Nhân viên CNTT trong bệnh viện phải thận trọng và theo dõi tất cả các con đường phần mềm độc hại có thể nhập.

Ransomware đang ngày càng phổ biến và các bệnh viện là mục tiêu lý tưởng với những thông tin cập nhật về chăm sóc bệnh nhân. Với loại tấn công này, tin tặc đã thu về những khoản tiền chuộc lớn từ những nạn nhân. Ví dụ, mới đây, Trung tâm Y tế Hollywood Presbyterian đã phải chi 40 Bitcoins - tương đương với 17.000 USD - để tin tặc trả lại quyền truy cập tới EHR của bệnh viện.

Sự gia tăng số lượng các cuộc tấn công như vậy làm tăng gấp đôi nguy hiểm cho các bệnh viện. Các bệnh viện phải đảm bảo là họ có hệ thống an ninh mạng mạnh mẽ để tin tặc không thể truy cập vào hồ sơ mà chúng đang tìm kiếm.

3. Mối đe dọa ẩn nấp trong lưu lượng mã hóa

Mã hóa được chứng minh là một công cụ tuyệt vời đối với việc bảo vệ dữ liệu, đặc biệt là khi nó chuyển qua lại giữa người sử dụng các ứng dụng cài đặt tại chỗ (on-premise) và trên đám mây. Tuy nhiên, các tin tặc đã tìm ra cách để ẩn nấp trong lưu lượng được mã hóa, sử dụng nó như một phương tiện để tránh bị phát hiện. Theo dự báo của Garther, sẽ có khoảng 50% các cuộc tấn công mạng năm 2017 sử dụng cách thức ẩn trong lưu lượng được mã hóa.

Với chiêu thức này, việc theo dõi và phát hiện vi phạm và tấn công mục tiêu của các công cụ phân tích an ninh trở nên khó khăn hơn nhiều. Vì vậy, các bệnh viện nên có một lớp bảo mật theo dõi lưu lượng được mã hóa để đội ngũ CNTT phân tích được toàn bộ lưu lượng mạng đối với hành vi đáng ngờ hoặc bất thường. Lưu lượng đáng ngờ và độc hại có thể được giải mã một cách chọn lọc và kiểm tra nhanh chóng, trong khi lưu lượng bình thường tiếp tục được lưu thông qua mạng ở trạng thái mã hóa. Do đó đảm bảo được tính riêng tư của dữ liệu đồng thời tăng cường bảo mật, chống lạit mối đe doạ ngày càng phổ biến trong các bệnh viện và cơ sở chăm sóc sức khỏe.

4. Các mối đe dọa trên đám mây

Ngành công nghiệp chăm sóc sức khỏe đã rất thận trọng khi chấp nhận các ứng dụng và lưu trữ trên đám mây do lo ngại an ninh và sự riêng tư của dữ liệu. Nhưng lợi ích mà điện toán đám mây đem lại là rất hấp dẫn nên ngày càng có nhiều tổ chức chăm sóc sức khỏe chuyển sang đám mây để giúp cải thiện chăm sóc bệnh nhân và thuận tiện cho việc hợp tác. Tuy nhiên, khi bắt đầu chuyển sang điện toán đám mây, vẫn còn một số vấn đề cần được tính đến, chẳng hạn như việc tuân thủ dữ liệu.

Nếu sử dụng các dịch vụ dựa trên đám mây, bệnh viện cần hiểu chính xác những thông tin tài sản trong đám mây. Sau đó cần phải sắp xếp hệ thống, con người và các qui trình để truy cập vào các tài sản đó.

Một giải pháp tốt cho việc chuyển sang đám mây là sử dụng mã hóa. Mã hóa mạnh có thể đảm bảo cho dữ liệu được bảo vệ khi chuyển từ hạ tầng doanh nghiệptại chỗ (on-premise) sang điện toán đám mây cũng như khi dữ liệu đang được lưu và xử lý trên các ứng dụng điện toán đám mây. Ví dụ, dữ liệu y tế và bệnh nhân có thể được thay thế bằng một mã token hoặc mã hóa khi gửi tới đám mây để xử lý và lưu trữ. Kết quả là, dữ liệu trở nên vô nghĩa với bất cứ ai bên ngoài công ty truy cập nó trên đường tới các đám mây hoặc trong môi trường điện toán đám mây. Bệnh viện không nên chia sẻ khóa mã hóa hoặc kho mã token với bất kỳ bên thứ ba.

5. Nguy cơ từ các nhân viên

Các tổ chức thường rất ngạc nhiên khi biết một trong những mối đe dọa lớn nhất đối với an ninh dữ liệu lại chính là từ nhân viên của họ. Nhìn chung nhân viên là những người không có kiến thức và thực tế tốt nhất về an ninh mạng, thậm chí họ không biết cuộc tấn công lừa đảo hay ransomware là gì. Tuy nhiên, cũng không loại trừ các hành vi nội gián hoặc có ý đồ xấu. Theo Báo cáo khảo sát của IBM, 68% các cuộc tấn công mạng nhằm vào các tổ chức y tế năm 2016 là từ nội bộ và 1/3 trong số đó là do nhân viên có ý đồ xấu.

Các bệnh viện cần phải có chính sách quản trị dữ liệu chi tiết, quản lý rủi ro và bảo mật dữ liệu tại chỗ để đảm bảo tất cả nhân viên được hướng dẫn đầy đủ về chiến lược an ninh mạng của tổ chức. Những chính sách này nên bao gồm các yêu cầu cụ thể như: không tải hoặc sử dụng phần mềm không bản quyền và không mở email của những người gửi không quen biết. Ngoài việc gửi hướng dẫn tới nhân viên cần phải có biện pháp buộc họ phải tuân thủ những chính sách an ninh này. Nhóm CNTT nên đặt hệ thống thích hợp để cảnh báo cho nhân viên khi họ tham gia vào các hành vi nguy hiểm. Những hệ thống này cũng có thể kích hoạt cảnh báo sớm nhằm giảm thiểu mất mát dữ liệu khi dữ liệu bí mật của nhân viên bị xâm phạm trái phép.

Dữ liệu y tế đang trở thành mục tiêu có giá trị đối với tin tặc. Các thông tin sức khỏe cá nhân ngày càng nhiều hơn, vì vậy các bệnh viện trở thành những “mỏ vàng” đối với tin tặc, với mỗi hồ sơ bệnh nhân tin tặc có thể kiếm được ít nhất là 50 USD. Hãy chắc chắn rằng nhân viên của các bệnh viện và cơ sở chăm sóc sức khỏe biết cách xác định các mối đe dọa và ngăn chặn những rủi ro để tránh bị những vi phạm dữ liệu tiếp theo./.