Mùa hè còn chưa kết thúc, nhưng đây đã là một mùa tồi tệ đối với an ninh mạng trong lĩnh vực y tế. Chỉ riêng trong tháng trước, đã có hơn 7,6 triệu người bị lộ thông tin cá nhân do các vụ vi phạm dữ liệu trong lĩnh vực chăm sóc sức khỏe.

Chưa dừng lại ở đó, chỉ mới hai tuần trước, Anne Arundel Dermatology tiết lộ rằng vụ tấn công mạng gần đây đã khiến gần 2 triệu người bị ảnh hưởng. Còn Radiology Associates of Richmond cũng thông báo một vụ tấn công quy mô lớn trong tháng này, ảnh hưởng tới khoảng 1,4 triệu cá nhân.

Cơ sở hạ tầng an ninh mạng yếu kém của ngành y lần đầu tiên bị chú ý rộng rãi từ khoảng một năm rưỡi trước, khi hệ thống của Change Healthcare bị tấn công. Vụ việc này được xem là cuộc tấn công mạng tồi tệ nhất trong lịch sử ngành y tế. Nó đã làm lộ dữ liệu của hơn một nửa dân số Mỹ.

Nhiều lãnh đạo trong ngành này đã coi đây là một hồi chuông cảnh tỉnh, buộc họ phải nghiêm túc hơn với vấn đề bảo mật. Tuy nhiên, thực tế là các cuộc tấn công mạng nhắm vào lĩnh vực chăm sóc sức khỏe vẫn diễn ra không ngừng, cho thấy hệ thống phòng thủ của ngành vẫn chưa đủ mạnh. So với các lĩnh vực khác như bán lẻ hay ngân hàng, ngành y tế vẫn tụt hậu nghiêm trọng về an ninh mạng.

Ảnh minh họa

Các chuyên gia được phỏng vấn trong bài viết đều đồng tình rằng ngành y tế hầu như chưa có nhiều tiến bộ về an ninh mạng kể từ sau vụ việc của Change Healthcare. Họ cảnh báo rằng nếu không có những thay đổi cấp thiết, lĩnh vực này sẽ tiếp tục là “mục tiêu dễ dàng” cho tội phạm mạng.

Ngành chăm sóc sức khỏe đang ở ngưỡng quan trọng về an ninh mạng, theo bà Sıla Özeren, kỹ sư nghiên cứu bảo mật tại Picus Security - công ty cung cấp phần mềm đánh giá rủi ro. Bà cho rằng thời điểm hiện tại có tính bước ngoặt không chỉ vì các mối đe dọa ngày càng gia tăng, mà còn vì nguy cơ đang tăng cao chưa từng có đối với các nhà cung cấp dịch vụ chưa chuẩn bị sẵn sàng trong vấn đề an ninh mạng.

Bà Özeren chỉ ra rằng các nhóm tội phạm sử dụng ransomware đang tăng cường nhắm vào bệnh viện, không chỉ để đánh cắp dữ liệu mà còn để gây gián đoạn dịch vụ chăm sóc, vì chúng biết rằng sự cấp bách trong việc bảo vệ tính mạng bệnh nhân sẽ khiến các bệnh viện có xu hướng trả tiền chuộc nhanh hơn.

“Trong khi đó, các hệ thống y tế vẫn đang bị đè nặng bởi công nghệ lỗi thời, đội ngũ công nghệ thông tin làm việc quá tải và các quy trình lạc hậu. Ngành này nắm giữ một số dữ liệu nhạy cảm nhất, nhưng lại thường sử dụng hệ thống phòng thủ yếu nhất,” bà nhấn mạnh.

Nói một cách đơn giản, tốc độ phát triển của các mối đe dọa đang vượt xa tốc độ hiện đại hóa an ninh mạng trong ngành y tế.

Theo bà Özeren, khả năng sẵn sàng ứng phó với tấn công mạng của ngành y tế hiện nay mang tính chất thiếu nhất quán và phản ứng bị động. Nhiều tổ chức đã áp dụng các khung bảo mật dữ liệu và xây dựng kế hoạch phản ứng sự cố, nhưng vẫn còn tồn tại những lỗ hổng nghiêm trọng, bà lưu ý. Quản lý bản vá bảo mật (patch management) là một ví dụ điển hình.

Patch management là quá trình xác định các lỗ hổng hoặc lỗi bảo mật trong hệ thống của tổ chức, sau đó cài đặt các bản cập nhật phần mềm - gọi là bản vá - để khắc phục.

Bà Özeren giải thích rằng ngành chăm sóc sức khỏe vẫn là một “mục tiêu mềm” đối với các băng nhóm tội phạm mạng vì phần lớn nhà cung cấp vẫn sử dụng các hệ thống lỗi thời, không thể dễ dàng vá lỗi mà không ảnh hưởng đến việc chăm sóc bệnh nhân.

“Cùng lúc đó, các lỗ hổng từ bên thứ ba đang ngày càng bị khai thác, khi kẻ tấn công thường xâm nhập vào các nhà cung cấp dịch vụ thanh toán hoặc đơn vị công nghệ thông tin, rồi di chuyển ngang trong hệ thống do phân vùng mạng yếu và thiếu kiểm soát. Những thiếu sót kỹ thuật kéo dài, đội ngũ bảo mật thiếu nguồn lực và tầm nhìn hạn chế khiến ngành y tế đặc biệt dễ bị tổn thương,” bà nhận định.

Nguyễn Yến (theo MedCity News)