Giống như các công ty lớn, một bệnh viện hiện đại có hàng trăm, thậm chí hàng nghìn nhân viên sử dụng vô số máy tính, điện thoại thông minh và các thiết bị điện tử khác. Các thiết bị này dễ bị “tổn thương” do bị tin tặc trộm cắp dữ liệu và tấn công.
Nhưng bệnh viện không giống như công ty ở hai điểm quan trọng. Thứ nhất, bệnh viên lưu giữ hồ sơ y tế, đó là một trong những dữ liệu nhạy cảm nhất về con người. Thứ hai, nhiều thiết bị điện tử của bệnh viện làm nhiệm vụ duy trì sự sống cho bệnh nhân, theo dõi các dấu hiệu quan trọng, hỗ trợ thở và bơm máu cho người bệnh trong tình trạng nguy kịch. Nếu những thiết bị này đột ngột ngừng hoạt động thì điều gì sẽ xảy ra?
Năm 2013, một vụ đánh cắp dữ liệu người bệnh đã xảy ra tại Đại học Y khoa Washington, khiến cho dữ liệu của 90 nghìn bệnh nhân bị rò rỉ. Bệnh viện này đã bị các nhà quản lý liên bang phạt 750 nghìn USD. Năm 2015, hệ thống Y tế UCLA, bao gồm một số bệnh viện ở Mỹ, tiết lộ tin tặc đã truy cập vào một phần của mạng lưới lưu trữ thông tin 4,5 triệu bệnh nhân.
Các cuộc tấn công từ tin tặc có thể làm gián đoạn các thiết bị y tế khiến cho bệnh viện phải đóng phòng cấp cứu và hủy phẫu thuật. Điều này đã từng xảy ra trên thực tế. Năm ngoái, cuộc tấn công bởi mã độc WannaCry đã khiến một phần ba số bệnh viện ở Anh phải tạm dừng hoạt động trong 3 ngày. Đây là một mối đe dọa ngày càng tăng trong ngành y tế.
Bảo vệ mạng máy tính của bệnh viện là rất quan trọng, nó cũng giúp bảo vệ sự riêng tư cũng như tính mạng của bệnh nhân. Tuy nhiên, những nghiên cứu gần đây cho thấy ngành y tế tụt hậu so với các ngành khác trong việc bảo vệ hệ thống máy tính và dữ liệu bệnh nhân.
Hàng loạt các thiết bị bệnh viện dễ bị tấn công
Một mối nguy cơ đối với các bệnh viện hiện đại là họ có rất nhiều thiết bị kết nối vào mạng lưới. Tương tự như các công ty, các thiết bị này bao gồm điện thoại di động, máy tính bảng, máy tính để bàn và máy chủ. Ngoài ra còn có một số lượng lớn bệnh nhân và người nhà bệnh nhân cũng sử dụng các thiết bị di động, cộng thêm các thiết bị y tế để theo dõi sức khỏe bệnh nhân và kết nối với bác sỹ. Mỗi thiết bị đều có nguy cơ lây lan mã độc cho mạng lưới của bệnh viện.
Các nhân viên bệnh viện có thể sử dụng phần mềm riêng để đảm bảo chỉ những thiết bị có quyền mới được phép kết nối. Nhưng ngay cả vậy, hệ thống này vẫn có thể bị tổn thương bởi những bản cập nhật phần mềm và các thiết bị mới.
Một lỗ hổng khác có thể đến từ các thiết bị y tế được cung cấp cho các bệnh viện dưới dạng thiết bị miễn phí mang tính chất chào hàng. Chúng thường không được kiểm tra về mức độ bảo mật trước khi kết nối vào mạng lưới bệnh viện.
Một nhân viên bệnh viện giấu tên cho biết: “Trong các bệnh viện, có một quy trình mua sắm ngầm, theo đó các nhà cung cấp thiết bị y tế tiếp cận các bác sỹ và chuyển cho họ nhiều thiết bị miễn phí và một thời gian sau đó thì chúng tôi nhận được hóa đơn thanh toán”.
Khi các thiết bị y tế được mua bán không theo quy trình thông thường sẽ khiến cho chúng không được kiểm tra các lỗ hổng bảo mật, giúp tin tặc có nhiều cơ hội tấn công hơn. Tất nhiên, những người quản lý bệnh viện cần phải cân bằng giữa việc bảo mật hệ thống với việc cải thiện khả năng chăm sóc bệnh nhân mà những thiết bị mới mang lại.
Nhân viên bệnh viện có quan tâm đến bảo mật mạng máy tính?
Những người quản lý bệnh viện đều hiểu tầm quan trọng của an ninh mạng máy tính. Khi được phỏng vấn, họ đều nói rằng họ lo lắng về chi phí xây dựng một hệ thống bảo mật, về thanh danh bệnh viện có thể bị tổn hại và về những hình phạt pháp lý. Tuy nhiên, đối với các nhân viên bệnh viện, dường như họ ít quan tâm tới vấn đề này. Họ chỉ tập trung vào việc chăm sóc bệnh nhân và không có thời gian để lo lắng về an ninh mạng.
Các bác sỹ thường coi bảo vệ mạng máy tính bệnh viện là công việc thứ yếu đối với nhiệm vụ mà họ phải hoàn thành hàng ngày. Một nhân viên bệnh viện cho biết: “Để sử dụng một máy siêu âm, theo nguyên tắc về bảo mật thì máy sẽ được cài đặt mật khẩu và 90 ngày phải thay đổi một lần. Nhưng các bác sỹ chỉ đơn giản muốn sử dụng máy siêu âm và nghĩ rằng nó không chứa nhiều dữ liệu bệnh nhân. Vì thế họ đã chia sẻ mật khẩu để mọi người có thể dùng chung”.
Mỗi bệnh viện lại có nhu cầu kết nối và truy cập Internet khác nhau và có những nhu cầu truy cập khiến chúng ta thực sự ngạc nhiên. Có bệnh viện thường xuyên truy cập vào trang web A, nhưng có bệnh viện lại hay vào trang web B. Có những trang web có khả năng mang theo phần mềm độc hại. Giám đốc phòng thông tin của một bệnh viện (ở Mỹ) nói với chúng tôi rằng:
“Cá nhân tôi tin rằng các nội dung khiêu dâm không có lý do gì để xuất hiện trong các máy tính bệnh viện. 5 năm trước đây tôi đã đặt một bộ lọc nội dung Internet, ngăn người khác điều hướng đến nội dung khiêu dâm. Trong vòng 5 phút, Giám đốc khoa Tâm thần gọi cho tôi nói rằng chúng tôi có một khoản trợ cấp để nghiên cứu nội dung khiêu dâm trong bối cảnh y học. Vì vậy chúng tôi phải sửa bộ lọc của mình”.
Con người đóng vai trò chính yếu
Những điều nói trên là lý do chúng tôi có thể kết luận rằng ngân sách hạn hẹp cho bảo mật mạng máy tính bệnh viện không phải là mối nguy cơ chính, mà nguy cơ nằm ở con người (ở nhân viên bệnh viện). Một bệnh viện có thể mua bao nhiêu phần cứng và phần mềm theo ý muốn. Nếu nhân viên bệnh viện không tuân theo quy trình tổ chức thì công nghệ dù có hiện đại đến đâu cũng không thể giữ an toàn cho bệnh viện.