Việc tải lên tập tin không được bảo mật đang gây rủi ro cho các tổ chức chăm sóc sức khỏe; đây là cách khắc phục.  

Theo HIMSS, hiện nay hơn 80% các tổ chức y tế đang sử dụng dịch vụ đám mây để lưu trữ hoặc xử lý dữ liệu y tế. Hàng ngày, có hàng nghìn tệp tin được đưa vào môi trường y tế từ:

• Bệnh nhân sử dụng thiết bị cá nhân không được quản lý
• Các nhà cung cấp và chuyên gia bên thứ ba
• Các phòng xét nghiệm chẩn đoán và trung tâm chẩn đoán hình ảnh
• Các công ty bảo hiểm, đối tác thanh toán và mạng lưới giới thiệu

Những tệp này trông có vẻ vô hại.

Các tệp PDF, biểu mẫu đã quét, hình ảnh, tệp nén ZIP và tệp DICOM là những định dạng phổ biến trong quy trình làm việc của ngành y tế, do đó chúng vốn đã được những người xử lý tin tưởng.

Rủi ro nằm chính ở sự bình thường đến mức nhàm chán này. Chính những tệp tin chứa dữ liệu bệnh nhân nhạy cảm hay các phương án điều trị đó lại có thể ẩn chứa siêu dữ liệu, tập lệnh hoặc các đối tượng nhúng mà các công cụ truyền thống không thể phát hiện được.

Ngành y tế hiện đại thực sự không thể hoạt động nếu thiếu các dịch vụ dựa trên đám mây.

Các nền tảng y tế từ xa cho phép chia sẻ tài liệu trước và sau các buổi khám trực tuyến. Các hệ thống hồ sơ y tế điện tử (EHR) dựa vào tích hợp đám mây để trao đổi dữ liệu giữa các nhà cung cấp dịch vụ y tế.

Khi khối lượng dữ liệu tải lên tăng lên, diện tích tiếp xúc với các cuộc tấn công cũng gia tăng theo. Thật không may, việc thu hẹp diện tích tiếp xúc với các cuộc tấn công không phải là một giải pháp khả thi, vì điều đó đồng nghĩa với việc phải quay trở lại các phương thức liên lạc lỗi thời. Một bước lùi như vậy là vô lý; nó còn khiến mọi hoạt động trở nên chậm chạp hơn và làm giảm đáng kể hiệu quả của việc chăm sóc bệnh nhân.

Nói chung, không phải là các cơ sở y tế thiếu hiểu biết về an ninh mạng.

Phần lớn là do thiếu hiểu biết hơn là do ác ý, các hệ thống này dựa vào các tính năng bảo mật tích hợp sẵn của nhà cung cấp dịch vụ đám mây hoặc các công cụ bảo mật bên ngoài nhằm bảo vệ một số khía cạnh cụ thể trong quy trình làm việc: các công cụ chống vi-rút, DLP, CASB (Cloud Security Brokers) hoặc các biện pháp kiểm soát bảo mật dành riêng cho đám mây.

Tuy nhiên, trong số tất cả các công cụ bảo mật đã được triển khai, chỉ có rất ít công cụ được thiết kế để bảo vệ hoàn toàn quá trình tải lên tệp tin.

• Các công cụ chống vi-rút chủ yếu phát hiện các mối đe dọa đã biết, do đó thường bỏ sót các phần mềm độc hại tinh vi hoặc loại zero-day ẩn trong các cấu trúc tệp phức tạp.
• DLP (Ngăn chặn rò rỉ dữ liệu) có thể xác định và che giấu dữ liệu nhạy cảm, nhưng không thể phát hiện hoặc vô hiệu hóa các mối đe dọa tiềm ẩn trong các tệp tin.
• Các giải pháp CASB tập trung vào kiểm soát truy cập và giám sát việc sử dụng, nhưng không thực hiện kiểm tra sâu hay làm sạch các tệp tin được tải lên.
• Các nhà cung cấp Cloud đảm bảo an toàn cho hạ tầng nhưng không chịu trách nhiệm về tính an toàn của nội dung tệp tin

Điều này dẫn đến một lỗ hổng nghiêm trọng tại giai đoạn tải lên.

Kẻ tấn công có thể lợi dụng lỗ hổng này để giấu mã độc trong các tệp trông vô hại, cấy phần mềm độc hại zero-day vào các tệp nén, hoặc sử dụng tính năng tải lên tệp được cài cắm mã độc để xâm nhập vào hệ thống.

Luật liên bang HIPAA quy định các tiêu chuẩn nghiêm ngặt trên toàn quốc về việc bảo vệ Thông tin Y tế Được Bảo vệ (PHI). Các bác sĩ, bệnh viện và công ty bảo hiểm đều phải tuân thủ các tiêu chuẩn này. 

Tuy nhiên, các tệp chứa thông tin y tế cá nhân (PHI) bị lộ hoặc chứa phần mềm độc hại ẩn thường xâm nhập vào hệ thống y tế thông qua các tệp được tải lên đám mây mà không qua kiểm tra. Thông tin y tế cá nhân (PHI) có thể bị lộ theo nhiều cách:

• Các trường tài liệu hiển thị
• Siêu dữ liệu nhúng
• Các lớp hình ảnh
• Vật phẩm ẩn

Phần mềm độc hại có thể được cài cắm trong các hóa đơn, mẫu đơn đồng ý hoặc tệp hình ảnh.

Nếu các tệp chứa thông tin y tế cá nhân (PHI) hoặc các tệp chứa phần mềm độc hại xâm nhập vào hệ thống y tế, điều đó sẽ dẫn đến vi phạm trực tiếp quy định HIPAA.

Vấn đề về tính minh bạch, theo yêu cầu của HIPAA, cũng là một vấn đề.

Khi các tệp đã được lưu trữ trên các nền tảng SaaS, các tổ chức thường mất khả năng theo dõi cách dữ liệu được truy cập, chia sẻ hoặc lưu trữ.

Việc thiếu sự minh bạch dẫn đến những lỗ hổng về tính bảo mật, tính toàn vẹn và tính sẵn sàng; đây đều là những yêu cầu cốt lõi của HIPAA.

Trên thực tế, các tổ chức thường không đánh giá và giảm thiểu được những rủi ro do các công nghệ mới gây ra, bao gồm cả việc xử lý tệp tin trên nền tảng đám mây, như đã được Văn phòng Quyền Công dân thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) nhấn mạnh.

Điều cần thiết là một phương pháp tiếp cận mạnh mẽ hơn đối với an ninh hệ thống tải lên, nhằm ngăn chặn rò rỉ thông tin y tế cá nhân (PHI), duy trì khả năng giám sát và phòng ngừa các vụ xâm nhập do phần mềm độc hại gây ra. Nếu thiếu đi điều này, các tổ chức sẽ phải đối mặt với những thách thức trong quá trình kiểm toán, vi phạm nghĩa vụ thông báo khi xảy ra vi phạm an ninh và mất niềm tin của bệnh nhân.

Khi hồ sơ y tế bị rò rỉ, những hệ lụy kéo theo không chỉ dừng lại ở việc lừa đảo tài chính đối với những người có dữ liệu bị đánh cắp.

Các hậu quả có thể xảy ra do việc đánh cắp dữ liệu y tế bao gồm: đánh cắp danh tính, yêu cầu bồi thường bảo hiểm gian lận hoặc truy cập trái phép vào đơn thuốc.

Điều tồi tệ hơn là, những vụ rò rỉ thông tin như vậy đã làm lộ ra những thông tin cực kỳ riêng tư. Việc xâm phạm quyền riêng tư này có thể khiến những người đang nhận dịch vụ chăm sóc sức khỏe tâm thần, dịch vụ sức khỏe sinh sản hoặc hỗ trợ điều trị lạm dụng chất gây nghiện phải đối mặt với nguy cơ bị kỳ thị, phân biệt đối xử và tổn thương tinh thần lâu dài.

Ngay cả những bệnh nhân có tiền sử bệnh lý bình thường cũng có thể mất niềm tin vào hệ thống y tế, khiến họ trì hoãn việc điều trị hoặc giấu giếm những thông tin quan trọng với các bác sĩ.

Tóm lại, việc khắc phục mọi lỗ hổng an ninh trong các tổ chức y tế đã trở thành một phần không thể thiếu của việc chăm sóc bệnh nhân toàn diện.

Trong những tình huống nghiêm trọng hơn, một cuộc tấn công bằng phần mềm tống tiền có thể chặn quyền truy cập vào các hồ sơ y tế quan trọng hoặc làm tê liệt các hệ thống then chốt, đe dọa tính mạng con người.

Điều này đã xảy ra vào năm 2017, với vụ tấn công WannaCry nhằm vào hệ thống của NHS. Vụ tấn công này đã dẫn đến việc hủy bỏ các ca phẫu thuật và chuyển hướng các xe cứu thương, một lần nữa chứng minh rằng các sự cố an ninh mạng có thể nhanh chóng leo thang thành các cuộc khủng hoảng y tế công cộng.

Do các cuộc tấn công mạng trong lĩnh vực y tế không chỉ ảnh hưởng đến chất lượng chăm sóc bệnh nhân mà còn đe dọa uy tín của tổ chức, các nhà cung cấp dịch vụ y tế hàng đầu đang điều chỉnh chiến lược an ninh mạng của mình.

Điều từng được coi là “một vấn đề về công nghệ thông tin”, vốn được giải quyết thông qua các hợp đồng với các nhà cung cấp bên thứ ba, giờ đây đã trở thành vấn đề liên quan đến an toàn của bệnh nhân.

Nếu việc bảo mật dữ liệu và kế hoạch điều trị của bệnh nhân là chìa khóa để mang lại dịch vụ chăm sóc bệnh nhân chất lượng cao, thì việc tải lên tệp tin không thể tiếp tục trở thành “điểm nóng” gây ra các vấn đề, nói một cách hình ảnh.

Việc tải lên Secure đòi hỏi nhiều lớp kiểm tra, và các tệp phải trải qua nhiều quy trình quét và phân tích trước khi được chấp nhận vào hệ thống đám mây.

Danh sách kiểm tra an ninh khi tải lên dữ liệu y tế bao gồm:

• Quét phần mềm độc hại trên nhiều nền tảng để nâng cao độ chính xác trong việc phát hiện
• CDR (Content Disarm & Reconstruction) để loại bỏ nội dung hoạt động mà không ảnh hưởng đến tệp 
• Kiểm tra sâu các tệp trước khi lưu trữ hoặc chia sẻ để phát hiện phần mềm độc hại có khả năng lẩn tránh hoặc tinh vi 
• Phát hiện (và che giấu) thông tin y tế cá nhân (PHI) và dữ liệu nhạy cảm trong các tệp tin 
• Việc thực thi chính sách tuân thủ các yêu cầu của HIPAA

Cách tiếp cận này biến việc tải lên từ những hoạt động vốn được tin tưởng một cách mù quáng thành các quy trình có thể kiểm soát và kiểm toán được.

MetaDefender Cloud hoạt động như một lớp bảo mật chuyên dụng cho việc tiếp nhận tệp tin trong lĩnh vực y tế.

Nó chặn và phân tích các tệp trước khi chúng được chuyển đến các nền tảng đám mây, hệ thống hồ sơ y tế điện tử (EHR) hoặc các hệ thống hợp tác.

Nền tảng này áp dụng công nghệ phát hiện phần mềm độc hại tiên tiến bằng cách sử dụng song song nhiều công cụ quét. Điều này giúp nâng cao khả năng phát hiện các mối đe dọa đã biết và chưa biết.

CDR loại bỏ các tập lệnh, macro và đối tượng nhúng khỏi các tài liệu y tế mà vẫn đảm bảo tính tiện dụng trong lâm sàng.

Việc kiểm tra dữ liệu nhạy cảm giúp giảm thiểu rủi ro rò rỉ thông tin y tế cá nhân (PHI) bằng cách xác định và che giấu nội dung nhạy cảm trước khi tệp tin được chia sẻ hoặc lưu trữ. Quá trình này cũng phân loại các loại dữ liệu nhạy cảm, từ đó quy định cách thức xử lý, lưu trữ và bảo vệ dữ liệu.

Tích hợpAPI cho phép MetaDefender Cloud tích hợp vào các quy trình xử lý tệp tin trong lĩnh vực y tế, bao gồm các cổng thông tin dành cho bệnh nhân, các nền tảng y tế từ xa và các hệ thống tiếp nhận dữ liệu của bên thứ ba.