Nâng cao nhận thức bảo mật trong hoạt động cấy ghép

(02/08/2018)
Dưới áp lực của các cuộc tấn công ngày càng tinh vi, thiết bị y tế an ninh mạng sẽ trở thành một lĩnh vực chuyên biệt quan trọng cho các tổ chức y tế nghiên cứu trong những năm tới.

Năm 2007, các bác sĩ của cựu phó tổng thống Dick Cheney đã ra lệnh cho nhà sản xuất vô hiệu hóa tính năng không dây của máy khử rung tim được sử dụng cho ông. Bác sĩ tim mạch của Cheney lo ngại rằng bọn khủng bố có thể tấn công thiết bị và khiến cho trái tim của phó tổng thống chịu một cú sốc dẫn đến tử vong.

Cho dù tắt tính năng không dây của thiết bị cấy ghép là một hành động thận trọng hay hoang tưởng thì là vấn đề nằm ở quan điểm, nhưng đã hơn một thập kỷ, sự an toàn của các thiết bị y tế có kết nối mạng là một mối quan tâm nghiêm túc vì nhiều lý do. Các mối quan tâm đang ngày càng gia tăng khi các thiết bị được thiết kế để thu thập và báo cáo số lượng dữ liệu ngày càng phát triển, mà phần lớn dữ liệu được thu thập và truyền đi bằng phần mềm có sẵn và phổ biến khá rộng rãi.

Mối quan tâm lớn nhất không phải là cuộc tấn công nguy hiểm vào từng bệnh nhân mà là các dữ liệu tin tặc khai thác từ các thiết bị cấy ghép phần lớn nhằm mục đích hướng vào các lợi ích tài chính.

Những dữ liệu bị tấn công có thể là thông tin có giá trị thương mại, chẳng hạn như dữ liệu hiệu suất trên các sản phẩm của đối thủ cạnh tranh. Dữ liệu này có thể được sử dụng để khai thác các điểm yếu trong tiếp thị của đối thủ hoặc được sử dụng để sửa đổi các dịch vụ của riêng công ty.

Các thiết bị được nối mạng cung cấp phản hồi về một loạt dữ liệu bệnh nhân như huyết áp, hô hấp, nồng độ men trong máu và các tình trạng sức khỏe khác. Các công ty bảo hiểm phát hành chính sách bảo hiểm nhân thọ thường mua thông tin này – tổng hợp lại bởi bên thứ ba có nguồn gốc hợp pháp rõ ràng - để đánh giá khách hàng về bảo hiểm và đặt phí bảo hiểm.

Những đối tượng bị tấn công có thể bao gồm những người khỏe mạnh mà đang sử dụng các thiết bị cấy ghép nhằm kiểm soát sinh sản và thậm chí cả những người dùng của các thiết bị thể dục cá nhân như trang phục thể thao, quần áo của các hãng phổ biến hiện nay như Fitbits. Những sản phẩm tập thể dục này có thể cung cấp một lượng lớn dữ liệu sinh trắc học cá nhân nhưng không phải tuân theo quy định của liên bang.

Ngoài ra, một mối quan tâm ngày càng tăng khác không liên quan gì đến việc tấn công dữ liệu, nhưng lại là kết quả tự nhiên của thế giới siêu kết nối của chúng ta. Đó chính là nguồn năng lượng vô tuyến lành tính như hệ thống Wi-Fi và mạng lưới bệnh viện đã kết hợp để can thiệp vào các thiết bị y tế.

Phản ứng lại những lo ngại này, FDA đã ban hành hướng dẫn về an ninh mạng cho thiết bị y tế, đặc biệt liên quan đến các thiết bị sử dụng phần mềm có sẵn. Đại diện Trung tâm thiết bị và sức khỏe phóng xạ tuyên bố rằng "bất cứ khi nào xuất hiện một lỗ hổng bảo mật không gian mạng thì phần mềm có cơ hội để truy cập trái phép vào mạng hoặc thiết bị y tế."

Theo quan điểm của FDA, phần lớn trách nhiệm đảm bảo an ninh đều nằm trong tay các nhà sản xuất thiết bị. Tuy nhiên, cơ quan này thu phí các bệnh viện và cơ sở chăm sóc sức khỏe với việc đánh giá an ninh mạng của họ và bảo vệ hệ thống bệnh viện của họ.

Những điều luật liên bang đang chờ thông qua cũng sẽ yêu cầu mã hóa các biện pháp bảo vệ dữ liệu thiết bị y tế. Mùa hè năm ngoái, Thượng nghị sĩ Richard Blumenthal của Bang Connecticut đã giới thiệu Đạo luật an ninh mạng thiết bị y tế năm 2017. Blumenthal trích dẫn các cuộc tấn công bằng mã độc cao cấp gần đây và một số vi phạm quyền riêng tư cá nhân quy mô lớn để nhấn mạnh các thiết bị y tế bị tấn công như thế nào.

Theo ictvietnam

Tin khác