Kiểm tra mở port
Tính dung lượng ghi hình
Tính góc quan sát
Trình tạo và Giải mã QR DMSS
Super Password
Kiểm tra bảo hành
Trắc nghiệm CCTV
Tìm kiếm Facebook
Ngày nay, các bệnh viện và cơ sở y tế đang ngày càng trở nên kết nối dưới mô hình IoMT (Internet of Medical Things – Internet Vạn Vật Y Tế). Mặc dù các thiết bị kết nối có thể nâng cao chất lượng chăm sóc bệnh nhân, chúng cũng đặt ra những lo ngại nghiêm trọng về an ninh mạng. Bài viết này sẽ đi sâu vào một số thách thức an ninh mạng mà các bệnh viện đang đối mặt và cách thức giải quyết chúng, dựa trên cuộc phỏng vấn với Shankar Somasundaram, CEO của Asimily.
Các bệnh viện trên toàn cầu ngày càng phụ thuộc vào các thiết bị kết nối để cải thiện hiệu quả và chất lượng chăm sóc. Các thiết bị theo dõi dấu hiệu sinh tồn của bệnh nhân có thể cảnh báo ngay lập tức cho nhân viên y tế khi có điều bất thường. Các trường hợp bệnh nhân té ngã cũng có thể được xử lý nhanh chóng khi được phát hiện bằng camera nhiệt hoặc radar.
“Có một loạt các thiết bị kết nối mạng đặc biệt rộng lớn trong các cơ sở y tế, và việc triển khai vẫn tiếp tục tăng tốc,” Somasundaram cho biết. “Ở phía bệnh nhân, bạn có bơm truyền dịch, hệ thống theo dõi bệnh nhân, máy thở và hệ thống hình ảnh như máy MRI và thiết bị siêu âm. Nhưng ngoài các thiết bị lâm sàng này, bệnh viện còn vận hành camera an ninh kết nối, đầu đọc thẻ, điều khiển HVAC, v.v. Một bệnh viện trung bình có khoảng 30 thiết bị kết nối cho mỗi giường bệnh, vì vậy bạn đang nhìn thấy hàng ngàn hệ thống IoT, OT và IoMT hội tụ trên một mạng lưới duy nhất.”
Rủi ro và Hậu quả An ninh
Mặc dù các thiết bị IoMT có thể mang lại lợi ích cho bệnh viện, chúng cũng có thể bị các tác nhân thù địch lợi dụng làm công cụ để phát động nhiều loại tấn công khác nhau, ví dụ như tấn công ransomware.
“Ransomware vẫn là một trong những mối đe dọa lớn nhất đối với hệ thống bệnh viện hiện nay. Kẻ tấn công hiểu rằng ngành này phải đối mặt với áp lực rất lớn để khôi phục hoạt động nhanh chóng vì thời gian ngừng hoạt động ảnh hưởng trực tiếp đến kết quả của bệnh nhân, điều này khiến họ có nhiều khả năng trả tiền chuộc hơn. Trong khi các chiến dịch lừa đảo (phishing) nhắm vào nhân viên bệnh viện vẫn là một vector truy cập ban đầu phổ biến, các thiết bị y tế kết nối hoặc thiết bị IoT hoặc OT ngày càng đóng vai trò là điểm vào. Nhiều thiết bị IoMT/IoT/OT như vậy chạy hệ điều hành cũ không thể nhận các bản vá và chưa bao giờ được thiết kế với yếu tố bảo mật là ưu tiên hàng đầu,” Somasundaram nói. “Các cuộc tấn công DDoS nhắm vào mạng bệnh viện cũng xảy ra, mặc dù thường ít thường xuyên hơn ransomware.”
Theo Somasundaram, một khi một cuộc tấn công xảy ra, hậu quả có thể khá nghiêm trọng.
“Theo Viện Ponemon, chi phí trung bình để phục hồi sau một cuộc tấn công mạng trong lĩnh vực chăm sóc sức khỏe hiện là 4,4 triệu đô la Mỹ khi tính cả chi phí trực tiếp và doanh thu bị mất,” Somasundaram cho biết.
Nhưng tác động tài chính chỉ là một phần của bức tranh. “Khi hệ thống bệnh viện ngừng hoạt động, nhân viên lâm sàng buộc phải quay lại quy trình làm việc dựa trên giấy tờ, điều này làm chậm việc cung cấp dịch vụ chăm sóc vào đúng thời điểm mà tốc độ là quan trọng nhất,” Somasundaram nói thêm. “Sau đó là khía cạnh pháp lý. Các bệnh viện phải đối mặt với các nghĩa vụ đáng kể theo HIPAA, và một vụ vi phạm làm lộ dữ liệu bệnh nhân có thể dẫn đến các khoản tiền phạt lớn và các cuộc kiểm toán bắt buộc, ngoài chi phí phục hồi.”
Thách thức đối với các nhà điều hành bệnh viện
Do đó, điều quan trọng là các mối đe dọa mạng này phải được giải quyết đúng cách. Tuy nhiên, khi thực hiện điều này, các nhóm an ninh bệnh viện phải đối mặt với nhiều thách thức khác nhau. Một trong số đó là khả năng hiển thị. Trên thực tế, theo khảo sát của Asimily, 43% giám đốc an ninh thông tin (CISO) của bệnh viện coi việc thiếu khả năng hiển thị thiết bị hoàn chỉnh là thách thức hàng đầu mà họ muốn giải quyết trước tiên.
“Trong hầu hết các bệnh viện… các nhóm mua sắm và cơ sở vật chất chịu trách nhiệm mua sắm và triển khai các thiết bị IoT và OT. Các nhóm an ninh thường chỉ phát hiện ra sau khi một thiết bị mới được thêm vào mạng. Thường không có quy trình tiêu chuẩn yêu cầu bàn giao thông tin thiết bị tại thời điểm triển khai, và điều đó ngày càng rủi ro,” Somasundaram nói.
Ông nói thêm: “Vấn đề hiển thị càng trở nên sâu sắc hơn khi bạn tính đến các kỹ thuật viên bên thứ ba, điều mà hầu hết các hệ thống chăm sóc sức khỏe đều sử dụng. Các nhà cung cấp kỹ thuật y sinh hoặc lâm sàng hoặc kỹ thuật viên dịch vụ thường xuyên đến cơ sở để bảo trì hoặc cập nhật thiết bị, và họ không phải lúc nào cũng thông báo các thay đổi cấu hình cho nhóm an ninh.”
Sau đó là vấn đề quá tải dữ liệu, như khảo sát của Asimily chỉ ra 20% CISO coi quá tải dữ liệu là rào cản lớn nhất trong quản lý rủi ro thiết bị.
“Khi bạn có hàng trăm nghìn thiết bị kết nối tạo ra lưu lượng mạng đồng thời, khối lượng tín hiệu đổ vào một bảng điều khiển bảo mật trở nên không thể quản lý được nếu không có bộ lọc thông minh,” Somasundaram nói, và ông cũng khuyến nghị các giải pháp lọc bỏ các cảnh báo thô và chỉ tiếp nhận các tín hiệu có thể hành động.
“Các cảnh báo thô là đầu ra không được lọc của hoạt động đó. Chúng có khối lượng lớn với ngữ cảnh thấp, và chúng yêu cầu một nhà phân tích bảo mật phải tự xác định xem liệu có điều gì cần điều tra hay không. Các tín hiệu có thể hành động là những gì bạn nhận được khi bạn chồng lớp ngữ cảnh thiết bị, cấu trúc liên kết mạng và các đường cơ sở hành vi. Vì vậy, thay vì chỉ thấy một cảnh báo chung chung về lưu lượng bất thường, một nhóm an ninh thấy rằng một bơm truyền dịch hoặc camera IP cụ thể trên một tầng cụ thể đã khởi tạo giao tiếp với một IP bên ngoài không khớp với bất kỳ nhà cung cấp hoặc máy chủ cập nhật nào đã biết, và thiết bị đang được đề cập có một lỗ hổng đã biết phù hợp với một khai thác được công bố gần đây. Biết chi tiết đó, bạn hành động ngay lập tức,” ông nói.
Somasundaram cũng đề cập đến tầm quan trọng của phân đoạn mạng, đây là một biện pháp phòng thủ mạnh mẽ chống lại các cuộc tấn công mạng. “Khi các thiết bị được phân đoạn đúng cách, một bơm truyền dịch bị xâm nhập trên một tầng không thể giao tiếp với một máy trạm quản trị hoặc một hệ thống EHR trên tầng khác, hoặc một camera IP hoặc hệ thống HVAC không thể được sử dụng để truy cập một máy chủ chứa dữ liệu bệnh nhân. Điều đó làm giảm đáng kể bán kính ảnh hưởng của một cuộc tấn công,” Somasundaram nói.
Giải pháp của Asimily
Đây là lúc giải pháp của Asimily phát huy tác dụng. Là một nền tảng quản lý tài sản và rủi ro mạng, Asimily cho phép lọc thông minh, tạo điều kiện phân đoạn mạng và cung cấp cho các nhóm an ninh một cái nhìn thống nhất về mọi thiết bị kết nối được triển khai trong môi trường IoMT.
“Nền tảng này khám phá và lập danh mục mọi thiết bị bằng cách sử dụng giám sát mạng, phân tích dựa trên giao thức, kiểm tra gói sâu, phân tích lưu lượng dựa trên AI và ML, API và truy vấn dựa trên giao thức. Các nhóm an ninh có được một bức tranh hoàn chỉnh, liên tục cập nhật về những gì trên mạng của họ mà không cần phải dựa vào các quy trình nhập thủ công hoặc bàn giao giữa các phòng ban,” Somasundaram nói.
“Nền tảng của chúng tôi cũng trực tiếp giải quyết vấn đề phân đoạn mạng và vi phân đoạn, tạo ra các khuyến nghị phân đoạn dựa trên hành vi thiết bị thực tế được quan sát,” ông tiếp tục. “Asimily cũng tích hợp các khả năng phát hiện và phản ứng mối đe dọa, trang bị cho các nhóm khả năng giám sát hành vi bất thường và các quy tắc thiết bị có thể nắm bắt các mối đe dọa tiềm tàng. Với chức năng này, Asimily đảm bảo rằng các nhóm có ngữ cảnh mạng và hiểu hành vi thiết bị bình thường, để thời gian hạn chế của họ được sử dụng hiệu quả.”
