Tất cả chúng ta ngày càng hiểu rõ về hành vi trộm cắp danh tính trực tuyến.
Không có quá nhiều ngày trôi qua mà không có thông tin về một doanh nghiệp lớn bị một số hình thức vi phạm dữ liệu; chúng tôi không phải lúc nào cũng nghe về mức độ nghiêm trọng, trừ khi nó liên quan đến lượng dữ liệu khách hàng đáng kể. Tương tự như vậy, chúng tôi xử lý hồ sơ chăm sóc sức khỏe của mình một cách bình đẳng về quyền riêng tư. Chúng chứa thông tin cá nhân, nhạy cảm có thể bị kẻ xấu sử dụng chống lại chúng tôi.
Từ lâu, chúng tôi đã biết và hiểu sự cần thiết của quyền riêng tư liên quan đến hồ sơ y tế, và may mắn là các bác sĩ và y tá của chúng tôi đã tuyên thệ bảo vệ quyền riêng tư đó. Trong thế giới được điều khiển bởi giấy tờ như vậy, việc truy cập trái phép vào hồ sơ y tế sẽ được thực hiện bằng tay hoặc một công việc nội bộ.
Nhưng giờ đây, ngành y tế toàn cầu đã được số hóa, và hồ sơ của chúng tôi cũng vậy. Có rất nhiều lợi ích khi có một hồ sơ y tế được số hóa, nhưng liệu việc đưa dữ liệu cá nhân của bạn vào tầm ngắm có đáng không?
Trộm cắp thông tin nhận dạng y tế
Không có nghi ngờ gì về hành vi trộm cắp danh tính y tế đang gia tăng. Những kẻ lừa đảo thường tìm kiếm thông tin ngân hàng và chi tiết tài khoản trực tuyến đang ngày càng chuyển sang hồ sơ y tế. Tại sao? Chà, đối với một người, chúng chứa đầy những thông tin cá nhân nhất liên quan đến thứ mà tất cả chúng ta đều yêu quý:cuộc sống của chúng ta.
Hồ sơ y tế của bạn lưu giữ tất cả thông tin cá nhân của bạn:tên, địa chỉ, ngày sinh, số an sinh xã hội (hoặc số tương đương) và trong một số trường hợp, nó sẽ chứa thông tin thanh toán và chi tiết thẻ tín dụng hoặc thẻ ghi nợ. Điều này rõ ràng làm cho hồ sơ y tế rất có giá trị - có giá trị hơn chi tiết tài khoản ngân hàng của bạn (tốt, tùy thuộc vào số 0 trong tài khoản của bạn!).
Việc tin tặc dễ dàng truy cập hồ sơ y tế khiến chúng trở thành mục tiêu hấp dẫn hơn. Mặc dù biết trước nhiều năm rằng hồ sơ y tế sẽ được số hóa, nhiều cơ sở y tế không có cách nào được trang bị để đối phó với mối đe dọa toàn diện của tội phạm mạng. Do đó, không có gì ngạc nhiên khi tỷ lệ các tổ chức chăm sóc sức khỏe của Hoa Kỳ báo cáo các cuộc tấn công tiềm ẩn đã tăng từ 20% trong năm 2009 lên 40% vào năm 2013. Riêng trong năm 2015, chúng tôi đã chứng kiến 108,8 triệu hồ sơ cá nhân được báo cáo chính thức vi phạm trong năm tổ chức chăm sóc sức khỏe riêng biệt; mỗi tổ chức báo cáo máy chủ mạng của họ đã bị xâm phạm:
N.B: Bảng trên mô tả các cá nhân bị ảnh hưởng hàng triệu.
Chúng ta có thể mong đợi điều gì?
Bên cạnh vấn đề rõ ràng về tiền sử bệnh tật của bạn rơi vào tay người khác không rõ, một bóng ma khác còn hiện ra rất lớn. Những tiến bộ gần đây trong phần cứng y tế không có gì là kỳ diệu, nhưng chúng đi kèm với một sự khác biệt đáng kể so với tiền thân của chúng:tình trạng nối mạng của chúng. Nhiều thiết bị hiện được kết nối với mạng bệnh viện, tạo cơ hội cho tin tặc truy cập trực tiếp vào một số thiết bị nhất định.
Trong một báo cáo thực sự đáng kinh ngạc có tiêu đề ' Dự đoán năm 2016:Việc phòng ngừa an ninh mạng 'chúng tôi dự đoán rằng năm 2016 sẽ bắt đầu có thiết bị y tế bị ảnh hưởng bởi ransomware.
Rủi ro đến từ việc thiếu kiến thức cơ bản về an ninh mạng. Năm 2012, Scott Erven, khi đó là Giám đốc An ninh Thông tin của Essentia Health (hiện là Phó Giám đốc tại Protoviti) được giao nhiệm vụ đánh giá tính bảo mật cho một chuỗi lớn các cơ sở chăm sóc sức khỏe vùng Trung Tây. Trong số danh sách các vấn đề được nêu ra, rõ ràng là các cơ sở y tế vẫn đang sử dụng mật khẩu mạng được mã hóa cứng như "admin" hoặc "1234", chứng thực các báo cáo trước đó và ICS-ALERT-13-164-01, nơi các nhà nghiên cứu Billy Rios và Terry McCorkle của Cylance đã báo cáo khoảng 300 thiết bị y tế vẫn sử dụng mật khẩu được mã hóa cứng.
Các bước xác thực cơ bản này đang tạo ra các vấn đề bảo mật lớn có thể dễ dàng tránh được, hoặc ít nhất là làm cho nhiệm vụ khó hơn đối với những kẻ tấn công. Tốt nhất, chúng ta sẽ thấy sự gia tăng tống tiền.
Tệ nhất là mọi người chết.
MEDJACK
TrapX, một công ty an ninh mạng dựa trên lừa dối, đã xác định một làn sóng tấn công rộng rãi vào các cơ sở y tế, chủ yếu nhắm vào các thiết bị y tế của bệnh viện. Tại ba bệnh viện riêng biệt, TrapX phát hiện thấy "sự xâm phạm sâu rộng của nhiều loại thiết bị y tế bao gồm thiết bị X-quang, hệ thống lưu trữ hình ảnh và thông tin liên lạc (PACS) và máy phân tích khí máu (BGA)."
Tuy nhiên, đây không phải là giới hạn của vector tấn công MEDJACK. TrapX tin tưởng (yêu cầu đăng ký):
"có nhiều thiết bị khác thể hiện mục tiêu cho MEDJACK. Điều này bao gồm thiết bị chẩn đoán (máy quét PET, máy quét CT, máy MRI, v.v.), thiết bị điều trị (máy bơm truyền dịch, laser y tế và máy phẫu thuật LASIK) và thiết bị hỗ trợ sự sống (tim - máy phổi, máy thở y tế, máy oxy hóa màng ngoài cơ thể và máy lọc máu) và nhiều hơn nữa. "
Báo cáo giải thích rằng nhiều thiết bị y tế đang được khai thác là thiết bị hệ thống đóng, chạy hệ điều hành lỗi thời như Windows 2000 hoặc Windows XP. Hệ điều hành thường bị sửa đổi và có đầy các lỗ hổng bảo mật, tạo ra một lỗ hổng lớn trong hệ thống mạng của bất kỳ bệnh viện nào. Trong hầu hết các trường hợp, nhân viên y tế sử dụng và triển khai các thiết bị này không có quyền truy cập vào hoạt động bên trong, có nghĩa là họ hoàn toàn phụ thuộc vào nhà sản xuất để cài đặt và cập nhật tường bảo mật kiên cường - và nó hiện không xảy ra.
Nó cũng không chỉ giới hạn ở một vài bệnh viện. Với nhiều nhà sản xuất cung cấp hàng loạt thiết bị cho các cơ sở y tế trên toàn cầu, rất khó để xác định chính xác vị trí lỗ hổng tiếp theo sẽ lộ ra.
Ví dụ, khi FDA đưa ra khuyến nghị cho các nhà sản xuất thắt chặt an ninh đối với thiết bị y tế, Bộ An ninh Nội địa (DHS) đã tiết lộ cuộc điều tra đang diễn ra của họ đối với 24 trường hợp nghi ngờ có lỗi an ninh mạng, bao gồm "một máy bơm truyền dịch từ Hospira Inc. và tim cấy ghép thiết bị của Medtronic Inc. và St Jude Medical Inc. "
Cuộc điều tra của DHS vẫn tiếp tục.
Bán Hồ sơ Y tế
Mặc dù không nguy hiểm đến tính mạng như thiết bị y tế bị tấn công, nhưng hồ sơ y tế tư nhân ngày càng được bán cho các công ty khai thác dữ liệu, đôi khi cùng với mã zip để làm cho dữ liệu hữu ích hơn và do đó có giá trị hơn.
Tuy nhiên, một khi dữ liệu đã rời khỏi cơ sở y tế, nó sẽ làm tăng khả năng thông tin của bạn rơi vào tay bất chính. Ngay từ tháng 8 năm 2013, có tới 11 cơ quan y tế đã bắt đầu hoặc đã tiến hành đánh giá chính sách thu thập dữ liệu, bao gồm cả quá trình bán dữ liệu diễn ra như thế nào và trách nhiệm nào nên được thực hiện đối với các công ty khai thác dữ liệu.
Marc Probst, giám đốc thông tin của Intermountain Healthcare, Thành phố Salt Lake, cho biết "Lý do duy nhất để mua dữ liệu đó là để họ có thể lập hóa đơn gian lận" các hồ sơ y tế tương ứng với hy vọng ai đó hoảng sợ và trả tiền. Việc sử dụng gian lận hồ sơ y tế này, (cùng với hồ sơ y tế bị đánh cắp ngay từ đầu, bảo mật lỏng lẻo được tìm thấy trong vô số cơ sở và những nỗ lực không ngừng để cung cấp an ninh mạng tổng thể tốt hơn cho toàn bộ ngành chăm sóc sức khỏe) là một trong nhiều chi phí được giao trực tiếp cho Công dân Mỹ thông qua phí bảo hiểm chăm sóc sức khỏe của họ.
Bạn có thể dừng lại được không?
Rất tiếc, trong trường hợp hồ sơ y tế số hóa do nhà cung cấp dịch vụ chăm sóc sức khỏe trực tiếp nắm giữ - chúng tôi không thể làm gì nhiều về việc này.
Nhà cung cấp giữ dữ liệu của bạn và ngay cả khi bạn yêu cầu một bản sao (có thể tương đối đắt), nhà cung cấp của bạn rất khó có khả năng xóa hồ sơ của bạn theo ý thích. Ai mà biết được khi nào bạn có thể bị đưa vào phòng cấp cứu, chỉ để biết rằng họ không có thông tin y tế nào liên quan đến việc bạn bị dị ứng với penicillin.
Một biện pháp chủ động là thiết lập hệ thống cảnh báo với DataLossDB.org, một trang web tổng hợp thông tin chi tiết về càng nhiều vi phạm dữ liệu càng tốt. Một chiến lược giảm thiểu khác có thể bao gồm giám sát báo cáo tín dụng của bạn - nhưng điều này thường phát sinh phí hàng tháng. Tuy nhiên, bạn chắc chắn sẽ nhận thấy nếu xếp hạng của bạn giảm dần và có thể bắt kịp trước khi không thể khôi phục được. Nếu bạn nhận thấy bất kỳ điều gì đặc biệt bất chính và nắm bắt kịp thời, bạn có thể đưa ra cảnh báo gian lận, chặn mọi yêu cầu tín dụng mới hoặc tài khoản được mở bằng tên của bạn trong 90 ngày.
Khó có thể chủ động bảo mật hồ sơ y tế như bạn đối với các chi tiết ngân hàng của mình, nhưng điều đó không có nghĩa là bạn phải ngồi lại và chờ đợi.
Lo lắng về gian lận trong chăm sóc sức khỏe? Bạn đã bị đánh cắp hồ sơ y tế của mình chưa? Hoặc bạn có thực hành bảo mật nào? Hãy cho chúng tôi biết bên dưới!