Theo báo cáo từ hãng bảo mật Trend Micro, tội phạm mạng đã tấn công vào rất nhiều tổ chức y tế trên thế giới, với hơn 113 triệu đĩa dữ liệu đã bị đánh cắp chỉ tính riêng tại Mỹ trong năm 2015.
Dữ liệu từ các tổ chức y tế thế giới đang là mục tiêu của nhiều tin tặc
Năm 2015 có thể được xem là năm nổi bật cho các hành vi vi phạm dữ liệu y tế, chủ yếu vì các cuộc tấn công mang tính bước ngoặt vào 3 nhà cung cấp hàng đầu tại Mỹ là Excellus Health Plan, Premera Blue Cross và Anthem.
Mặc dù mức độ vi phạm đã lắng xuống kể từ đó nhưng số lượng hồ sơ y tế điện tử (EHR) bị đánh cắp cũng đã đạt đến 14 triệu vào năm 2016.
Dữ liệu EHR rất được quan tâm bởi vì nó chứa các dữ liệu y tế, bảo hiểm cũng như các thông tin tài chính của bệnh nhân. Tội phạm mạng có thể phân tích dữ liệu này và bán nó riêng rẽ hoặc dưới dạng tổng hợp. Một số dịch vụ mà tin tặc có thể lợi dụng từ EHR bao gồm thông tin đơn thuốc cho việc mua sắm thuốc, tạo ra giấy khai sinh giả, gian lận trong khai thuế…
Nhưng có một thực tế đáng lo ngại là những cơ quan quản lý dữ liệu EHR không đầu tư vào lĩnh vực an ninh, bao gồm xác thực hai yếu tố, mã hóa dữ liệu… dẫn đến việc tạo ra lỗ hổng bảo mật để tội phạm mạng khai thác. Mặc dù hiệp hội chăm sóc sức khỏe CISO đang cố gắng chống lại các mối đe dọa, tuy nhiên công việc này bị ảnh hưởng do môi trường làm việc không đồng nhất, đặc biệt khi nhiều tổ chức vẫn đang hoạt động trên các hệ thống như Windows XP.
Cũng theo Trend Micro, cuộc tấn công vào các tổ chức y tế sẽ tiếp tục được mở rộng trong năm 2017 do xu hướng sử dụng Internet of Things (IOT). Theo đó, các thiết bị y tế thông minh đặt ở khắp mọi nơi, nhưng nhiều trong số đó không được đảm bảo an ninh khiến chúng trở thành mục tiêu hoàn hảo cho tin tặc. Không chỉ vậy, các thiết bị IOT cũng có thể được sử dụng trong các cuộc tấn công DDoS như đã thấy với botnet Mirai.
Cuối cùng, báo cáo nói rằng HCO và EHR đang là mục tiêu của nhiều cuộc tấn công khác nhau, nhưng họ cũng đối mặt với các mối đe dọa ngày càng tăng gây ra bởi các thiết bị y tế tiếp xúc. Chính vì vậy, nhằm phòng tránh rủi ro, các tổ chức này cần hiểu rõ hơn về tầm quan trọng của việc nâng cao vấn đề an ninh trên các hệ thống của mình.
