Bảo đảm ATTT bằng biện pháp quản lý truy cập đặc quyền trong Y tế

Joseph Carson, nhà cố vấn, chuyên gia an ninh mạng đến từ Thycotic Centrify đã đưa ra những thảo luận, quan điểm của mình về các phương pháp hiệu quả nhất để đảm bảo an toàn dữ liệu cho ngành Y tế trong bối cảnh rủi ro mất An toàn thông tin hiện nay.


Các tổ chức Y tế luôn được xem là “con mồi ngon” của hàng loạt nhóm tất công có chủ đích trên thế giới. Bởi, hệ thống thông tin lưu trữ trong ngành Y bao gồm đa dạng các loại dữ liệu cá nhân nhạy cảm và quan trọng bậc nhất để xác định danh tính như số chứng minh công dân, địa chỉ, thông tin liên lạc, thậm chí là cả những dữ liệu về tình trạng sức khoẻ tâm lý, cơ thể.


Trong giai đoạn dịch bệnh COVID-19, lợi dụng việc các tổ chức Y tế luôn trong tình trạng quá tải, hacker đã gia tăng thực hiện các cuộc tấn công vào máy chủ, thư điện tử, thiết bị đầu cuối. Từ đó chiếm quyền điều khiển và thực hiện các hành vi trục lợi từ dữ liệu “ăn cắp” được.


Hơn thế nữ, chúng ta có thể nhận định rằng “tiết diện” tấn công vào toàn bộ chuỗi cung ứng của ngành Y tế đã và đang trở nên lan rộng, gia tăng mức độ nguy hiểm hơn bao giờ hết. Nhu cầu tăng vọt (surge demand) dẫn đến việc bắt buộc các tổ chức Y tê phải liên kết với nhiều bên thứ 3 để cùng cộng hưởng cung ứng dịch vụ.

Công tác bảo đảm an toàn dữ liệu Y tế trong thời kỳ trước đó

Vào những năm 1990, hồ sơ bệnh nhân được lưu trữ hoàn toàn thủ công, ghi chép trên giấy, cất giữ trong các hàng dài tài liệu trên giá sách. Mọi thay đổi, bổ sung cũng được thực hiện bằng “cơm” thay vì máy móc tiên tiến hiện nay. Cũng chính vì vậy, việc lưu trữ thông tin trở nên không hiệu quả, bị quá tải và rất dễ xảy ra những sai sót.


Thời điểm ấy, việc kiểm soát quyền truy cập thông tin dường như không tồn tại, không có khái niệm về ngăn chặn truy cập trái phép. Tuy nhiên, một “điểm sáng le lói” duy nhất là các dữ liệu này yêu cầu truy cập vật lý. Hay nói cách khác, bạn phải mở được cánh cửa “vật lý” vào “thư phòng” thì mới tiếp cận được thông tin.
Sự số hoá trong lưu trữ Y tế manh nha xuất hiện ở một vài quốc gia vào năm 1991. Đây được xem như cuộc Cách mạng, sự cải tiến mang tính “cứu dỗi” cả ngành Y. Tuy nhiên, các nhà điều hành trong tổ chức Y tế lại phải đau đầu đối điện với thách thức mới chưa từng có mang tên: An ninh mạng, bảo toàn dữ liệu cũng như kiểm soát truy cập đặc quyền.

Đảm bảo An toàn dữ liệu Y tế trong thời kỳ chuyển đổi số

Làn sóng chuyển đổi số và số hóa cùng với những hiệu quả của nó đã khiến cả ngành Y tế chuyển sang trang mới trong quản lý thông tin bệnh nhân. Hầu hết bệnh án đều được lưu trữ trên nền tảng điện toán đám mây hay trung tâm dữ liệu thuộc hệ thống của tổ chức. Trong bối cảnh các cuộc tấn công mạng vào hệ thống của các tổ chức Y tế ngày càng gia tăng về số lượng cũng như tính tinh vi của phương thức và hệ quả nặng nề, ngành Y tế đòi hỏi luôn cập nhật và được trang bị công cụ, giải pháp đảm bảo An toàn thông tin tiên tiến, toàn diện nhất.


Các giải pháp kiểm soát truy cập đặc quyền có vai trò vô cùng quan trọng trong bảo mật dữ liệu cho ngành Y hiện nay. Hầu hết các hệ thống kiểm soát truy cập hiện đại đều dựa trên vai trò, trong đó quyền truy cập vào các hệ thống nhất định được ủy quyền và chỉ định dựa trên chức năng công việc của người dùng và mỗi người dùng chỉ được cấp đủ quyền để thực hiện vai trò của họ.

Ngoài ra, bên cạnh sức mạnh của công nghệ bảo mật thì ý thức và kiến thức của đội ngũ nhân lực ngành Y về bảo mật cũng rất quan trọng. Các tổ chức cần đẩy mạnh hơn nữa các chương trình đào tạo, diễn tập và truyền thông nội bộ các kỹ năng cần thiết cũng như hiểu biết cơ bản để đảm bảo an toàn dữ liệu trong tổ chức. An toàn thông tin không chỉ là công việc, trách nhiệm của đội ngũ kỹ thuật chuyên trách mà mỗi cá nhân cần ý thức được điều này. Bắt đầu từ những việc nhỏ nhất như không click vào đường link, tập tin lạ, không cung cấp mật khẩu cho người khác, lock màn hình khi rời vị trí,...

Nguồn: Threat post