Tiềm tàng nguy cơ thiết bị y tế bị tấn công bảo mật

Tiềm tàng nguy cơ thiết bị y tế bị tấn công bảo mật

Bệnh viện và các nhà sản xuất thiết bị y tế cần phải hành động nhiều hơn để phát hiện và ngăn chặn những cuộc tấn công đến từ Internet nhắm vào thiết bị đầu cuối.

Thiết bị y tế cấy vào cơ thể  được dự báo sẽ tăng khoảng 7 , 7% năm 2015 , và hơn 2 , 5 triệu người đã và đang sử dụng để điều trị nhiều bệnh khác nhau theo một nghiên cứu của Freedonia Group. Thiết bị y tế được sử dụng trong điều trị bệnh lý được xem là có hệ thống an ninh bảo mật rất kém và dễ bị tổn thương bởi các cuộc  tấn công mạng .

Lỗ hổng bảo mật trên các thiết bị cấy trong người có thể bị tấn công dễ dàng

Thiếu bảo mật cơ bản

Thiết bị y tế hiện nay hỗ trợ tất cả mọi thứ kết nối từ Wi-Fi với Bluetooth với hy vọng nâng cao hiệu quả trong việc trao đổi thông tin của bệnh nhân và bác sĩ. Tuy nhiên , những thiết bị này không được bảo vệ đúng cách và hầu hết được sử dụng với cấu hình mặc định , ví dụ như mật khẩu “password” hoặc “admin” , điều này có thể khiến chúng ta lo ngại việc  thiết bị y tế của mình dễ dàng bị tấn công.

Trung tâm Ứng cứu Khẩn cấp Hệ thống Điều khiển Công nghiệp Mỹ ( ICS-CERT ) đã ra một báo cáo chỉ ra 300  thiết bị y tế  của hơn 40 bệnh viện đã không thay đổi mật khẩu mặc định. Một trong những lý do chính của việc ngại thay đổi mặc định là có thể gây phiền phức với người sử dụng thiết bị. Nếu kẻ tấn công có được danh sách mật khẩu này thì trên lý thuyết thì có thể đăng nhập và thay đổi các thiết lập quan trọng , và gây ra những hậu quả đáng tiếc.

Các nhà sản xuất thiết bị đang gặp khó khăn trong việc phát hành các bản vá lỗi bảo mật cho phần mềm có sẵn – OTS ( off-the-shelf ) bởi thiết bị y tế với yêu cầu nâng cấp phần mềm cần phải được gửi lại cho các nhà quản lý phê duyệt. Ngoài chu kỳ phát triển của sản phẩm quá dài còn thêm vào đó là việc kiểm soát quy trình chặt chẽ khiến công việc khắc phục lỗi ngày càng khó khăn.

Bẻ khóa IMD

Việc bẻ khóa các thiết bị y khoa cấy vào cơ thể ( implantable medical device – IMD ) đang được cảnh báo là một vấn đề khá nghiêm trọng. Tại Mỹ hiện có hơn 300.000 bệnh nhân sử dụng  các thiết bị IMD mỗi năm bao gồm máy điều hòa nhịp tim , kích thích điện thần kinh , … và hacker có thể dễ dàng khai thác các lỗ hổng từ phần mềm OTS hiện có. Và theo một khía cạnh nào đó thì  hacker  có thể kiểm soát cuộc sống của hàng trăm ngàn người , và con số này có thể lên đến hàng triệu người trên toàn thế giới.

Thiết bị khử rung tim được gắn trên người nếu thay pin cần có can thiệp của y khoa.

Với sự gia tăng của  IoT ( Internet of Things )  các thiết bị này trông giống như bất kỳ địa chỉ IP nào và chúng ta có thể hình dung ra các kịch bản tấn công từ xa chiếm quyền điều khiển máy điều hòa nhịp tin được cấy ghép hoặc cố tình làm cạn kiệt thời lượng pin của thiết bị một cách nhanh chóng. Tuổi thọ pin là điều kiện cần thiết để điều chỉnh các thiết bị cấy ghép do đó nếu muốn thay thế thì cần đòi hỏi sự can thiệp của y học.

Ngay cả các công nghệ giao tiếp được sử dụng trên thiết bị IMD đôi khi không được thiết lập đúng tiêu chuẩn và không an toàn. Các công cụ bẻ khóa tiên tiến có thể dễ dàng tận dụng cơ chế bảo mật yếu kém , hoặc thay đổi các thiết lập mặc định của thiết bị hay điều khiển từ xa.

Kết hợp công nghệ máy tính vào hệ thống sinh học mang đến nhiều lợi ích khá rõ ràng , tạo cho các bác sĩ có thêm nhiều thông tin trong thời điểm điều trị nhằm thay đổi hoặc có nhiều chuẩn đoán chính xác hơn. Tuy nhiên , các thiết bị này có thể dễ dàng bị tổn thương trước các cuộc  tấn công mạng  nhắm vào cơ sở hạ tầng mạng bệnh viện.

Tấn công hạ tầng mạng bệnh viện

Bệnh nhân không sử dụng thiết bị IMD vẫn có nguy cơ thậm chí ngay ở trong bệnh viện. Các thiết bị y tế hỗ trợ kết nối mạng chẳng hạn như máy tiêm điều tiết có thể dễ bị tấn công mạng vì lỗ hổng phần mềm OTS.

Tại Mỹ , Cục quản lý Thực phẩm và Dược phẩm Hoa Kỳ – FDA đã có sự xem xét về việc cải thiện thiện sự an toàn của những thiết bị y tế có kết nối mạng này nhất là đối với các vấn đề về lỗi phần mềm. Một trong những chính sách đó là tạo điều kiện thuận tiện hơn cho các nhà sản xuất trong quy trình nân cấp phần mềm nhằm giảm thiểu rủi ro với các bị tấn công bên ngoài. Một kịch bản tấn công khác với nhiều khả năng diễn ra là  xâm nhập mạng Wi-Fi  của bệnh viện để chiếm quyền truy cấp vào tất cả dữ liệu y tế được lưu trữ.

Một giải pháp đáng chú ý khác là cho phép sự tham gia của các công ty bảo mật để tiến hành cập nhật và xác định các vấn đề lỗ hổng với các nhà sản xuất. Mặt khác các bệnh viện cần đầu tư nhiều hơn vào CNTT và có chính sách mạng nghiêm ngặt về mật khẩu , chính sách truy cập mạng , và giải pháp bảo mật ,   tường lửa  nhằm phát hiện và ngăn chặn các cuộc tấn công nhắm vào cơ sở hạ tầng.