Hacker nói hack bệnh viện cực kỳ dễ, hàng nghìn bệnh nhân có thể gặp nguy hiểm

13/03/2016 17:27 PM | Công nghệ

Các hệ thống bảo mật của các bệnh viện được cho là khá mong manh trước sự tấn công của các hacker.

Các hacker đã tìm ra cách dễ dàng đến không ngờ để xâm nhập vào cơ sở dữ liệu của nhiều bệnh viện.

Họ đã cố tình "đánh rơi" 18 chiếc USB ở nhiều tầng khác nhau của một bệnh viện. Các vị trí đánh rơi là nơi mà các nhân viên bệnh viện dễ dàng nhìn thấy. Trong vòng 24 giờ, ít nhất một chiếc USB trong số này đã được y tá nhặt lên và cắm vào máy tính của bệnh viện. Kết quả là các phần mềm độc hại có thể lây lan một cách dễ dàng đến các thiết bị pha thuốc tự động. Nếu muốn, các hacker có thể tác động để những thiết bị này tạo ra hàng trăm cái chết của bệnh nhân do sử dụng thuốc quá liều.

Tất nhiên là chưa có trường hợp nào chết trên thực tế do thử nghiệm trên được tiến hành bởi các hacker mũ trắng hay nói cách khác là những chuyên gia bảo mật. Mục tiêu của họ là kiểm tra các lỗ hổng bảo mật trong hệ thống của các bệnh viện cũng như sơ hở trên phần mềm điều khiển các thiết bị y tế.

Nghiên cứu trên được công bố hồi tháng Hai bởi Independent Security Evaluators. Các chuyên gia bảo mật đã chỉ ra làm cách nào mà các hacker có thể xâm nhập vào hệ thống của một bệnh viện và gây ra các cái chết bất ngờ cho bệnh nhân. Tình huống mà họ đưa ra hoàn toàn có khả năng xảy ra trong thực tế.

Hồi đầu tháng Hai, Trung tâm Y tế Presbyterian Hollywood ở Los Angeles đã bị các hacker tấn công và vô hiệu hóa hệ thống máy tính. Các y bác sỹ tại đây phải quản lý hồ sơ bệnh nhân, kể cả kết quả chụp MRI bằng bút chì và giấy. Rất may là trong trường hợp trên không có bệnh nhân nào bị ảnh hưởng.

Các hacker sau khi xâm nhập được vào hệ thống thường gửi thông điệp đến bệnh viện yêu cầu một số tiền để họ mở khóa hệ thống. Để làm điều này, họ thường gửi email để lừa các nhân viên nhấp chuột vào một liên kết có chứa mã độc. Nếu muốn, các hacker hoàn toàn có khả năng gây thiệt hại nghiêm trọng cho các bệnh nhân của bệnh viện. Rất may, trong trường hợp này các hacker chỉ yêu cầu phía bệnh viện gửi cho họ số tiền 17.000 USD.

Khi thế giới ngày càng phụ thuộc vào internet, nguy cơ tin tặc kiểm soát hệ thống của các tổ chức công cộng như bệnh viện, trường học, thậm chí là sở cảnh sát ngày càng tăng cao.

Tháng 12 năm 2015, một công ty bảo mật phát hiện ra rằng hệ thống mạng của Chính phủ và trường học có nguy cơ bị nhiễm ransomware cao hơn 4 lần so với các tổ chức khác. Và một điểm quan trọng là các tin tặc đứng đằng sau các vụ tấn công lại hiếm khi nào bị bắt.

Ngoài ra, các cuộc tấn công vào các công ty điện lực, chính quyền thành phố… có thể chuyển từ nhu cầu tiền bạc sang các mục đích khủng bố. Những rủi ro là rất lớn và các biện pháp hiện tại vẫn chưa đủ sức để đảm bảo an toàn cho người dân.

Bệnh viện vẫn là mục tiêu tấn công và kiếm tiền dễ dàng nhất cho giới tin tặc. Các thông tin chi tiết liên quan đến các hệ thống trong bệnh viện có thể được bán lại với số tiền khá lớn. Các chuyên gia cho rằng các dữ liệu được chuyển qua nhiều hệ thống máy tính và thiết bị y tế khiến cho khả năng chúng bị tin tặc tấn công trở nên cao hơn bao giờ hết.

Cryptolocker, một dạng phổ biến của ransomware xuất hiện lần đầu vào tháng Tám năm 2013 đã lây nhiễm cho hơn nửa triệu nạn nhân (theo ước tính của FBI) và gây ra thiệt hại khoảng 27 triệu USD chỉ trong vòng 6 tháng. CryptoWall, một dạng khác của ransomware đã khiến các nạn nhân trên thế giới phải bồi thường khoảng 325 triệu USD. Tính từ giữa tháng Tư năm 2014 đến cuối năm 2015, FBI đã nhận được 4.291 báo cáo về các cuộc tấn công của "ransomware" (mã độc tống tiền). Thiệt hại trong các vụ này ước tính gần 50 triệu USD.

James Scott, thành viên cao cấp của Institute for Critical Infrastructure Technology cho biết ransomware chỉ mới là bước khởi đầu. Ngoài tiền chuộc, các hacker còn có thể tiếp xúc với các dữ liệu nhạy cảm của nhiều người. Ví dụ, tháng 1 năm 2015, một công ty bảo hiểm y tế đã bị hack khiến 80 triệu hồ sơ khách hàng bị lộ thông tin. Scott cho biết hồ sơ y tế điện tử hiện đang được bán trên các "trang web đen" với giá từ 10 USD đến 50 USD mỗi bộ. Cá biệt, một số hồ sơ quan trọng được rao bán với giá đến 400 USD.

Scott nói rằng: "Vấn đề an ninh mạng của ngành y tế và các bệnh viện nhìn chung là còn rất yếu kém. Nói cách khác, các hệ thống của những cơ quan này không đồng bộ kịp với sự phát triển của khoa học công nghệ trên thực tế".

Một vấn đề khác nữa là các bệnh viện thường không muốn thừa nhận khi bị tấn công vì điều này có thể ảnh hưởng nghiêm trọng đến uy tín của họ. Nhiều nạn nhân chọn giải pháp trả tiền chuộc thay vì báo cáo cho các cơ quan chức năng. Tuy nhiên, FBI không ủng hộ hành động này vì họ cho rằng làm như vậy chẳng khác nào khuyến khích tội phạm mạng phát triển.

Hãng nghiên cứu bảo mật Forrester gần đây dự đoán rằng tin tặc sẽ phát hành các ransomware nhắm vào các mục tiêu y tế nhiều hơn trong năm 2016 này. Nghiên cứu của Independent Security Evaluators cho thấy các cuộc tấn công có thể được thực hiện qua các kết nối vật lý như USB hay từ xa. Tin tặc được cho là có thể chiếm quyền điều khiển máy máy khử rung tim, máy bơm insulin và máy phát ra bức xạ.

An ninh mạng tại các bệnh viện đang phải rất vất vả để theo kịp các mối đe dọa tiềm ẩn. Các chuyên gia bảo mật như James Scott cho rằng cần phải đầu tư nhiều hơn nữa cho các hệ thống an ninh mạng của bệnh viện cũng như đào tạo về kiến thức bảo mật cho các nhân viên. Không những vậy, các nhà sản xuất thiết bị y tế cũng phải chú ý trang bị các biện pháp bảo mật cho các sản phẩm của mình. Nhiều nhà nghiên cứu nghĩ rằng các chính sách dành cho an ninh mạng của ngành y tế là chưa đủ đáp ứng với nhu cầu thực tế.

Tất nhiên, quan điểm của mọi người nói chung về vấn đề này đang có nhiều chuyển biến, mặc dù còn khá chậm. Vào tháng Hai năm 2013, Tổng thống Mỹ Barack Obama đã ra lệnh kêu gọi thành lập một tập hợp các tiêu chuẩn an ninh mạng và hướng dẫn chúng cho các tổ chức. Tháng 12 năm 2015, Chính quyền Mỹ cũng ban hành một đạo luật về an ninh mạng, bao gồm cả những quy định về bảo mật cho lĩnh vực y tế. Một lực lượng đặc nhiệm giúp bảo vệ các dịch vụ chăm sóc sức khỏe cũng đang được vận động thành lập.

Tuy nhiên, các chuyên gia cho rằng các bệnh viện, trung tâm y tế, các nhà sản xuất thiết bị và cung cấp bảo hiểm y tế phải tích cực hơn trong các biện pháp bảo vệ chính mình tránh các nguy cơ từ các vụ tấn công mạng.

Tất nhiên, đây không phải là vấn đề của riêng ngành y tế. Các cơ sở hạ tầng, tiện ích công cộng như hệ thống đèn giao thông, tín hiệu công cộng, mạng lưới điện và ngay cả các tiện ích trong nhà bếp cũng có thể trở thành mục tiêu của tấn công mạng. Các văn phòng, thành phố ngày càng trở nên thông minh thì nguy cơ bị tấn công càng cao hơn do chúng phụ thuộc nhiều vào việc kết nối với mạng internet.

Theo Billvn

Cùng chuyên mục
XEM