Joseph Carson, trưởng ban khoa học bảo mật và cố vấn CISO tại Thycotic Centrify, thảo luận về các phương pháp hay nhất để bảo mật dữ liệu trong lĩnh vực chăm sóc sức khỏe trước các mối đe dọa trong xã hội hiện đại.
Các tổ chức chăm sóc sức khỏe luôn là mục tiêu có giá trị đối với tội phạm mạng. Vì hệ thống của họ lưu trữ khối lượng lớn thông tin cá nhân (PII) bao gồm: số an sinh xã hội, ngày sinh, địa chỉ và dữ liệu sức khỏe cá nhân….
Kể từ khi bắt đầu đại dịch COVID-19, số lượng các cuộc tấn công có chủ đích vào máy chủ mạng, hệ thống email và thiết bị của nhà cung cấp dịch vụ chăm sóc sức khỏe đã tăng lên nhanh chóng.
Một số kẻ tấn công cố gắng đánh cắp thông tin liên quan đến số liệu thống kê COVID-19 và dữ liệu về vắc xin. Đại dịch cũng đã buộc nhiều nhà cung cấp dịch vụ chăm sóc sức khỏe phải chấp nhận và tích hợp các dịch vụ chăm sóc sức khỏe từ xa, để có thể làm việc từ xa, để đảm bảo an toàn và giảm khả năng lây lan của COVID-19. Điều này đã tạo ra một bề mặt tấn công lớn hơn, khiến cả nhà cung cấp và dữ liệu của bệnh nhân có nguy cơ bị đánh cắp dữ liệu cao hơn.
Trong ba thập kỷ qua, hầu hết các tổ chức chăm sóc sức khỏe đã thực hiện chuyển đổi kỹ thuật số, chuyển dữ liệu và hồ sơ bệnh nhân sang mạng lưới internet và đám mây. Chúng ta hãy nhìn lại để xem cách thức lưu trữ, bảo mật và truy cập vào hồ sơ bệnh nhân đã phát triển như thế nào cho đến ngày hôm nay.
Bảo mật dữ liệu chăm sóc sức khỏe (trước đây)
Trước đó vào đầu những năm 1990, hồ sơ bệnh án của bệnh nhân được lưu giữ trên giấy trong thư viện và được cất giữ trong hộp và các kệ tủ. Hồ sơ được cập nhật bằng tay và vận chuyển thủ công đến và đi từ các kho lưu trữ y tế. Không có cách nào để theo dõi chính xác những ai đã truy cập vào kho lưu trữ hoặc xem xét hồ sơ, và việc ngăn chặn những nhân viên không được phép xem xét hồ sơ bệnh nhân cũng có phần hạn chế.
Việc chuyển đổi số cho hồ sơ y tế bắt đầu ở một số quốc gia vào năm 1991, với mục tiêu là tăng cường hiệu quả, độ chính xác, tăng cường bảo mật, cải thiện quyền riêng tư và tiết kiệm thời gian. Đây là một cải tiến về áp dụng công nghệ và cung cấp cho các chuyên gia y tế quyền truy cập tức thì vào hồ sơ bệnh nhân. Nó đã mang đến cho các tổ chức chăm sóc sức khỏe một làn sóng mới về bảo mật và quyền riêng tư, các biện pháp kiểm soát bảo mật quản lý truy cập và nhận dạng.
Dữ liệu chăm sóc sức khỏe bảo mật (Ngày nay)
Cho đến nay, hầu hết hồ sơ y tế của bệnh nhân đều được số hóa và lưu trữ trên internet. Khi chúng ta chứng kiến số lượng ngày càng tăng các cuộc tấn công vào các tổ chức chăm sóc sức khỏe, dữ liệu này hiện phải được bảo vệ bằng các biện pháp kiểm soát truy cập bảo mật cao nhất có thể. Có một số hệ thống và sáng kiến mà các tổ chức có thể thực hiện để đạt được sự bảo vệ tối đa.
Kiểm soát, quản lý vấn đề truy cập đúng cách là giải pháp quan trọng nhất trong số này.Trong đó quyền truy cập vào các hệ thống được ủy quyền và chỉ định dựa trên chức năng công việc của người dùng và mỗi người dùng chỉ được cấp đủ quyền để thực hiện vai trò của mình. Cho dù đó là trên các ứng dụng liên quan đến chăm sóc sức khỏe hay hệ điều hành, users không bao giờ được phép truy cập vào các mục vượt quá phạm vi nhiệm vụ của họ.
Các tổ chức phải chủ động thường xuyên theo dõi hoạt động của người dùng, đảm bảo rằng các tài khoản không còn được sử dụng thì phải hủy cấp phép. Thông thường, các đặc quyền của users sẽ được nâng cấp để có thể truy cập nhiều hơn để phục vụ cho công tác tác nào đó. Điều này có thể tạo nên các lỗ hổng nếu nó không được gỡ bỏ sau khi công việc kết thúc. Điều quan trọng cần phải làm nữa đó là phải thu thu hồi quyền truy cập và password của nhân viên ngay sau khi họ rời vị trí hoặc chuyển sang vai trò khác.
Mặc dù hệ thống kiểm soát truy cập có thể cung cấp khả năng kiểm soát ở mức cao hơn cho các tổ chức chăm sóc sức khỏe. Nhưng điều quan trọng là không có phương pháp ứng dụng hoặc thiết bị nào đảm bảo hiệu quả hoàn toàn nếu không có sự phối hợp và đồng thuận nhất quán của toàn bộ nhân viên.
Nhân viên đóng một vai trò quan trọng đối với an ninh của một tổ chức chăm sóc sức khỏe, đây là một điều thường bị bỏ qua. Do đó, rất cần thiết để đầu tư vào việc training nhân viên về các ý thức khi truy cập vào các hệ thống nhạy cảm.
Ví dụ: tất cả nhân viên y tế, bất kể cấp độ của họ là gì cũng phải sử dụng password mạnh và tránh nhắn tin hoặc gửi email chứa thông tin quan trọng trên các thiết bị không không được đảm bảo an toàn.