Gia tăng nguy cơ mất an toàn thông tin từ các thiết bị y tế cấy ghép

Đình Lượng
01/09/2020 17:19
D

Hiện nay, các thiết bị cấy ghép được sử dụng trong y tế có xu hướng ngày càng tăng nhưng thường bị bỏ qua yếu tố bảo mật. Đây là điểm yếu để tin tặc tấn công vào các thiết bị.

Khi sử dụng máy tạo nhịp tim, máy bơm insulin và các thiết bị y tế cấy ghép khác (implanted medical device - IMD), chúng ta thường nghĩ đến lợi ích của chúng đối với người dùng.

Tuy nhiên, theo thời gian, IMD đã phát triển để trở nên tinh tế và thông minh hơn với sự ra đời của kết nối không dây - tự liên kết với các nền tảng trực tuyến, đám mây và ứng dụng di động bằng kết nối qua bluetooth để bảo trì, cập nhật và giám sát, tất cả đều nhằm cải thiện chăm sóc bệnh nhân. Tuy nhiên, việc tồn tại một kết nối như vậy dù đã tạo ra một con đường tiềm năng để khai thác các lỗ hổng bảo mật trên thiết bị.

Vấn đề về các lỗ hổng và các con đường tấn công qua IMD lần đầu tiên được biết đến bởi vụ việc của St. Jude (hiện thuộc Abbott) năm 2017. Khi đó, Cơ quan Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) đã ra lệnh thu hồi 465.000 máy tạo nhịp tim do các lỗ hổng có thể bị khai thác từ xa và can thiệp hoạt động của thiết bị.

Các thiết bị này không thể được rút ra để thay bằng một thiết bị mới một cách dễ dàng. Vì vậy, nhiều bệnh nhân sử dụng máy phải lựa chọn giải pháp đến gặp bác sĩ để cập nhật firmware.

Gần đây, các nhà nghiên cứu của CyberMDX (Mỹ) ước tính rằng, 22% các thiết bị hiện đang được sử dụng tại các bệnh viện đều dễ bị nhiễm BlueKeep - một lỗ hổng Windows trong dịch vụ truy cập từ xa (Microsoft Remote Desktop Protocol - RDP). Khi nói đến các thiết bị y tế được kết nối, con số này tăng lên 45%.

Theo Christopher Neal, Giám đốc an ninh thông tin của Ramsay Health Care (trụ sở chính tại Úc), nhiều thiết bị sử dụng ngày nay không được chế tạo theo thiết kế an toàn và đây là một vấn đề có thể sẽ ảnh hưởng đến thiết bị y tế trong nhiều thập kỷ tới.

Tại hội nghị Black Hat USA mới đây, tiến sĩ Alan Michaels, Giám đốc Phòng thí nghiệm Hệ thống Điện tử tại Trung tâm Công nghệ và An ninh Quốc gia Hume thuộc Học viện Bách khoa Virginia và State University, cũng có cùng quan điểm.

Tiến sĩ đã cùng với Zoe Chen, Paul O'Donnell, Eric Ottman và Steven Trieu nghiên cứu cách IMD có thể xâm phạm các không gian an toàn, chẳng hạn như những không gian được quân đội sử dụng, cơ quan an ninh và chính phủ.

Ở rất nhiều nước, nhiều cơ quan cấm các thiết bị di động và các sản phẩm kết nối Internet bao gồm điện thoại thông minh và thiết bị theo dõi thể dục trong các không gian an toàn vì lý do an ninh quốc gia.

Nếu thiết bị theo dõi thể dục hoặc điện thoại thông minh được coi là một nguy cơ, chúng có thể được giao nộp, khóa trong tủ khóa an toàn và nhận lại vào cuối ngày. Tuy nhiên, IMD khi được cấy ghép bên trong cơ thể thường bị bỏ qua hoặc được miễn hoàn toàn khỏi các quy tắc này.

Tiến sĩ Michaels ước tính rằng hơn năm triệu IMD đã được cài đặt, khoảng 100.000 trong số đó thuộc về các cá nhân được chính phủ Hoa Kỳ kiểm tra an ninh và giá trị của chúng đối với người dùng là không thể bỏ qua. Tuy nhiên, điều này không có nghĩa là chúng có thể không gây rủi ro cho bảo mật và nếu thiết bị của họ bị xâm phạm, người dùng có thể vô tình trở thành mối đe dọa từ bên trong.

Máy tạo nhịp tim, máy bơm insulin, thiết bị cấy ghép thính giác và các IMD dễ bị khai thác khác có thể bị lợi dụng để làm rò rỉ dữ liệu vị trí, cũng như các bộ dữ liệu quan trọng tiềm năng khác hoặc thông tin môi trường liên quan đến không gian an toàn, được thu thập từ các cảm biến, micrô có sẵn và đầu dò chuyển đổi thông tin từ môi trường thành tín hiệu và dữ liệu.

Ví dụ, có những thiết bị trợ thính thông minh trên thị trường được liên kết với kiến trúc đám mây và sử dụng máy học để ghi lại và phân tích âm thanh nhằm phản hồi và cải thiện hiệu suất của nó, nhưng nếu bị xâm phạm, chức năng này có thể bị tấn công.

Các thiết bị thu thập dữ liệu thụ động và dựa trên GPS được coi là có rủi ro thấp, trong khi các thiết bị sử dụng mã nguồn mở, với chức năng đám mây ứng dụng trí tuệ nhân tạo hoặc máy học, có tính năng kích hoạt bằng giọng nói được coi là có rủi ro trung bình đến cao.

Các biện pháp giảm thiểu rủi ro được đề xuất bao gồm:

- Danh sách trắng: Phê duyệt trước một danh sách các IMD được coi là đủ an toàn. Tuy nhiên, điều này đòi hỏi sự kiểm tra và nhất quán giữa các cơ quan khác nhau.

- Kiểm tra ngẫu nhiên: Các thiết bị đã được phê duyệt trước đây sẽ cần phải kiểm tra cài đặt của chúng. Nhưng việc kiểm tra chính sách này, trên thực tế, sẽ rất khó khăn, đặc biệt vì nó có thể yêu cầu quyền truy cập vào dữ liệu của nhà cung cấp độc quyền.

- Phát hiện sắt từ: Sử dụng máy dò để xác định thiết bị cấy ghép hoặc các thiết bị ngoại lai/IMD khác trước khi một cá nhân bước vào cơ sở, để đảm bảo rằng chúng nằm trong danh sách được phê duyệt.

- Xóa dữ liệu: Kiểm tra và xóa dữ liệu khỏi thiết bị trước khi thiết bị rời khỏi không gian an toàn có thể cải thiện tính bảo mật thông tin.

- Làm suy giảm tín hiệu vật lý: Khiến người mang thiết bị trở thành một chiếc lồng Faraday đi bộ để chặn tín hiệu khi ở trong cơ sở an ninh, chẳng hạn như bằng cách mặc áo vest. Nhưng theo lưu ý của tiến sĩ Michaels, điều này có thể là "cồng kềnh" trong thực tế.

- Phần mềm quản trị: Có thể phát triển mã để đặt IMD ở dạng chế độ máy bay, nhưng điều này sẽ yêu cầu các nhà phát triển đầu tư, thời gian và thử nghiệm.

- Gây nhiễu cá nhân: Người đeo có thể kích hoạt thiết bị gây nhiễu để tạo ra đủ tiếng ồn để ngăn thông tin được truyền đi. Tuy nhiên, điều này có thể ảnh hưởng đến tuổi thọ của pin.

Nhóm nghiên cứu nói rằng những tiến bộ đạt được trong lĩnh vực IMD đã vượt xa các chỉ thị bảo mật hiện tại, tạo ra nhu cầu xem xét chính sách mới và đã kêu gọi sửa đổi Bản ghi nhớ Chính sách Cộng đồng Tình báo (ICPM) 2005-700-1, Phụ lục D, Phần I bao gồm các IMD thông minh để duy trì tuân thủ Nguyên tắc Chính sách Cộng đồng Thông minh (ICPG) 110.1.

Tiến sĩ Michaels nói rằng, cách đơn giản nhất để ngăn IMD trở thành mối đe dọa trong các cơ sở an toàn là che chắn vật lý cho thiết bị và điều này có vẻ an toàn hơn nhiều so với việc sửa đổi firmware. Vì điều đó có thể tạo ra một hoạt động chưa được kiểm tra (mặc dù rất khó xảy ra) có thể ảnh hưởng đến các hoạt động dự kiến ​​của nó hoặc sức khỏe của người dùng.

Ông cũng nói thêm rằng các vấn đề bảo mật liên quan tới IMD có thể sẽ tăng lên theo thời gian và khi chúng có nhiều tính năng hơn, bảo mật sẽ trở thành một hành động cân bằng giữa luật pháp, điều mà các nhà cung cấp coi là "quyền riêng tư" và mức tiêu thụ pin - một trong số ít các yếu tố hạn chế IMD để có thể đi bao xa về mặt công nghệ thông minh. Có thể đây không phải là mối đe dọa ngay lập tức, mà là mối đe dọa ngày gia tăng theo thời gian và rất khó để khắc phục bằng việc thu hồi hay cập nhật firmware.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Bệnh viện Việt Đức: Khám bệnh không giấy tờ, chỉ cần điện thoại

Bệnh viện Việt Đức: Khám bệnh không giấy tờ, chỉ cần điện thoại

Cuộc thi 'Thiết kế điện tử Việt Nam 2025': Y tế dẫn đầu với 29 đội dự thi, vượt trội so với các lĩnh vực khác

Cuộc thi 'Thiết kế điện tử Việt Nam 2025': Y tế dẫn đầu với 29 đội dự thi, vượt trội so với các lĩnh vực khác

Cục Quản lý Dược cảnh báo về thuốc nhỏ mắt và thuốc trị loãng xương có dấu hiệu bị giả mạo

Cục Quản lý Dược cảnh báo về thuốc nhỏ mắt và thuốc trị loãng xương có dấu hiệu bị giả mạo

Bộ Chính trị: Đến năm 2030, người dân được miễn viện phí ở mức cơ bản

Bộ Chính trị: Đến năm 2030, người dân được miễn viện phí ở mức cơ bản

Chương trình CAREME - 'Yêu lấy mình': Vì một Việt Nam khỏe mạnh hơn

Chương trình CAREME - 'Yêu lấy mình': Vì một Việt Nam khỏe mạnh hơn

Kỹ thuật thông tim thai mở ra cơ hội sống cho trẻ mắc dị tật tim bẩm sinh

Kỹ thuật thông tim thai mở ra cơ hội sống cho trẻ mắc dị tật tim bẩm sinh

Tăng hiệu quả điều trị ung thư não nhờ kết hợp AI và công nghệ hình ảnh FCI

Tăng hiệu quả điều trị ung thư não nhờ kết hợp AI và công nghệ hình ảnh FCI

Ant Group ra mắt ứng dụng y tế thông minh tại Trung Quốc

Ant Group ra mắt ứng dụng y tế thông minh tại Trung Quốc

Chính thức kiểm tra năng lực hành nghề y từ năm 2027

Chính thức kiểm tra năng lực hành nghề y từ năm 2027

Vietnam Medipharm Expo 2025: Trình diễn công nghệ AI và thiết bị y tế tiên tiến tại TP.HCM

Vietnam Medipharm Expo 2025: Trình diễn công nghệ AI và thiết bị y tế tiên tiến tại TP.HCM

Chẩn đoán hình ảnh tại MEDLATEC đạt ISO 15189:2022 - Bước tiến số hóa y tế chuyên sâu

Chẩn đoán hình ảnh tại MEDLATEC đạt ISO 15189:2022 - Bước tiến số hóa y tế chuyên sâu

Thầy thuốc trẻ Việt Nam tiên phong chuyển đổi số, nâng cao sức khỏe cộng đồng

Thầy thuốc trẻ Việt Nam tiên phong chuyển đổi số, nâng cao sức khỏe cộng đồng

Tin mới cập nhật

Giải Bóng rổ Trẻ VnExpress 2025 - Cúp Ziaja khởi động tại Hà Nội

Giải Bóng rổ Trẻ VnExpress 2025 - Cúp Ziaja khởi động tại Hà Nội

Thị trường chứng khoán châu Á - Thái Bình Dương tăng điểm dù Chính phủ Mỹ đóng cửa

Thị trường chứng khoán châu Á - Thái Bình Dương tăng điểm dù Chính phủ Mỹ đóng cửa

Nhà xuất bản Kim Đồng ra mắt nhiều sách mới chào đón Trung thu 2025

Nhà xuất bản Kim Đồng ra mắt nhiều sách mới chào đón Trung thu 2025

Cá nhân hóa quảng cáo và nội dung từ tương tác với Meta AI

Cá nhân hóa quảng cáo và nội dung từ tương tác với Meta AI

Ra mắt sách ảnh ‘Chúng tôi đó - Phụ nữ Kiên cường’

Ra mắt sách ảnh ‘Chúng tôi đó - Phụ nữ Kiên cường’

Hướng dẫn tắt quảng cáo, tăng cường bảo mật trên điện thoại Samsung

Hướng dẫn tắt quảng cáo, tăng cường bảo mật trên điện thoại Samsung

Trường Đại học Sư phạm Hà Nội có Hiệu trưởng mới nhiệm kỳ 2025-2030

Trường Đại học Sư phạm Hà Nội có Hiệu trưởng mới nhiệm kỳ 2025-2030

Cổ phiếu SK Hynix lập đỉnh 24 năm, Samsung tăng vọt khi bắt tay OpenAI

Cổ phiếu SK Hynix lập đỉnh 24 năm, Samsung tăng vọt khi bắt tay OpenAI

Locknlock lan toả sống xanh bền vững cùng sự kiện 'Love for Vietnam - Act for climate'

Locknlock lan toả sống xanh bền vững cùng sự kiện 'Love for Vietnam - Act for climate'

Microsoft đang tăng tốc phát triển chip riêng cho trung tâm dữ liệu AI

Microsoft đang tăng tốc phát triển chip riêng cho trung tâm dữ liệu AI

Jellycat - Thương hiệu đồ chơi thế hệ Z mê mẩn đã tăng gấp đôi lợi nhuận

Jellycat - Thương hiệu đồ chơi thế hệ Z mê mẩn đã tăng gấp đôi lợi nhuận

Thị thực K của Trung Quốc làm dấy lên lo ngại cạnh tranh việc làm trong lĩnh vực công nghệ

Thị thực K của Trung Quốc làm dấy lên lo ngại cạnh tranh việc làm trong lĩnh vực công nghệ

Tin đọc nhiều

Bệnh viện Việt Đức: Khám bệnh không giấy tờ, chỉ cần điện thoại

Bệnh viện Việt Đức: Khám bệnh không giấy tờ, chỉ cần điện thoại

IOM hỗ trợ 1,6 triệu USD trang thiết bị chống dịch COVID -19 cho Việt Nam

IOM hỗ trợ 1,6 triệu USD trang thiết bị chống dịch COVID -19 cho Việt Nam

Thử nghiệm khám chữa bệnh bảo hiểm y tế bằng căn cước gắn chip

Thử nghiệm khám chữa bệnh bảo hiểm y tế bằng căn cước gắn chip

Lô hàng kit test nhanh COVID-19 nhập lậu từ Hàn Quốc trị giá hơn 8 tỉ đồng bị bắt giữ tại Nội Bài

Lô hàng kit test nhanh COVID-19 nhập lậu từ Hàn Quốc trị giá hơn 8 tỉ đồng bị bắt giữ tại Nội Bài

Hoa Kỳ trao tặng thiết bị và thuốc điều trị lao cho Việt Nam

Hoa Kỳ trao tặng thiết bị và thuốc điều trị lao cho Việt Nam

Luc Montagnier - Nhà khoa học phát hiện ra virus HIV gây bệnh AIDS đã qua đời

Luc Montagnier - Nhà khoa học phát hiện ra virus HIV gây bệnh AIDS đã qua đời

Đức hỗ trợ Việt Nam hơn 2,5 triệu liều vắc xin Covid -19

Đức hỗ trợ Việt Nam hơn 2,5 triệu liều vắc xin Covid -19

Vĩnh biệt GS Nguyễn Tài Thu - bậc thầy khai sinh kỹ thuật châm cứu bằng kim to

Vĩnh biệt GS Nguyễn Tài Thu - bậc thầy khai sinh kỹ thuật châm cứu bằng kim to

VIETRAD - Mang lại hy vọng mới cho bệnh nhân ung thư vú

VIETRAD - Mang lại hy vọng mới cho bệnh nhân ung thư vú

Y tế phối hợp công nghệ là chìa khóa để Việt Nam vượt qua đại dịch

Y tế phối hợp công nghệ là chìa khóa để Việt Nam vượt qua đại dịch

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Hướng dẫn cài đặt phần mềm ký số vSignPDF 3.1.7

Hướng dẫn cài đặt phần mềm ký số vSignPDF 3.1.7

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Subaru Eyesight con mắt "Nhị Lang thần" phòng ngừa va chạm an toàn cho mỗi chuyến đi

Subaru Eyesight con mắt "Nhị Lang thần" phòng ngừa va chạm an toàn cho mỗi chuyến đi

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019