Gia tăng nguy cơ mất an toàn thông tin từ các thiết bị y tế cấy ghép

Đình Lượng
01/09/2020 17:19
D

Hiện nay, các thiết bị cấy ghép được sử dụng trong y tế có xu hướng ngày càng tăng nhưng thường bị bỏ qua yếu tố bảo mật. Đây là điểm yếu để tin tặc tấn công vào các thiết bị.

Khi sử dụng máy tạo nhịp tim, máy bơm insulin và các thiết bị y tế cấy ghép khác (implanted medical device - IMD), chúng ta thường nghĩ đến lợi ích của chúng đối với người dùng.

Tuy nhiên, theo thời gian, IMD đã phát triển để trở nên tinh tế và thông minh hơn với sự ra đời của kết nối không dây - tự liên kết với các nền tảng trực tuyến, đám mây và ứng dụng di động bằng kết nối qua bluetooth để bảo trì, cập nhật và giám sát, tất cả đều nhằm cải thiện chăm sóc bệnh nhân. Tuy nhiên, việc tồn tại một kết nối như vậy dù đã tạo ra một con đường tiềm năng để khai thác các lỗ hổng bảo mật trên thiết bị.

Vấn đề về các lỗ hổng và các con đường tấn công qua IMD lần đầu tiên được biết đến bởi vụ việc của St. Jude (hiện thuộc Abbott) năm 2017. Khi đó, Cơ quan Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) đã ra lệnh thu hồi 465.000 máy tạo nhịp tim do các lỗ hổng có thể bị khai thác từ xa và can thiệp hoạt động của thiết bị.

Các thiết bị này không thể được rút ra để thay bằng một thiết bị mới một cách dễ dàng. Vì vậy, nhiều bệnh nhân sử dụng máy phải lựa chọn giải pháp đến gặp bác sĩ để cập nhật firmware.

Gần đây, các nhà nghiên cứu của CyberMDX (Mỹ) ước tính rằng, 22% các thiết bị hiện đang được sử dụng tại các bệnh viện đều dễ bị nhiễm BlueKeep - một lỗ hổng Windows trong dịch vụ truy cập từ xa (Microsoft Remote Desktop Protocol - RDP). Khi nói đến các thiết bị y tế được kết nối, con số này tăng lên 45%.

Theo Christopher Neal, Giám đốc an ninh thông tin của Ramsay Health Care (trụ sở chính tại Úc), nhiều thiết bị sử dụng ngày nay không được chế tạo theo thiết kế an toàn và đây là một vấn đề có thể sẽ ảnh hưởng đến thiết bị y tế trong nhiều thập kỷ tới.

Tại hội nghị Black Hat USA mới đây, tiến sĩ Alan Michaels, Giám đốc Phòng thí nghiệm Hệ thống Điện tử tại Trung tâm Công nghệ và An ninh Quốc gia Hume thuộc Học viện Bách khoa Virginia và State University, cũng có cùng quan điểm.

Tiến sĩ đã cùng với Zoe Chen, Paul O'Donnell, Eric Ottman và Steven Trieu nghiên cứu cách IMD có thể xâm phạm các không gian an toàn, chẳng hạn như những không gian được quân đội sử dụng, cơ quan an ninh và chính phủ.

Ở rất nhiều nước, nhiều cơ quan cấm các thiết bị di động và các sản phẩm kết nối Internet bao gồm điện thoại thông minh và thiết bị theo dõi thể dục trong các không gian an toàn vì lý do an ninh quốc gia.

Nếu thiết bị theo dõi thể dục hoặc điện thoại thông minh được coi là một nguy cơ, chúng có thể được giao nộp, khóa trong tủ khóa an toàn và nhận lại vào cuối ngày. Tuy nhiên, IMD khi được cấy ghép bên trong cơ thể thường bị bỏ qua hoặc được miễn hoàn toàn khỏi các quy tắc này.

Tiến sĩ Michaels ước tính rằng hơn năm triệu IMD đã được cài đặt, khoảng 100.000 trong số đó thuộc về các cá nhân được chính phủ Hoa Kỳ kiểm tra an ninh và giá trị của chúng đối với người dùng là không thể bỏ qua. Tuy nhiên, điều này không có nghĩa là chúng có thể không gây rủi ro cho bảo mật và nếu thiết bị của họ bị xâm phạm, người dùng có thể vô tình trở thành mối đe dọa từ bên trong.

Máy tạo nhịp tim, máy bơm insulin, thiết bị cấy ghép thính giác và các IMD dễ bị khai thác khác có thể bị lợi dụng để làm rò rỉ dữ liệu vị trí, cũng như các bộ dữ liệu quan trọng tiềm năng khác hoặc thông tin môi trường liên quan đến không gian an toàn, được thu thập từ các cảm biến, micrô có sẵn và đầu dò chuyển đổi thông tin từ môi trường thành tín hiệu và dữ liệu.

Ví dụ, có những thiết bị trợ thính thông minh trên thị trường được liên kết với kiến trúc đám mây và sử dụng máy học để ghi lại và phân tích âm thanh nhằm phản hồi và cải thiện hiệu suất của nó, nhưng nếu bị xâm phạm, chức năng này có thể bị tấn công.

Các thiết bị thu thập dữ liệu thụ động và dựa trên GPS được coi là có rủi ro thấp, trong khi các thiết bị sử dụng mã nguồn mở, với chức năng đám mây ứng dụng trí tuệ nhân tạo hoặc máy học, có tính năng kích hoạt bằng giọng nói được coi là có rủi ro trung bình đến cao.

Các biện pháp giảm thiểu rủi ro được đề xuất bao gồm:

- Danh sách trắng: Phê duyệt trước một danh sách các IMD được coi là đủ an toàn. Tuy nhiên, điều này đòi hỏi sự kiểm tra và nhất quán giữa các cơ quan khác nhau.

- Kiểm tra ngẫu nhiên: Các thiết bị đã được phê duyệt trước đây sẽ cần phải kiểm tra cài đặt của chúng. Nhưng việc kiểm tra chính sách này, trên thực tế, sẽ rất khó khăn, đặc biệt vì nó có thể yêu cầu quyền truy cập vào dữ liệu của nhà cung cấp độc quyền.

- Phát hiện sắt từ: Sử dụng máy dò để xác định thiết bị cấy ghép hoặc các thiết bị ngoại lai/IMD khác trước khi một cá nhân bước vào cơ sở, để đảm bảo rằng chúng nằm trong danh sách được phê duyệt.

- Xóa dữ liệu: Kiểm tra và xóa dữ liệu khỏi thiết bị trước khi thiết bị rời khỏi không gian an toàn có thể cải thiện tính bảo mật thông tin.

- Làm suy giảm tín hiệu vật lý: Khiến người mang thiết bị trở thành một chiếc lồng Faraday đi bộ để chặn tín hiệu khi ở trong cơ sở an ninh, chẳng hạn như bằng cách mặc áo vest. Nhưng theo lưu ý của tiến sĩ Michaels, điều này có thể là "cồng kềnh" trong thực tế.

- Phần mềm quản trị: Có thể phát triển mã để đặt IMD ở dạng chế độ máy bay, nhưng điều này sẽ yêu cầu các nhà phát triển đầu tư, thời gian và thử nghiệm.

- Gây nhiễu cá nhân: Người đeo có thể kích hoạt thiết bị gây nhiễu để tạo ra đủ tiếng ồn để ngăn thông tin được truyền đi. Tuy nhiên, điều này có thể ảnh hưởng đến tuổi thọ của pin.

Nhóm nghiên cứu nói rằng những tiến bộ đạt được trong lĩnh vực IMD đã vượt xa các chỉ thị bảo mật hiện tại, tạo ra nhu cầu xem xét chính sách mới và đã kêu gọi sửa đổi Bản ghi nhớ Chính sách Cộng đồng Tình báo (ICPM) 2005-700-1, Phụ lục D, Phần I bao gồm các IMD thông minh để duy trì tuân thủ Nguyên tắc Chính sách Cộng đồng Thông minh (ICPG) 110.1.

Tiến sĩ Michaels nói rằng, cách đơn giản nhất để ngăn IMD trở thành mối đe dọa trong các cơ sở an toàn là che chắn vật lý cho thiết bị và điều này có vẻ an toàn hơn nhiều so với việc sửa đổi firmware. Vì điều đó có thể tạo ra một hoạt động chưa được kiểm tra (mặc dù rất khó xảy ra) có thể ảnh hưởng đến các hoạt động dự kiến ​​của nó hoặc sức khỏe của người dùng.

Ông cũng nói thêm rằng các vấn đề bảo mật liên quan tới IMD có thể sẽ tăng lên theo thời gian và khi chúng có nhiều tính năng hơn, bảo mật sẽ trở thành một hành động cân bằng giữa luật pháp, điều mà các nhà cung cấp coi là "quyền riêng tư" và mức tiêu thụ pin - một trong số ít các yếu tố hạn chế IMD để có thể đi bao xa về mặt công nghệ thông minh. Có thể đây không phải là mối đe dọa ngay lập tức, mà là mối đe dọa ngày gia tăng theo thời gian và rất khó để khắc phục bằng việc thu hồi hay cập nhật firmware.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

AI sẽ được ứng dụng trong y tế như thế nào?

AI sẽ được ứng dụng trong y tế như thế nào?

Thiếu máy chụp MRI gây trễ hẹn cho bệnh nhân

Thiếu máy chụp MRI gây trễ hẹn cho bệnh nhân

Cảnh báo về thực phẩm chức năng chứa chất ma túy tổng hợp

Cảnh báo về thực phẩm chức năng chứa chất ma túy tổng hợp

Đột phá công nghệ trồng răng Implant thế kỷ 21

Đột phá công nghệ trồng răng Implant thế kỷ 21

Healthtech có thể bứt phá ở Việt Nam

Healthtech có thể bứt phá ở Việt Nam

Bước tiến mới trong y học tái sinh

Bước tiến mới trong y học tái sinh

Bệnh viện Hoàn Mỹ đưa AI vào trong chẩn đoán hình ảnh

Bệnh viện Hoàn Mỹ đưa AI vào trong chẩn đoán hình ảnh

Telehealth - Giải pháp công nghệ 'đồng bộ hoá' chuyên môn điều trị của ngành y tế

Telehealth - Giải pháp công nghệ 'đồng bộ hoá' chuyên môn điều trị của ngành y tế

Những dấu hiệu ung thư miệng

Những dấu hiệu ung thư miệng

Bệnh viện đa khoa Nho Quan: Địa chỉ tin cậy trong khám chữa bệnh cho người dân

Bệnh viện đa khoa Nho Quan: Địa chỉ tin cậy trong khám chữa bệnh cho người dân

Người dùng Việt ngày càng cởi mở hơn với Y tế số

Người dùng Việt ngày càng cởi mở hơn với Y tế số

Gần 50% người trưởng thành ở thành thị có mỡ máu cao, thừa cholesterol

Gần 50% người trưởng thành ở thành thị có mỡ máu cao, thừa cholesterol

Tin mới cập nhật

Keysight và AMD tái định nghĩa đo đối chuẩn hiệu năng hạ tầng đám mây và biên mạng

Keysight và AMD tái định nghĩa đo đối chuẩn hiệu năng hạ tầng đám mây và biên mạng

Đài Loan công bố kế hoạch đào tạo bán dẫn miễn phí cho sinh viên Việt Nam

Đài Loan công bố kế hoạch đào tạo bán dẫn miễn phí cho sinh viên Việt Nam

Samsung biến 'mỗi giờ xem TV đều là giờ Trái Đất'

Samsung biến 'mỗi giờ xem TV đều là giờ Trái Đất'

Innodisk sẽ trình diễn tích hợp AI tại biên (EdgeAI) tại sự kiện NVIDIA GTC

Innodisk sẽ trình diễn tích hợp AI tại biên (EdgeAI) tại sự kiện NVIDIA GTC

Tình hình tài chính và khó khăn của Trường Quốc tế Mỹ Việt Nam

Tình hình tài chính và khó khăn của Trường Quốc tế Mỹ Việt Nam

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Lenovo Tab M11: tablet cho học tập và giải trí

Lenovo Tab M11: tablet cho học tập và giải trí

Làm thế nào để cải thiện chất lượng dịch vụ thẻ ngân hàng?

Làm thế nào để cải thiện chất lượng dịch vụ thẻ ngân hàng?

Keysight hỗ trợ triển khai các đổi mới sáng tạo về Massive MIMO cho Open RAN

Keysight hỗ trợ triển khai các đổi mới sáng tạo về Massive MIMO cho Open RAN

Vai trò trọng yếu của POS trong duy trì hoạt động bán lẻ liền mạch

Vai trò trọng yếu của POS trong duy trì hoạt động bán lẻ liền mạch

EVN được thực hiện việc tăng giá điện

EVN được thực hiện việc tăng giá điện

Samsung ra mắt Galaxy S24 Ultra bản đặc biệt, giới hạn 2.000 chiếc

Samsung ra mắt Galaxy S24 Ultra bản đặc biệt, giới hạn 2.000 chiếc

Tin đọc nhiều

AI sẽ được ứng dụng trong y tế như thế nào?

AI sẽ được ứng dụng trong y tế như thế nào?

Thiếu máy chụp MRI gây trễ hẹn cho bệnh nhân

Thiếu máy chụp MRI gây trễ hẹn cho bệnh nhân

Cảnh báo về thực phẩm chức năng chứa chất ma túy tổng hợp

Cảnh báo về thực phẩm chức năng chứa chất ma túy tổng hợp

Đột phá công nghệ trồng răng Implant thế kỷ 21

Đột phá công nghệ trồng răng Implant thế kỷ 21

Healthtech có thể bứt phá ở Việt Nam

Healthtech có thể bứt phá ở Việt Nam

Bước tiến mới trong y học tái sinh

Bước tiến mới trong y học tái sinh

Người dùng Việt ngày càng cởi mở hơn với Y tế số

Người dùng Việt ngày càng cởi mở hơn với Y tế số

Huế: Mỗi người dân được cấp một "Thẻ kiểm soát dịch bệnh"

Huế: Mỗi người dân được cấp một "Thẻ kiểm soát dịch bệnh"

Sơ suất của Bệnh viện đa khoa Hà Nội - Đồng Văn có thể khiến Hà Nam, Hà Nội,... thêm gánh nặng?

Sơ suất của Bệnh viện đa khoa Hà Nội - Đồng Văn có thể khiến Hà Nam, Hà Nội,... thêm gánh nặng?

Việt Nam đã chữa khỏi 90% ca nhiễm COVID-19, trong đó có 1 bác sĩ bị lây nhiễm chéo

Việt Nam đã chữa khỏi 90% ca nhiễm COVID-19, trong đó có 1 bác sĩ bị lây nhiễm chéo

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019