Mỗi ngày, hàng triệu hình ảnh ngành y chứa thông tin sức khỏe của cá nhân người bệnh rò rỉ ra khắp Internet. Hàng trăm bệnh viên, cơ sở y tế và trung tâm xử lý hình ảnh đang sử dụng những hệ thống lưu trữ không an toàn, mở ra lỗ hổng cho phép bất kỳ ai có kết nối Internet đều có thể truy cập. Cơ sở dữ liệu chứa hàng tỷ hình ảnh mang thông tin nhạy cảm đang được che đậy một cách sơ sài.
Khoảng một nửa số hình ảnh đó – bao gồm ảnh X-quang, ảnh siêu âm và ảnh cắt lớp – thuộc về bệnh nhân trên đất Mỹ. Số ảnh còn lại thuộc bệnh nhân khắp thế giới.
Dù các nhà nghiên cứu bảo mật ra sức kêu gọi bệnh viện và các trung tâm y tế hãy để ý hơn tới vấn đề này, nhưng đa số họ vẫn ngó lơ, tiếp tục để thông tin nhạy cảm của bệnh nhân chơi vơi giữa Internet.
Dirk Schrader đang công tác tại Greenbone Networks của Đức, người dẫn đầu nghiên cứu về lỗ hổng bảo mật nói trên đưa nhận định: “Tình hình ngày càng xấu đi.” Suốt năm vừa qua, Shrader và đội ngũ nghiên cứu bảo mật đã theo dõi nhiều server ảnh và ghi lại những lỗ hổng không đáng có.
Greenbone Networks sở hữu nhiều tài liệu khẳng định sự tồn tại của vấn đề nhức nhối này. Những con số cụ thể gồm có: 24 triệu xét nghiệm và tài liệu khám chữa bệnh chứa tổng cộng 720 triệu hình ảnh rò rỉ hồi tháng Chín vừa qua. Hai tháng sau thời điểm đó, số lượng hình ảnh rò rỉ đã tăng lên gấp rưỡi – khoảng 35 triệu bài xét nghiệm đã rò rỉ, để lộ tổng cộng 1,19 tỷ hình ảnh chụp liên quan tới người bệnh.
Nhưng con số hàng triệu, hàng tỷ ấy không đánh thức được người trong cuộc. “Số lượng dữ liệu lộ ra ngoài ngày một tăng, đấy là chúng tôi đã tính cả lượng dữ liệu mới được ngắt liên kết Internet vì rò rỉ đấy nhé,” nhà nghiên cứu bảo mật Schrader cho hay.
Nếu các bác sĩ từ chối áp dụng các biện pháp bảo mật cần thiết, thì những con số vừa nêu sẽ sớm đạt mốc cao mới, một kỷ lục chẳng được ai tung hô.
Các nhà nghiên cứu nói rằng nguồn gốc vấn đề nằm tại các yếu điểm vẫn có trên server lưu trữ, vốn được bệnh viện, văn phòng bác sĩ, các trung tâm dữ liệu lưu trữ hình ảnh y khoa sử dụng. Hầu hết các cơ sở y tế lưu dữ liệu bệnh nhân với định dạng tệp cũ vài thập kỷ (và cũng là quy chuẩn ngành) mang tên DICOM, mục đích là để lưu được hình ảnh y khoa chỉ nội trong một file và dễ dàng chia sẻ giữa các cơ sở y tế.
Một người có thể xem hình ảnh lưu trữ dưới dạng DICOM với bất cứ ứng dụng miễn phí nào. Các hình ảnh DICOM được lưu trong hệ thống sao lưu và liên lạc, được gọi là server PACS, cho phép lưu và chia sẻ dễ dàng. Tuy nhiên, đa số các cơ sở y tế bỏ qua bước đặt mật khẩu cho server PACS, cứ thế kết nối nó với Internet.
Những server hớ hênh trước con mắt nhòm nhó của bất cứ ai, các thông tin nhạy cảm của bệnh nhân có thể rơi vào tay bất cứ ai có kết nối Internet. Những tấm phim chụp còn kèm theo cả tên tuổi, ngày sinh bệnh nhân cùng với những chẩn đoán bệnh (nhiều khi là nhạy cảm). Có một số bệnh viện Mỹ còn dùng số an sinh xã hội để xác định danh tính bệnh nhân cho dễ.
Lucas Lundgren, một nhà nghiên cứu bảo mật Thụy Điển, dành nhiều thời gian trong năm 2019 để theo dõi vấn đề bảo mật dữ liệu tại bệnh viện. Hồi tháng Mười một, anh chỉ cho phóng viên TechCrunch thấy việc truy cập dữ liệu trong bệnh viện dễ dàng thế nào: chỉ trong vài phút, Lundgren truy cập được dữ liệu bệnh nhân từ vài năm trước, để hớ hênh trên server của một trong những bệnh viện lớn nhất Los Angeles. Sau thời điểm này ít lâu, quản lý bệnh viện đã tiến hành những bước bảo mật cần thiết.
Tại Mỹ, một vài bệnh viện lớn nhất nhì quốc gia và nhiều cơ sở xử lý hình ảnh chính là nơi tồn tại nhiều lỗ hổng nhất. Nhà nghiên cứu Schrader lo ngại rằng những nguồn tin mật không được bảo vệ này sẽ biến bệnh nhân thành “nạn nhân toàn hảo cho các vụ lừa đảo chiếm đoạt tiền bảo hiểm y tế.”
Thế nhưng người bị hại – những bệnh nhân đang và đã được điều trị – lại không hề hay biết thông tin mật của mình hớ hênh trên mạng Internet. Những kẽ hở này sẽ bào mòn niềm tin giữa bệnh nhân và bác sĩ, khiến bệnh nhân giữ những thông tin trọng yếu cần thiết cho việc chẩn đoán chính xác.
Trong nỗ lực giúp vá lại những lỗ hổng bảo mật, Greenbone liên lạc với hơn một trăm tổ chức sở hữu server không an toàn. Nhiều cơ sở nhỏ nhanh chóng sửa sai, nhưng khi công ty an ninh mạng này liên hệ với 10 tổ chức lớn nhất trong danh sách dài – những nơi chiếm tới 1/5 lượng dữ liệu rò rỉ, thì “chẳng có phản hồi nào cả.”
Greenbone đưa cho trang tin công nghệ TechCrunch danh sách những tổ chức trên để TechCrunch có thể trực tiếp liên hệ làm rõ vấn đề. Trong số ba bệnh viện ở New York, một công ty X-quang ở Florida và một bệnh viện lớn ở California, thì chỉ duy nhất Công ty X-quang Đông Bắc Florida tiến hành các biện pháp đảm bảo an toàn cho server của mình.
Dựa theo số liệu của Greenbone, Công ty X-quang Đông Bắc sở hữu lỗ hổng rò rỉ lớn nhất nước Mỹ, với hơn 61 triệu hình ảnh của 1,2 triệu bệnh nhân. Sau khi nhận lời cảnh tỉnh từ TechCrunch, họ đã nhận ra vấn đề nghiêm trọng.
Theo lời Schrader, nếu những tổ chức còn lại tại Mỹ ngắt kết nối Internet của các server lưu trữ, gần 600 triệu hình ảnh nhạy cảm sẽ “biến mất” khỏi không gian mạng. Trách nhiệm này thuộc về cả hai phía: các cơ sở y tế vào cả các ban ngành liên quan; cơ sở y tế cần nhận thức được tầm quan trọng của các dữ liệu nhạy cảm họ đang có trong tay, cùng lúc đó những bộ, ban có trách nhiệm cần để ý hơn tới những cơ sở nhỏ, những nơi vốn thiếu tài nguyên để bảo vệ được dữ liệu của mình.
“Chúng tôi sẽ cố gắng hết sức để cải thiện tình hình chung của thế giới, liên quan tới những hệ thống nhiều lỗ hổng,” chuyên gia bảo mật Schrader nói. Nhưng anh cũng nói thêm rằng mình cũng không làm nhiều hơn thế được, chỉ có thể dừng lại ở mức cảnh báo các nhiều bên càng tốt thôi.
“Đây là vấn đề dành cho các ban ngành pháp luật.”
Theo Genk