Khi sử dụng máy tạo nhịp tim, máy bơm insulin và các thiết bị y tế cấy ghép khác (implanted medical device - IMD), chúng ta thường nghĩ đến lợi ích của chúng đối với người dùng. Tuy nhiên, theo thời gian, IMD đã phát triển để trở nên tinh tế và thông minh hơn với sự ra đời của kết nối không dây - tự liên kết với các nền tảng trực tuyến, đám mây và ứng dụng di động bằng kết nối qua bluetooth để bảo trì, cập nhật và giám sát, tất cả đều nhằm cải thiện chăm sóc bệnh nhân. Tuy nhiên, việc tồn tại một kết nối như vậy dù đã tạo ra một con đường tiềm năng để khai thác các lỗ hổng bảo mật trên thiết bị.
Gia tăng nguy cơ mất an toàn thông tin từ các thiết bị y tế cấy ghép
Thứ ba, 01/12/2020 15:44
Hiện nay, các thiết bị cấy ghép được sử dụng trong y tế có xu hướng ngày càng tăng nhưng thường bị bỏ qua yếu tố bảo mật. Đây là điểm yếu để tin tặc tấn công vào các thiết bị.
Vấn đề về các lỗ hổng và các con đường tấn công qua IMD lần đầu tiên được biết đến bởi vụ việc của St. Jude (hiện thuộc Abbott) năm 2017. Khi đó, Cơ quan Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) đã ra lệnh thu hồi 465.000 máy tạo nhịp tim do các lỗ hổng có thể bị khai thác từ xa và can thiệp hoạt động của thiết bị. Các thiết bị này không thể được rút ra để thay bằng một thiết bị mới một cách dễ dàng. Vì vậy, nhiều bệnh nhân sử dụng máy phải lựa chọn giải pháp đến gặp bác sĩ để cập nhật firmware.
Gần đây, các nhà nghiên cứu của CyberMDX (Mỹ) ước tính rằng, 22% các thiết bị hiện đang được sử dụng tại các bệnh viện đều dễ bị nhiễm BlueKeep - một lỗ hổng Windows trong dịch vụ truy cập từ xa (Microsoft Remote Desktop Protocol - RDP). Khi nói đến các thiết bị y tế được kết nối, con số này tăng lên 45%.
Theo Christopher Neal, Giám đốc an ninh thông tin của Ramsay Health Care (trụ sở chính tại Úc), nhiều thiết bị sử dụng ngày nay không được chế tạo theo thiết kế an toàn và đây là một vấn đề có thể sẽ ảnh hưởng đến thiết bị y tế trong nhiều thập kỷ tới.
Tại hội nghị Black Hat USA mới đây, tiến sĩ Alan Michaels, Giám đốc Phòng thí nghiệm Hệ thống Điện tử tại Trung tâm Công nghệ và An ninh Quốc gia Hume thuộc Học viện Bách khoa Virginia và State University, cũng có cùng quan điểm.
Tiến sĩ đã cùng với Zoe Chen, Paul O'Donnell, Eric Ottman và Steven Trieu nghiên cứu cách IMD có thể xâm phạm các không gian an toàn, chẳng hạn như những không gian được quân đội sử dụng, cơ quan an ninh và chính phủ.
Ở rất nhiều nước, nhiều cơ quan cấm các thiết bị di động và các sản phẩm kết nối Internet bao gồm điện thoại thông minh và thiết bị theo dõi thể dục trong các không gian an toàn vì lý do an ninh quốc gia.
Nếu thiết bị theo dõi thể dục hoặc điện thoại thông minh được coi là một nguy cơ, chúng có thể được giao nộp, khóa trong tủ khóa an toàn và nhận lại vào cuối ngày. Tuy nhiên, IMD khi được cấy ghép bên trong cơ thể thường bị bỏ qua hoặc được miễn hoàn toàn khỏi các quy tắc này.
Tiến sĩ Michaels ước tính rằng hơn năm triệu IMD đã được cài đặt, khoảng 100.000 trong số đó thuộc về các cá nhân được chính phủ Hoa Kỳ kiểm tra an ninh và giá trị của chúng đối với người dùng là không thể bỏ qua. Tuy nhiên, điều này không có nghĩa là chúng có thể không gây rủi ro cho bảo mật và nếu thiết bị của họ bị xâm phạm, người dùng có thể vô tình trở thành mối đe dọa từ bên trong.
Gia tăng nguy cơ mất an toàn thông tin từ các thiết bị y tế cấy ghép
Máy tạo nhịp tim, máy bơm insulin, thiết bị cấy ghép thính giác và các IMD dễ bị khai thác khác có thể bị lợi dụng để làm rò rỉ dữ liệu vị trí, cũng như các bộ dữ liệu quan trọng tiềm năng khác hoặc thông tin môi trường liên quan đến không gian an toàn, được thu thập từ các cảm biến, micrô có sẵn và đầu dò chuyển đổi thông tin từ môi trường thành tín hiệu và dữ liệu.
Ví dụ, có những thiết bị trợ thính thông minh trên thị trường được liên kết với kiến trúc đám mây và sử dụng máy học để ghi lại và phân tích âm thanh nhằm phản hồi và cải thiện hiệu suất của nó, nhưng nếu bị xâm phạm, chức năng này có thể bị tấn công.
Các thiết bị thu thập dữ liệu thụ động và dựa trên GPS được coi là có rủi ro thấp, trong khi các thiết bị sử dụng mã nguồn mở, với chức năng đám mây ứng dụng trí tuệ nhân tạo hoặc máy học, có tính năng kích hoạt bằng giọng nói được coi là có rủi ro trung bình đến cao.
Các biện pháp giảm thiểu rủi ro được đề xuất bao gồm:
- Danh sách trắng: Phê duyệt trước một danh sách các IMD được coi là đủ an toàn. Tuy nhiên, điều này đòi hỏi sự kiểm tra và nhất quán giữa các cơ quan khác nhau.
- Kiểm tra ngẫu nhiên: Các thiết bị đã được phê duyệt trước đây sẽ cần phải kiểm tra cài đặt của chúng. Nhưng việc kiểm tra chính sách này, trên thực tế, sẽ rất khó khăn, đặc biệt vì nó có thể yêu cầu quyền truy cập vào dữ liệu của nhà cung cấp độc quyền.
- Phát hiện sắt từ: Sử dụng máy dò để xác định thiết bị cấy ghép hoặc các thiết bị ngoại lai/IMD khác trước khi một cá nhân bước vào cơ sở, để đảm bảo rằng chúng nằm trong danh sách được phê duyệt.
- Xóa dữ liệu: Kiểm tra và xóa dữ liệu khỏi thiết bị trước khi thiết bị rời khỏi không gian an toàn có thể cải thiện tính bảo mật thông tin.
- Làm suy giảm tín hiệu vật lý: Khiến người mang thiết bị trở thành một chiếc lồng Faraday đi bộ để chặn tín hiệu khi ở trong cơ sở an ninh, chẳng hạn như bằng cách mặc áo vest. Nhưng theo lưu ý của tiến sĩ Michaels, điều này có thể là "cồng kềnh" trong thực tế.
- Phần mềm quản trị: Có thể phát triển mã để đặt IMD ở dạng chế độ máy bay, nhưng điều này sẽ yêu cầu các nhà phát triển đầu tư, thời gian và thử nghiệm.
- Gây nhiễu cá nhân: Người đeo có thể kích hoạt thiết bị gây nhiễu để tạo ra đủ tiếng ồn để ngăn thông tin được truyền đi. Tuy nhiên, điều này có thể ảnh hưởng đến tuổi thọ của pin.
Nhóm nghiên cứu nói rằng những tiến bộ đạt được trong lĩnh vực IMD đã vượt xa các chỉ thị bảo mật hiện tại, tạo ra nhu cầu xem xét chính sách mới và đã kêu gọi sửa đổi Bản ghi nhớ Chính sách Cộng đồng Tình báo (ICPM) 2005-700-1, Phụ lục D, Phần I bao gồm các IMD thông minh để duy trì tuân thủ Nguyên tắc Chính sách Cộng đồng Thông minh (ICPG) 110.1.
Tiến sĩ Michaels nói rằng, cách đơn giản nhất để ngăn IMD trở thành mối đe dọa trong các cơ sở an toàn là che chắn vật lý cho thiết bị và điều này có vẻ an toàn hơn nhiều so với việc sửa đổi firmware. Vì điều đó có thể tạo ra một hoạt động chưa được kiểm tra (mặc dù rất khó xảy ra) có thể ảnh hưởng đến các hoạt động dự kiến của nó hoặc sức khỏe của người dùng. Ông cũng nói thêm rằng các vấn đề bảo mật liên quan tới IMD có thể sẽ tăng lên theo thời gian và khi chúng có nhiều tính năng hơn, bảo mật sẽ trở thành một hành động cân bằng giữa luật pháp, điều mà các nhà cung cấp coi là "quyền riêng tư" và mức tiêu thụ pin - một trong số ít các yếu tố hạn chế IMD để có thể đi bao xa về mặt công nghệ thông minh. Có thể đây không phải là mối đe dọa ngay lập tức, mà là mối đe dọa ngày gia tăng theo thời gian và rất khó để khắc phục bằng việc thu hồi hay cập nhật firmware.