Bảo vệ thiết bị y tế trước nguy cơ tấn công mạng

Ngành công nghiệp chăm sóc sức khỏe đã và đang chiến đấu trên hai mặt trận trong đại dịch COVID-19. Mặt trận thứ nhất là chống lại virus và mặt trận thứ hai chính là chống lại sự bùng phát của các cuộc tấn công mạng.

Cơ quan y tế cho biết các cuộc tấn công mạng nhằm vào lĩnh vực y tế năm 2020 đã tăng 9,851% so với năm 2019.

Tất cả các ứng dụng công nghệ y tế mới này đều chạy trên phần mềm. MarketsandMarkets Research cho biết chi tiêu cho công nghệ thông tin chăm sóc sức khỏe sẽ tăng hơn 20% mỗi năm cho đến năm 2026 và phần lớn sự tăng trưởng đó sẽ đến từ phần mềm doanh nghiệp. Quá trình phát triển phần mềm - cả cho các chương trình tùy chỉnh và chương trình off-the-shelf (Sản phẩm off-the-shelf thường là sản phẩm phần cứng hoặc phần mềm máy tính được thiết kế riêng cho các mục đích sử dụng cụ thể và được cung cấp cho công chúng) - thường dựa vào “Software of Unknown Pedigree/Provenance (SOUP)” - những phần mềm có mã từ các thư viện mã nguồn mở hoặc các nguồn khác mà nhà phát triển sử dụng để tiết kiệm thời gian và tiền, bằng cách sao chép lập trình của các chức năng thông thường.

Hoạt động này cho phép họ phát triển và cập nhật phần mềm với tốc độ và quy mô, nhưng cũng có thể để lộ các lỗ hổng mà kẻ tấn công có thể sử dụng để đánh cắp dữ liệu bệnh nhân và thông tin cá nhân (PII - Personally Identifiable Information) hoặc cài đặt mã độc hại như phần mềm gián điệp hoặc phần mềm tống tiền, gây gián đoạn các dịch vụ chăm sóc sức khỏe quan trọng.

Trong môi trường này, việc bảo vệ các thiết bị y tế khỏi các lỗ hổng bảo mật trong mã nguồn mở và mã của bên thứ ba là điều bắt buộc. Các cuộc tấn công vào chuỗi cung ứng đang là mối quan tâm ngày càng tăng trong tất cả các lĩnh vực công nghiệp, thiết bị y tế là một bề mặt tấn công lớn cho loại mối đe dọa này.

Bảo vệ thiết bị y tế trước nguy cơ tấn công chuỗi cung ứng

Cục quản lý thuốc và thực phẩm (FDA) của Mỹ đã yêu cầu phải quản lý rủi ro đối với phần mềm của bên thứ ba và SOUP khác, cần được phê duyệt trước khi đưa các thiết bị y tế ra thị trường. Tuy nhiên, quản lý rủi ro phần mềm toàn diện, đặc biệt là phân tích tự động, cũng có thể giúp phân tích và sửa chữa các lỗ hổng trong phần mềm một cách tốc độ và quy mô.

Ví dụ, phân tích thành phần phần mềm có thể giúp quản lý rủi ro chuỗi cung ứng phần mềm bằng cách cung cấp thông tin chi tiết về mã nguồn mở và mã của bên thứ ba. Hóa đơn nguyên vật liệu phần mềm (SBOM) phải là một phần cơ bản của các nỗ lực quản lý rủi ro. 

Phân tích các nguồn phần mềm bên ngoài đòi hỏi các kỹ năng chuyên biệt và có thể tốn kém, mất thời gian. Các công cụ tự động có thể là chìa khóa để hiểu và quản lý rủi ro cũng như lập hồ sơ, theo dõi và truyền đạt các rủi ro liên quan đến SOUP.

Sau đây là một số phương pháp bảo mật phần mềm giúp giảm rủi ro và trách nhiệm pháp lý từ phần mềm của bên thứ ba:

Áp dụng các hướng dẫn mới khi phát triển phần mềm

Các kỹ thuật và phương pháp luận phát triển cả phần mềm và các thiết bị quan trọng đang ngày càng phát triển. Bất kỳ tổ chức nào cũng sẽ được hưởng lợi từ việc xem xét các phương pháp hay nhất về quản lý rủi ro, phát triển và bảo mật phần mềm. Việc xem phần mềm như một phần của quản lý chuỗi cung ứng rất quan trọng, cũng như đánh giá phần mềm về an toàn, chất lượng và bảo mật.

Kết hợp quản lý rủi ro với phân tích và đánh giá các mối đe dọa an ninh

Bảo mật phải là một phần của quản lý rủi ro thiết bị y tế ở tất cả các giai đoạn phát triển. Các phân tích an toàn có thể chỉ tập trung vào chức năng y tế của thiết bị và bỏ qua tính bảo mật không gian mạng của thiết bị, nhưng một thiết bị bị tấn công không phải là thiết bị an toàn. Đánh giá phải bao gồm chuỗi cung ứng phần mềm, bao gồm bất kỳ phần mềm bán sẵn và SOUP nào.

Quản lý chuỗi cung ứng phần mềm

Hầu hết việc phát triển phần mềm sẽ tiếp tục sử dụng lại mã hoặc tận dụng các chương trình thương mại hoặc mã nguồn mở hiện có. Việc tạo SBOM (hóa đơn nguyên vật liệu phần mềm) để hiểu cấu tạo của phần mềm cho phép tổ chức phát hiện các lỗ hổng có thể ẩn trong mã nguồn mở và mã của bên thứ ba. Việc giảm thiểu rủi ro này sẽ đòi hỏi các đánh giá liên tục về chất lượng và bảo mật của SOUP và các mã khác, nội bộ hoặc bên ngoài công ty.

Tích hợp các công cụ kiểm tra và phát triển tự động

Khi các phương pháp tiếp cận phần mềm phát triển, công cụ kiểm tra và phát triển tự động rất quan trọng để tổ chức có thể tận dụng các cơ hội tăng cường bảo mật, chất lượng và an toàn. Kiểm tra bảo mật ứng dụng tĩnh (Static Application Security Testing - SAST) là điều bắt buộc phải làm để tìm và sửa chữa các khiếm khuyết thông qua vòng đời phát triển phần mềm (SDLC). Ngoài ra, phân tích thành phần phần mềm phải là một việc làm quan trọng trong tự động hóa quá trình hiệu đính phần mềm.

Liên tục kiểm tra tính an toàn của phần mềm

Nhân viên bảo mật cần liên tục giám sát tính bảo mật của phần mềm đang được phát triển, khi phần mềm đó là một phần của quá trình tích hợp và triển khai liên tục. Việc xác nhận phần mềm đáp ứng các tiêu chuẩn đánh giá tuân theo yêu cầu của FDA về việc phê duyệt trước khi đưa ra thị trường và làm như vậy liên tục để tránh mọi cú sốc không mong muốn sau này trong quá trình phát triển.

Hãng nghiên cứu Forrester phát hiện ra rằng 85% các tổ chức chăm sóc sức khỏe tuyên bố họ rất hoặc cực kỳ quan tâm đến rủi ro bảo mật của các thiết bị IoT và 95% đang chi tiêu nhiều hơn để bảo mật thiết bị của họ trong hai năm tới. Quản lý chặt chẽ rủi ro chuỗi cung ứng trong suốt vòng đời phát triển phần mềm (SDLC – Software Development Life Cycle) nên là một phần quan trọng trong nỗ lực cung cấp các thiết bị y tế với tư duy ưu tiên bảo mật./.