#AnNinhMạngNHS #KhủngHoảngAnNinhMạng
An ninh mạng đang trở thành một vấn đề ngày càng đáng lo ngại đối với lĩnh vực chăm sóc sức khỏe, đặc biệt là với NHS. Với bối cảnh rộng lớn của NHS và mức độ trưởng thành kỹ thuật số thấp, nhiều cuộc tấn công mạng đã xảy ra trên hệ thống.
Deryck Mitchelson, giám đốc an ninh thông tin tại Check Point Software Technologies Ltd và Chris Scarisbrick, giám đốc bán hàng tại Sectra đã thảo luận về các mối đe dọa và thách thức đối với NHS, chính sách quốc gia và vai trò của các công ty trong việc thúc đẩy khả năng phục hồi không gian mạng.
Mike Fell, giám đốc điều hành hoạt động mạng quốc gia tại NHS England cũng đã đưa ra những giải pháp cho các tổ chức NHS trong việc bảo vệ hệ thống trước các cuộc tấn công mạng.
Tuy nhiên, bối cảnh rộng lớn và thiếu sự trưởng thành về kỹ thuật số của NHS là nguyên nhân chính dẫn đến nhiều cuộc tấn công mạng xảy ra. Scarisbrick cho rằng, NHS nên thu hẹp phạm vi của nó để dữ liệu được lưu trữ ở ít nơi hơn để giảm khả năng tấn công mạng.
Mitchelson hy vọng có kế hoạch triển khai cụ thể để đạt được khả năng phục hồi không gian mạng của NHS vào năm 2030, trong khi Fell lưu ý đến việc quản lý các lỗ hổng CNTT quan trọng và triển khai xác thực đa yếu tố để bảo vệ hệ thống.
Dù vậy, an ninh mạng vẫn đang là một thách thức lớn với NHS và các tổ chức y tế khác, đặc biệt là khi NHS đang triển khai nhiều công nghệ mới. Chúng ta cần học hỏi từ các cuộc tấn công và sai lầm trước đây để tăng cường an ninh mạng, tránh tình trạng khủng hoảng an ninh mạng đối với NHS và lĩnh vực chăm sóc sức khỏe.
An ninh mạng là một vấn đề ngày càng gia tăng đối với lĩnh vực chăm sóc sức khỏe, với bối cảnh rộng lớn của NHS và việc thiếu sự trưởng thành về kỹ thuật số là những lý do chính dẫn đến nhiều cuộc tấn công xảy ra trên hệ thống.
Digital Health News đã nói chuyện riêng với Deryck Mitchelson, giám đốc an ninh thông tin (CISO) tại Check Point Software Technologies Ltd và cựu giám đốc kỹ thuật số và CISO quốc gia tại NHS Scotland, và Chris Scarisbrick, giám đốc bán hàng và phó giám đốc điều hành tại Sectra, về mạng. các mối đe dọa và thách thức đối với NHS, chính sách quốc gia và vai trò mà các công ty của họ đang thực hiện trong việc thúc đẩy khả năng phục hồi không gian mạng.
Mike Fell, giám đốc điều hành hoạt động mạng quốc gia tại NHS England, cũng đã trả lời riêng một số câu hỏi chính do Digital Health News đặt ra cho ông.
Các mối đe dọa và thách thức trên mạng của NHS
NHS đang phải đối mặt với nhiều mối đe dọa và thách thức trên mạng hơn bao giờ hết, với nhiều người trong lĩnh vực này, bao gồm cả Mitchelson, mô tả tình hình hiện tại là một “cuộc khủng hoảng trong lĩnh vực chăm sóc sức khỏe”.
Trong một bài thuyết trình gần đây tại CPX London, một hội nghị an ninh mạng thường niên được tổ chức bởi Phần mềm kiểm tra điểmMitchelson tiết lộ rằng vào tháng 5 năm 2023, có 1383 cuộc tấn công mạng vào lĩnh vực chăm sóc sức khỏe mỗi tuần, so với 797 cuộc tấn công hàng tuần vào tháng 5 năm 2022.
Nói chuyện với Digital Health News sau đó, anh ấy đặt các vấn đề về mạng của NHS xuống do bối cảnh rộng lớn và thiếu sự trưởng thành về kỹ thuật số.
“Họ (NHS) có hệ thống và dữ liệu ở khắp mọi nơi, đó là thách thức lớn nhất. Cảnh quan rất lớn; Tôi không nghĩ vấn đề nhất thiết là họ gặp vấn đề về IoT, vấn đề là toàn bộ trạng thái,” Mitchelson nói.
“Họ đến từ một thời điểm mà họ chưa trưởng thành về mặt kỹ thuật số. Vì vậy, ban đầu, họ đã thực hiện số hóa, do đó, có ít giấy tờ hơn trước đây, nhưng họ không có các quy trình tự động xuyên suốt.”
Ông cũng đổ lỗi cho “sự lãng phí và hiệu quả trong NHS” và thực tế là “sự phức tạp là thứ giết chết” hệ thống chăm sóc sức khỏe.
Scarisbrick chia sẻ quan điểm rằng NHS hiện không được bố trí tốt nhất để đối phó với các cuộc tấn công mạng và nên thu hẹp phạm vi của nó để dữ liệu được lưu trữ ở ít nơi hơn.
Anh ấy nói: “Vì nhiều lý do, chúng tôi được trang bị rất kém để đối phó với các mối đe dọa mạng tồn tại ngày nay… ngành chăm sóc sức khỏe có khả năng bị tấn công mạng cao hơn gấp đôi so với bất kỳ ngành nào khác.”
“Đã từng có một tầm nhìn được nhận thức rằng việc đặt tất cả trứng của bạn vào một giỏ, một vị trí trung tâm là mối đe dọa lớn hơn so với việc giữ kín dữ liệu trong các kho lưu trữ liên kết, v.v.
“Những gì chúng tôi đang thấy là nếu bạn giảm số lượng nơi lưu trữ dữ liệu của bạn và số lượng cơ sở hạ tầng tồn tại, thì sẽ có ít véc-tơ có sẵn để tấn công hơn và mã độc có thể tìm đường xâm nhập vào hệ thống sẽ ít hơn. ,” Anh ấy đã giải thích.
Fell nhấn mạnh rằng “mối đe dọa mạng quan trọng nhất mà lĩnh vực này phải đối mặt là mã độc tống tiền” được “sử dụng trong các cuộc tấn công tìm kiếm lợi nhuận, thường do các nhóm tội phạm có tổ chức dàn dựng”.
Ông nói thêm: “Các tổ chức NHS có thể giúp bảo vệ hệ thống bằng cách quản lý các lỗ hổng CNTT quan trọng và triển khai xác thực đa yếu tố, giúp giảm khả năng thành công trước các mối đe dọa trên mạng.
“Nhân viên NHS cũng có thể thực hiện các bước đơn giản để cải thiện bảo mật trực tuyến, chẳng hạn như đặt mật khẩu mạnh, khóa thiết bị khi không sử dụng và nhận thức được các hành vi lừa đảo qua email và lừa đảo.”
Chậm phát triển chính sách quốc gia
Chính sách quốc gia rõ ràng từ chính phủ Vương quốc Anh về bảo vệ không gian mạng trong y tế và chăm sóc đã bị thiếu hụt trong vài năm qua, cho đến năm nay khi Chiến lược An ninh mạng cho Chăm sóc Sức khỏe và Xã hội dành cho Người trưởng thành đã được Bộ Y tế và Chăm sóc Xã hội xuất bản vào tháng 3.
Chiến lược đặt ra cách đạt được khả năng phục hồi không gian mạng trong toàn ngành vào năm 2030 và đang được nhiều người coi là chất xúc tác cho sự thay đổi trong bảo mật NHS, đặc biệt là sau cả hai Muốn khóc Và Trình độ cao các cuộc tấn công mạng vào NHS.
Tuy nhiên, đối với Mitchelson, mặc dù rất vui khi an ninh mạng hiện là vấn đề quốc gia, nhưng ông muốn thấy hành động hơn là chỉ nói suông.
“Tôi thấy có rất nhiều cuộc nói chuyện, nhưng điều tôi vẫn muốn thấy, để những điều này có thể đạt được, là các kế hoạch có thể thực hiện được, các kế hoạch triển khai cho thấy cách chúng tôi đi từ vị trí hiện tại đến việc thực sự bắt đầu cung cấp các dịch vụ này vào năm 2030.
“Cho đến khi bạn nhìn thấy chi tiết, tôi sẽ luôn hơi bi quan. Tôi nghĩ mọi thứ đã tiến triển để nói rằng chúng tôi muốn làm mọi thứ trên toàn quốc, chúng tôi muốn làm mọi thứ một lần thay vì hàng chục lần, nhưng tôi không chắc chi tiết để làm điều đó ở đâu,” Mitchelson nói.
Ông cũng bày tỏ sự thất vọng rằng chiến lược gần đây của chính phủ là dành cho nước Anh chứ không phải toàn bộ Vương quốc Anh.
Đạt được khả năng phục hồi không gian mạng
với diễn đàn Kinh tế Thế giới cảnh báo rằng “chúng ta nên chuẩn bị cho một đại dịch mạng giống như Covid”, không ai có thể tự tin dự đoán thời điểm NHS sẽ thấy an ninh mạng hoàn chỉnh. Nhưng khi NHS triển khai nhiều công nghệ hơn, chắc chắn nó sẽ mở ra nhiều cơ hội hơn cho bọn tội phạm mạng.
Scarisbrick tin tưởng rằng hệ thống y tế của chúng ta sẽ an toàn hơn vì chúng ta đang học hỏi từ các cuộc tấn công và sai lầm trước đây và không gian mạng hiện là một vấn đề quốc gia rõ ràng.
Anh nói: “Tôi nghĩ chúng ta sẽ yên tâm hơn. WannaCry đã giúp làm được điều đó, đó là một cú hích lớn và giờ đây các bộ phận CNTT trong các bệnh viện đang siêng năng hơn nhiều trong việc đảm bảo rằng các bản vá bảo mật, v.v. được tung ra.
“Tôi không nghĩ dịch vụ y tế còn ngây thơ như trước đây khi nói về mức độ tàn phá của những cuộc tấn công này và ngày nay chúng ta thông minh hơn nhiều về những gì đang diễn ra.”
Mitchelson cũng hy vọng nhưng thận trọng hơn về khả năng đảm bảo an toàn cho NHS trước khi nó được số hóa hoàn toàn. Ông nói thêm: “NHS không phải là một tổ chức kỹ thuật số hiện đại; chúng ta có thể cần phải thay đổi cách chúng ta làm điều đó (an ninh mạng) và mọi người có thể không hài lòng.”
Fell nhấn mạnh sự cần thiết của tổ chức chăm sóc và sức khỏe phải chuẩn bị sẵn sàng cho các mối đe dọa trên mạng và sẵn sàng phản ứng khi một cuộc tấn công xảy ra, để có khả năng phục hồi tốt nhất có thể.
“Các mối đe dọa trên mạng luôn hiện hữu và không ngừng phát triển, vì vậy các tổ chức chăm sóc và sức khỏe kỹ thuật số phải luôn chuẩn bị và sẵn sàng ứng phó.
Ông nói: “Mạng luôn phải được quản lý như một rủi ro và một cách tiếp cận hợp tác và thống nhất là chìa khóa để cải thiện an ninh mạng trong lĩnh vực chăm sóc sức khỏe và xã hội.
“Tầm nhìn của chúng tôi đối với lĩnh vực chăm sóc sức khỏe và xã hội là giúp ngành này có khả năng chống lại các cuộc tấn công mạng, giảm thiểu tác động đối với bệnh nhân và giúp họ an toàn hơn và được chăm sóc tốt hơn.”
Chơi phần của họ
Cả phần mềm Check Point và giáo phái đóng vai trò quan trọng trong an ninh mạng trong NHS và lĩnh vực chăm sóc sức khỏe. Scarisbrick chỉ ra rằng nhiều người sẽ không biết rằng tên của Sectra là viết tắt của Secure Transmission và là một công ty an ninh mạng trước khi họ là một công ty y tế.
Ông nói: “Hiện chúng tôi đang tích cực làm việc để đưa nhân viên từ bộ phận mạng sang bộ phận chăm sóc sức khỏe và từ bộ phận chăm sóc sức khỏe sang bộ phận mạng và điều đó có tác dụng nâng cao kỹ năng cho các nguồn lực của chúng tôi, đặc biệt là trong lĩnh vực y tế từ lĩnh vực mạng”.
Check Point, công ty hàng đầu về các giải pháp an ninh mạng, cung cấp nhiều dịch vụ quan trọng trên NHS, Mitchelson mô tả công ty là “những người chơi nặng ký trên thị trường” nhưng cũng là “những người chơi nặng ký trên toàn thế giới”.
Ông nói: “Công ty có hiểu biết sâu sắc về dữ liệu chăm sóc sức khỏe, sự di chuyển của dữ liệu và nó trông như thế nào.
“Chúng tôi thực sự là một đối tác thông minh trong lĩnh vực chăm sóc sức khỏe và tôi có thể thấy điều đó ngày càng phát triển.”
NHS England với tư cách là một tổ chức có vai trò quan trọng trong việc đảm bảo tất cả các tổ chức chăm sóc sức khỏe và y tế được trang bị đầy đủ nhất có thể để chống lại và phản ứng với các cuộc tấn công mạng.
Trung tâm điều hành an ninh mạng được thành lập để giúp đạt được điều này, cũng như các thỏa thuận khác nhau trên toàn NHS cho các công nghệ bảo mật tiên tiến.
Fell cho biết: “Khi chúng tôi xây dựng hệ thống chăm sóc sức khỏe và xã hội của tương lai, chúng tôi có cơ hội thiết kế lại các cấu trúc và công nghệ hiện có với tính bảo mật là cốt lõi của chúng. Điều này có nghĩa là tham gia sớm với công nghệ mới nổi và thiết lập các tiêu chuẩn về cách xây dựng và triển khai công nghệ đó.
“Cuối cùng, chúng ta phải đảm bảo rằng mọi tổ chức trên toàn hệ thống đều được trang bị để giảm thiểu cả tác động của sự cố mạng và thời gian cần thiết để phục hồi sau sự cố đó. Điều này có nghĩa là đảm bảo rằng các dịch vụ quan trọng nhất của NHS vẫn có thể tiếp tục ở mức chấp nhận được trước đó trong trường hợp bị tấn công mạng.”
