Bảo đảm an toàn thông tin trong Y tế điện tử

10:55 | 21/09/2017

Mô hình Y tế điện tử (E-Health) đã và đang đem đến những dịch vụ y tế chất lượng cao. E-Health bao gồm các khâu: khám bệnh từ xa, hội chẩn từ xa, điều trị từ xa, huấn luyện, đào tạo chuyên môn trực tuyến cho các bệnh viện tuyến dưới, đội ngũ chăm sóc ảo... cho đến hồ sơ y tế điện tử (Electronic Health Record - HER). Bên cạnh đó, việc số hóa dữ liệu trong lĩnh vực chăm sóc sức khỏe sẽ hỗ trợ các giải pháp E-Health nhanh hơn và làm cho E-Health có mặt ở những khu vực, vùng miền mà hệ thống y tế truyền thống không thể thiết lập một cách hiệu quả.

Trong tương lai gần, tiềm năng của E-Health là rất lớn, phạm vi ứng dụng rộng. Khi dân số ngày càng già đi, mô hình bệnh tật của con người chuyển dần sang các bệnh mãn tính cần được điều trị lâu dài, đồng thời sự bùng nổ về công nghệ, tri thức, cũng như mức sống của con người được nâng cao..., E-Health sẽ dần đóng vai trò chủ chốt trong lĩnh vực y tế. Sự kết hợp của những công nghệ đột phá như: công nghệ đeo, phân tích dữ liệu lớn và giải mã DNA và mầm bệnh được cho là sẽ tạo nên cuộc cách mạng trong ngành công nghiệp chăm sóc sức khỏe, bởi những công nghệ này sẽ giúp cải thiện việc phòng ngừa, nâng cao khả năng tiếp cận dịch vụ chăm sóc sức khỏe, chẩn đoán sớm và đưa ra kế hoạch điều trị đầy đủ cho từng bệnh nhân.

Tuy nhiên, cùng với những lợi ích mang đến cho cuộc sống của con người, E-Health cũng tiềm ẩn những rủi ro an toàn thông tin (ATTT), bao gồm những cuộc tấn công lấy cắp hồ sơ y tế điện tử, dẫn đến lộ, lọt thông tin cá nhân nhạy cảm về sức khỏe và có nguy cơ đe dọa đến tính mạng con người. Vì vậy, song song với việc phát triển và ứng dụng những thành quả mà E-Health đem lại, cần có biện pháp đảm bảo an toàn, an ninh thông tin trong hệ thống.

Phát triển E-Health tại Việt Nam

Theo các chuyên gia y tế, điều kiện, tiềm năng để thực hiện E-Health ở nước ta khá lớn bởi: Việt Nam là một trong những nước có tỷ lệ tăng trưởng Internet cao nhất thế giới, với hơn 35% dân số sử dụng Internet, đã được phủ sóng 4G. Thêm nữa, với trình độ CNTT nước ta hiện nay, nếu biết kết hợp chặt chẽ với ngành Y tế có thể thực hiện E-Health ở nhiều hình thức, cấp độ khác nhau, cụ thể là hình thức y tế từ xa, khám, chữa bệnh, tư vấn cho bệnh nhân qua điện thoại di động (m-Health) và các thiết bị cầm tay khác sẽ phát triển.

Trên thực tế, việc phát triển E-Health tại Việt Nam cũng đã được triển khai từ rất sớm, đi đầu trong lĩnh vực này phải kể đến Bệnh viện Nhi Trung ương và Bệnh viện Việt Đức. Bệnh viện Nhi Trung ương đã tiến hành nhiều chương trình hội thảo, hội chẩn, đào tạo từ xa với các bệnh viện đa khoa ở địa phương khác như: Hòa Bình, Thái Nguyên, Nghệ An, TP. Hồ Chí Minh, Tiền Giang, Vĩnh Phúc, Lào Cai....

Kể từ ngày 01/7/2016, khi các cơ sở khám chữa bệnh trên cả nước triển khai thực hiện giám định bảo hiểm y tế (BHYT) điện tử, tới nay đã có hơn 13 nghìn trong tổng số 14 nghìn cơ sở y tế trên toàn quốc kết nối thành công vào hệ thống thông tin giám định BHYT của Bảo hiểm xã hội Việt Nam (BHXH). Hệ thống hoạt động trực tuyến này cung cấp các công cụ giúp cơ sở y tế khai thác thông tin, tra cứu thẻ BHYT, lịch sử khám chữa bệnh của người bệnh có BHYT và quản lý thông tuyến trên cả nước, giúp cho việc thanh toán chi phí khám chữa bệnh BHYT hiệu quả, kịp thời hơn trước. Người bệnh giảm được thời gian chờ khám bệnh, thanh toán viện phí, được cung cấp đầy đủ thông tin về chi phí được quỹ BHYT chi trả, tham gia giám sát quyền lợi được hưởng. Ngoài ra, các chi phí ngoài quy định sẽ được phát hiện và xử lý kịp thời, tránh được tình trạng lạm dụng quỹ BHYT.

Việc giám định BHYT điện tử là một bước thực hiện E-Health tạo ra đột phá trong công tác quản lý, cải cách thủ tục hành chính, giảm phiền hà cho dân, minh bạch về tài chính, tạo thuận lợi cho người bệnh, tiết kiệm đáng kể chi phí xã hội. Lợi ích lớn hơn mà việc này mang lại chính là thông qua sự kết nối toàn hệ thống phục vụ công tác điều hành của ngành Y tế, tập trung dữ liệu phân tích xu hướng bệnh tật của từng nơi, từng nhóm đối tượng, nhóm tuổi..., từ đó phục vụ công tác hoạch định chính sách chăm sóc sức khỏe nhân dân sát với thực tế, tạo ra những bước thay đổi căn bản trong phòng bệnh và khám chữa bệnh ở nước ta. 

Ngày 27/02/2016, Thủ tướng chính phủ đã ký Quyết định số 316/QĐ-TTg, phê duyệt Đề án tăng cường năng lực hệ thống quản lý chất lượng xét nghiệm y học giai đoạn 2016-2025. Một trong ba mục tiêu quan trọng của đề án là liên thông, công nhận kết quả xét nghiệm giữa các phòng xét nghiệm trên toàn quốc, bảo đảm lộ trình: chậm nhất đến năm 2018, liên thông kết quả xét nghiệm đối với các phòng xét nghiệm thuộc bệnh viện hạng đặc biệt, hạng 1 và tương đương; chậm nhất đến năm 2020, liên thông kết quả xét nghiệm đối với các phòng xét nghiệm có cùng mức chất lượng xét nghiệm trong phạm vi quản lý thuộc mỗi tỉnh, thành phố trực thuộc Trung ương; đến năm 2025, liên thông kết quả xét nghiệm đối với các phòng xét nghiệm trên phạm vi toàn quốc.

An toàn thông tin trong mô hình E-Health

Những lợi ích mà E-Health mang lại là rất lớn cả về ý nghĩa kinh tế và xã hội. Tuy nhiên, chính điều đó cũng mang lại những nguy cơ bị mâtất ATTT như: các tấn công vào dữ liệu hồ sơ điện tử của ngành chăm sóc sức khỏe và hệ thống cơ sở dữ liệu của ngành Y tế.

Hồ sơ y tế điện tử là một trong những thành công thiết thực nhất của việc ứng dụng công nghệ thông tin trong y tế vào đầu những năm 1990, nhưng đến nay, nó chưa thực sự hoàn thiện bởi những rủi ro ATTT và tính bảo mật, quyền bảo vệ thông tin cá nhân chưa được đảm bảo. Ví dụ, năm 2006 đã có hơn 170 nghìn bản ghi bị lỗi về đơn thuốc và phần lớn do khâu xử lý bằng máy tính; năm 2010 lại có những lỗi sai sót trong truyền tải dữ liệu. Khái niệm về một mô hình trung tâm dữ liệu quốc gia về chăm sóc sức khỏe còn chưa hoàn chỉnh, bởi trang thiết bị ở hầu hết các quốc gia ứng dụng E-Health đều quá nghèo nàn. Bộ luật “The Health Insurance Portability and Accountability Act” (HIPAA) đã được thông qua ở Mỹ vào năm 1996 nhằm thiết lập các quy tắc cho việc truy cập, xác thực, lưu trữ, kiểm toán và chuyển hồ sơ y tế điện tử.... Tuy nhiên, cũng đã phát sinh những lo ngại về sự đảm bảo ATTT của các tiêu chuẩn này. Trong năm 2013, các báo cáo dựa trên các tài liệu của Edward Snowden tiết lộ rằng NSA đã phá vỡ được các mã bảo vệ hồ sơ y tế điện tử này.

Những vi phạm bảo mật xảy ra trong ngành chăm sóc sức khỏe từng đứng trong nhóm 10 và dẫn đầu về số lượng bản ghi bị tấn công. Theo chỉ số bảo mật không gian mạng thông minh năm 2016 (2016 IBM X-Force Cyber Security Intelligence) của hãng IBM, số lượt đánh cắp hồ sơ, tài liệu chăm sóc sức khỏe đã tăng 1.100% trong năm 2015, với hơn 100 triệu hồ sơ trên toàn thế giới bị tổn hại.

Số liệu trong nghiên cứu thường niên lần thứ 5 về tính riêng tư và bảo mật đối với dữ liệu chăm sóc sức khỏe của Viện Ponemon cho thấy, trong hai năm 2015 và 2016, có 65% các tổ chức chăm sóc sức khỏe đã trải qua sự cố mất cắp dữ liệu trên các bản ghi điện tử và 54% trải qua sự cố an an toàn dữ liệu trên giấy; hơn 90% đã từng bị vi phạm dữ liệu và 40% trải qua hơn 5 vi phạm. Nghiên cứu ước tính rằng, ngành công nghiệp chăm sóc y tế chiếm 44% của tất cả các dữ liệu vi phạm năm 2013, nhiều hơn bất kỳ ngành kinh tế khác.

Năm 2015 có thể được xem là năm nổi bật cho các hành vi vi phạm dữ liệu y tế, chủ yếu vì các cuộc tấn công mạng vào 3 nhà cung cấp dịch vụ y tế hàng đầu tại Mỹ là Excellus Health Plan, Premera Blue Cross và Anthem. Số liệu thống kê từ hãng bảo mật Trend Micro cho biết, chỉ riêng tại Mỹ, năm 2015 đã có hơn 113 triệu đĩa dữ liệu đã bị đánh cắp.

Với sự bùng nổ của cuộc cách mạng Công nghiệp lần thứ 4, thông qua các công nghệ như Internet vạn vật (IoT), trí tuệ nhân tạo (AI), thực tế ảo (VR), tương tác thực tại ảo (AR), mạng xã hội, điện toán đám mây... đang chuyển hóa toàn bộ thế giới thực sang thế giới số. Các thiết bị IoT đang ngày càng trở nên phổ biến ở hầu hết các ngành công nghiệp, tạo ra một thế giới kết nối, mang đến cho các doanh nghiệp và người sử dụng khả năng tiếp cận với dữ liệu được sắp xếp hợp lý. Tuy nhiên, trong lĩnh vực chăm sóc sức khỏe, sự gia tăng của các thiết bị IoT cũng mang đến những mối lo ngại, đó là các lỗ hổng an ninh mạng trong thiết bị y tế. Chẳng hạn như việc cập nhật phần mềm của các thiết bị được các nhà sản xuất thiết bị hỗ trợ có thể bị tấn công và nhiễm mã độc, bộ phận điều khiển thiết bị cấy ghép không được bảo mật khiến chúng dễ dàng bị tấn công.... Các thiết bị y tế thông minh sẽ được sử dụng khắp mọi nơi, nhưng lại không được đảm bảo ATTT, khiến chúng trở thành mục tiêu dễ bị tấn công. Thậm chí, các thiết bị IoT này cũng có thể được sử dụng trong các cuộc tấn công DDoS như trường hợp vụ tấn công của botnet Mirai.

Một số yêu cầu đảm bảo ATTT trong mô hình E-Health

Về môi trường pháp lý: Mỗi tổ chức chăm sóc sức khỏe cần rà soát, chỉnh sửa bổ sung, ban hành đầy đủ các quy chế, quy định về an toàn, an ninh thông tin; Xây dựng các tiêu chuẩn, quy chuẩn kỹ thuật, xác định chiến lược, quy hoạch chính sách ATTT của tổ chức.

Triển khai các giải pháp kỹ thuật đảm bảo an toàn, an ninh thông tin: Quan tâm đầu tư trang thiết bị về ATTT; Thường xuyên cập nhật các bản vá lỗ hổng phần mềm từ các nhà cung cấp sản phẩm, dịch vụ; Ngoài ra, cần thay đổi mật khẩu định kỳ với các tài khoản email, facebook..., hạn chế việc sử dụng email miễn phí, trong trường hợp có đính kèm các tài liệu quan trọng gửi qua email phải đặt mật khẩu để đảm bảo an toàn; Triển khai giải pháp lưu nhật ký đối với các hệ thống thông tin quan trọng; Đầu tư, trang bị các hệ thống giám sát an toàn mạng và cảnh báo sớm các dấu hiệu tấn công mạng; Thiết lập hệ thống sao lưu dự phòng, đảm bảo tránh rủi ro mất dữ liệu khi có sự cố xảy ra.

Tăng cường công tác tuyên truyền, phổ biến: Tổ chức tuyên truyền để các bác sĩ, y tá, nhân viên trong các cơ sở y tế, cũng như bệnh nhân nhận thức đầy đủ vị trí, vai trò và tầm quan trọng của công tác đảm bảo ATTT mạng.

Xây dựng nguồn nhân lực thực hiện công tác an toàn, an ninh thông tin: Thành lập bộ phận chuyên trách về an toàn, an ninh thông tin trong tổ chức y tế; Tăng cường đào tạo, tập huấn bồi dưỡng kiến thức chuyên sâu về an toàn, an ninh thông tin cho cán bộ chuyên trách CNTT.

Đẩy mạnh phối hợp trong công tác đảm bảo an toàn, an ninh thông tin: Phối hợp với các cơ quan chuyên trách về ATTT trong nước và các tổ chức an ninh mạng để thực hiện các giải pháp an toàn, an ninh thông tin cũng như khắc phục sự cố về ATTT mạng.