- Một cuộc tấn công mã độc tống tiền ransomware vào một mạng lưới bệnh viện lớn của Mỹ bắt đầu từ ba tuần trước đang gây nguy hiểm cho sức khỏe của bệnh nhân khi các y tá buộc phải nhập thông tin đơn thuốc theo cách thủ công và làm việc mà không có hồ sơ sức khỏe điện tử, y tá tại hai bệnh viện bị ảnh hưởng bởi cuộc tấn công mạng đã nói như vậy với hãng tin CNN.
Một y tá làm việc tại Bệnh viện Ascension Providence Rochester - một cơ sở có 290 giường bệnh nằm cách trung tâm thành phố Detroit khoảng 25 dặm về phía bắc, cho biết: “Vụ tấn công khiến tính mạng của bệnh nhân gặp nguy hiểm. Mọi người phải làm việc với quá nhiều bệnh nhân nên khó có thể đảm bảo được sự an toàn. Các y tá đang đảm nhận năm hoặc sáu bệnh nhân, phải xử lý tất cả các công việc trên giấy này.”
Một y tá khác đang làm việc tại bệnh viện Ascension 409 giường ở Birmingham, Alabama, nói với CNN: “Thật đáng sợ khi có bao nhiêu biện pháp đảm bảo an toàn đã ngừng hoạt động mà không có máy tính”.
Các y tá nói với điều kiện giấu tên để bảo vệ công việc của họ.
Cuộc tấn công mạng đã tấn công Ascension, một tổ chức phi lợi nhuận có trụ sở tại St. Louis, giám sát 140 bệnh viện trên 19 tiểu bang, vào ngày 8/5, nhưng mạng lưới chăm sóc sức khỏe vẫn đang nỗ lực để đưa hệ thống của mình hoạt động trở lại.
Các cuộc tấn công bằng ransomware nhằm cắt đứt quyền truy cập vào hồ sơ sức khỏe điện tử là chuyện thường xuyên xảy ra trong cuộc sống của người Mỹ. Lĩnh vực chăm sóc sức khỏe đã báo cáo 249 vụ tấn công ransomware cho FBI vào năm ngoái, nhiều hơn bất kỳ lĩnh vực nào khác, với một số trường hợp ảnh hưởng đến hồ sơ bệnh nhân.
Tuy nhiên, sự cố Ascension đang làm dấy lên mối lo ngại về mối đe dọa đối với sức khỏe bệnh nhân gây ra bởi tội phạm mạng theo cách mà nhiều cuộc tấn công bằng ransomware khác nhằm vào các nhà cung cấp dịch vụ y tế Mỹ không làm trước đây, theo các cuộc phỏng vấn với các y tá và chuyên gia an ninh mạng.
Hai y tá của Ascension cho biết trong các cuộc phỏng vấn riêng rằng họ cảm thấy choáng ngợp trước sự chuyển đổi đột ngột sang hồ sơ giấy sau cuộc tấn công mạng, thất vọng bởi kế hoạch xử lý tình huống của bệnh viện và lo lắng rằng họ hoặc đồng nghiệp của họ sẽ mắc sai lầm khi nhập thông tin y tế quan trọng của bệnh nhân.
Y tá ở Rochester, Michigan cho biết: “Tôi không nhận được bất kỳ lệnh nào trong máy tính. Tôi không thể nhìn thấy phòng thí nghiệm nào được đặt hàng và kết quả của chúng.”
OPEIU Local 40, một công đoàn đại diện cho các y tá tại Bệnh viện Ascension Providence Rochester, đã gửi một bản kiến nghị trực tuyến vào cuối tuần vừa rồi, trong đó nói rằng các thành viên công đoàn “quan ngại sâu sắc về những thách thức hiện tại mà các chuyên gia chăm sóc sức khỏe của chúng ta phải đối mặt” vì cuộc tấn công mạng và kêu gọi bệnh viện thực hiện một một loạt các bước khắc phục, bao gồm hạn chế tỷ lệ y tá trên bệnh nhân.
Ông Mac Walker, giám đốc quan hệ truyền thông của Ascension, đã không trả lời các câu hỏi của báo chí về đơn thỉnh cầu hoặc bình luận của các y tá về sự an toàn của bệnh nhân. Thay vào đó, ông Walker đã gửi email tuyên bố này vào sáng ngày hôm qua (29/5).
Tuyên bố của ông Walker cho biết: “Khôi phục quyền truy cập EHR (hồ sơ sức khỏe điện tử) là một trong những ưu tiên hàng đầu trong quá trình phục hồi của chúng tôi. Do các nhóm của chúng tôi đã làm việc chăm chỉ trong nhiều ngày qua, chúng tôi đã khôi phục thành công quyền truy cập EHR ở thị trường đầu tiên của mình và đang tích cực tiến hành kế hoạch khôi phục quyền truy cập trên toàn mạng của chúng tôi trên cơ sở luân phiên.” Ông Walker không trả lời khi được hỏi “thị trường đầu tiên” của Ascension nghĩa là gì.
Ascension, mạng lưới bệnh viện lớn thứ tư nước Mỹ xét theo một số yếu tố, cho biết trong một tuyên bố công khai hồi cuối tuần vừa rồi rằng rằng họ đã làm việc “24/24 với các chuyên gia an ninh mạng hàng đầu trong ngành để khôi phục hoạt động một cách an toàn trên mạng của chúng tôi”.
Sau vụ hack Ascension và một vụ tấn công ransomware khác vào tháng 2 làm gián đoạn việc thanh toán bảo hiểm tại các hiệu thuốc trên khắp nước Mỹ, các quan chức chính quyền của Tổng thống Joe Biden cho biết họ đang chuẩn bị đưa ra một bộ yêu cầu an ninh mạng tối thiểu đối với các bệnh viện ở Mỹ. Tuy nhiên, các chuyên gia cho biết, các thách thức an ninh mạng trong lĩnh vực y tế là vô số và vượt quá phạm vi của bất kỳ quy định chính sách nào.
Các quan chức cấp cao của Nhà Trắng và Bộ Y tế và Dịch vụ Nhân sinh có kế hoạch gặp các giám đốc điều hành an ninh mạng của các công ty chăm sóc sức khỏe để thảo luận về cách bảo vệ bệnh viện tốt hơn khỏi tin tặc, ba nguồn tin nắm rõ thông tin về cuộc họp đã tiết lộ như vậy.
Thời gian chờ đợi quá lâu để có kết quả xét nghiệm
Trong tuyên bố với báo chí, Ascension nói rằng nhân viên của họ “được đào tạo phù hợp để duy trì dịch vụ chăm sóc chất lượng cao trong thời gian máy tính ngừng hoạt động”.
Tuy nhiên, các y tá được báo chí phỏng vấn nói rằng việc chuyển sang sử dụng hồ sơ giấy và các hoạt động thủ công đang gây thiệt hại cho hoạt động của bệnh viện. Theo hai y tá, khi máy tính ngừng hoạt động, các bác sĩ đã viết đơn thuốc bằng giấy cho bệnh nhân, sau đó y tá đưa vào máy để nhập thủ công mà không cần kiểm tra chéo từ nhà thuốc địa phương.
Y tá ở Birmingham, Alabama cho biết phải mất một thời gian dài quá mức mới có được kết quả xét nghiệm vì vụ hack. Y tá cho biết, một “stat lab”, được hiểu là công việc trong phòng thí nghiệm cần thiết để đưa ra quyết định nhanh chóng về việc chăm sóc bệnh nhân, thường mất từ 30 phút đến một giờ để xử lý, nhưng giờ đây đã mất hàng giờ.
Vấn đề ngày càng đáng lo ngại đối với các bệnh viện
Các cuộc tấn công bằng ransomware ở Mỹ thường xuyên buộc các bệnh viện phải chuyển hướng xe cứu thương và hủy các cuộc hẹn. Điều đó gây ra căng thẳng cho các bệnh viện lân cận khi họ phải xử lý công việc mà các bệnh viện bị tấn công mạng không làm được. Tuy nhiên, sự thiếu hiểu biết rõ ràng của công chúng về cách các cuộc tấn công mạng vào bệnh viện ảnh hưởng trực tiếp thế nào đến việc chăm sóc bệnh nhân đang làm giảm tính cấp thiết để giải quyết vấn đề này, các chuyên gia về an ninh mạng và chăm sóc sức khỏe cho hay.
Các nhà nghiên cứu đang ngày càng tính toán mức độ nguy hiểm của các cuộc tấn công ransomware.
Theo các học giả tại Trường Y tế Công cộng thuộc Đại học Minnesota - người đã nghiên cứu 374 cuộc tấn công bằng ransomware vào các nhà cung cấp dịch vụ y tế, khoảng 3 trong 100 bệnh nhân Medicare nhập viện sẽ chết trong bệnh viện trong điều kiện bình thường, nhưng trong một cuộc tấn công bằng ransomware, con số đó tăng lên 4 trên 100 do sự căng thẳng về nguồn lực của bệnh viện.
Các chuyên gia cho rằng một phần của vấn đề là một số bệnh viện đã thất bại trong các cuộc kiểm tra cơ bản về “vệ sinh” an ninh mạng hoặc các biện pháp phòng thủ hợp lý, trong khi nhiều phòng khám nhỏ thiếu nguồn lực để tự bảo đảm vấn đề này. Và, có lẽ hơn bất kỳ lĩnh vực nào khác, các công ty chăm sóc sức khỏe nắm giữ một khối lượng dữ liệu nhạy cảm khổng lồ - miếng mồi béo bở cho các kế hoạch nhắm mục tiêu và tống tiền.
Theo một nghiên cứu của công ty bảo mật Rubrik, số lượng hồ sơ dữ liệu nhạy cảm do ngành chăm sóc sức khỏe nắm giữ đã tăng hơn 63% vào năm ngoái, “vượt xa hơn rất nhiều so với bất kỳ ngành nào khác và gấp hơn 5 lần mức trung bình toàn cầu”.
Vào tháng 2, tội phạm mạng đã đột nhập vào một máy chủ không bảo mật được sử dụng bởi Change Healthcare - một gã khổng lồ về thanh toán bảo hiểm xử lý khoảng 15 tỷ giao dịch chăm sóc sức khỏe hàng năm. Vụ hack đã cắt đứt nguồn doanh thu hàng tỷ USD của các nhà cung cấp dịch vụ chăm sóc sức khỏe và làm ảnh hưởng đến dịch vụ tại các hiệu thuốc trên khắp nước Mỹ.
Andrew Witty, Giám đốc điều hành của UnitedHealth Group, công ty sở hữu Change Healthcare, đã xin lỗi trong phiên điều trần Quốc hội gần đây về sai sót bảo mật và cho biết ông đã ủy quyền thanh toán khoản tiền chuộc 22 triệu USD cho tin tặc để cố gắng bảo vệ dữ liệu của bệnh nhân. Tuy nhiên, ông nói, một phần ba người Mỹ có thể đã bị đánh cắp dữ liệu trong vụ hack.
Các nhà cung cấp dịch vụ chăm sóc sức khỏe cũng là các mục tiêu hấp dẫn cho những kẻ tống tiền trên mạng vì các bệnh viện không thể ngừng hoạt động trong thời gian dài do sự gián đoạn mà nó gây ra cho hoạt động.
Bryan Vorndran, quan chức cấp cao nhất tập trung vào mạng của FBI, cho biết trong một cuộc trả lời phỏng vấn rằng: “Khi chúng tôi xem xét các mục tiêu của những cuộc tấn công ransomware, đó là: ai là mục tiêu dễ bị nhắm mục tiêu nhất, ai hầu như không thể ngừng hoạt động và ai sẵn sàng trả tiền cao nhất”.
Chuyên gia Vorndran nói: “Và ở những nơi có môi trường mà khó có thể ngừng hoạt động lâu, rõ ràng bạn sẵn sàng trả nhiều tiền hơn so với những môi trường mà họ có thể chịu được thời gian ngừng hoạt động lâu. Tôi nghĩ tất cả những điều đó không chỉ liên quan đến lĩnh vực chăm sóc sức khỏe mà còn liên quan đến một số lĩnh vực khác.”