‘Mô hình bảo mật cho My Health Record thật kinh khủng'

Thứ sáu, 02/12/22, 16:17 Australia/Sydney

Dữ liệu y tế của Úc cần thêm nhiều biện pháp bảo vệ mạnh mẽ hơn. Ảnh: Getty / JuSun

AUSTRALIA - Các chuyên gia y tế cho biết, cần thực hiện nhiều bước hơn để bảo vệ dữ liệu về sức khỏe của người Úc sau vụ xâm nhập dữ kiện của Medibank. Khuyến cáo được đưa ra khi luật mới được Quốc hội thông qua, tăng mức phạt tối đa đối với các vi phạm dữ liệu nghiêm trọng lên 50 triệu đô-la.

Sau khi vụ xâm nhập Medibank làm lộ thông tin chi tiết về sức khỏe của 9,7 triệu người Úc, các chuyên gia về quyền riêng tư và an ninh mạng đang cảnh báo rằng, dữ liệu y tế vẫn là mục tiêu chính của tin tặc.

Khoảng 40 phần trăm dân số, bị ảnh hưởng bởi vụ xâm nhập Medibank.

Vụ nầy làm dấy lên lo ngại về một cơ sở dữ liệu sức khỏe khác, đó là ‘Dữ kiện Y tế của Tôi’ hay ‘My Health Record’.

Ông David Vaile, chủ tịch của Hiệp hội Quyền Riêng tư Úc Châu nói rằng,‘My Health Record’ của chính phủ liên bang, có thể là đối tượng bị ‘xâm nhập dữ liệu lớn lao’.

Ông David Vaile nói “Mô hình bảo mật cho ‘Hồ sơ Y tế của tôi’ thật kinh khủng, tôi đã theo dõi nó và cố gắng tham gia vào cuộc thảo luận này và đã đã đội các mũ nhiều lần trong khoảng 10 hoặc 15 năm".

"Họ đã kết thúc với một thứ mà có một loại quyền truy cập mặc định, đó không phải là hàng chục ngàn người, mà có thể là hàng trăm ngàn người”.

Được biết hệ thống được thiết kế, để cho phép các bác sĩ có thể truy cập thông tin bệnh nhân, thế nhưng ông Vaile nói rằng, đó cũng là mắt xích yếu kém.

Ông David Vaile nói “Tại một giai đoạn trong cuộc tranh luận khi lần đầu tiên, hoặc những lần lặp lại ‘Hồ sơ Y tế của tôi’ mà họ thiết lập gây ra mọi ồn ào, với ước tính nằm trong khoảng từ 700 ngàn đến 1,1 triệu người Úc, có khả năng tiếp cận Hồ sơ sức khỏe của tôi".

"Hầu như tất cả họ không phải là bác sĩ điều trị thực sự của bạn và hầu như tất cả bọn họ, bạn không hề có mối quan hệ nào”.

Được biết Cơ sở dữ liệu trực tuyến, được chính phủ liên bang thành lập vào năm 2012.

Nó chứa hồ sơ của hơn 23,4 triệu người Úc, với các thông tin như báo cáo chuyên khoa, kết quả xét nghiệm, đơn thuốc, hồ sơ nha khoa, chi tiết thanh toán và ghi chú về các triệu chứng cùng chẩn đoán.

Trong khi đó Cơ quan Y tế Kỹ thuật số Úc là đơn vị quản lý nền tảng này cho biết, 90% người Úc có hồ sơ ‘My Health Record’ và đã có sự gia tăng lớn về số lượng trong đại dịch, khi mọi người cần giấy chứng nhận tiêm chủng COVID-19.

Trong khi đó Tiến sĩ David Glance là giám đốc Trung tâm Thực hành Phần mềm tại Đại học Tây Úc.

Ông cho biết, cơ sở hạ tầng bảo mật cho ‘My Health Record’ khá mạnh, nhưng có lẽ là do chứa ít thông tin hơn so với Medibank.

Tiến sĩ David Glance nói “My Health Record vẫn không được sử dụng nhiều, bất chấp mọi nỗ lực của chính phủ để làm cho nó trở nên hữu ích".

"Vì vậy thực sự lượng thông tin trong đó có phần hạn chế và chắc chắn sẽ ít rắc rối hơn Medibank, ví dụ như những người có các dữ liệu về khiếu nại và về sức khỏe tâm thần, thủ tục phá thai và những thứ khác nữa”.

Vì vậy, những tác động sẽ là gì trong trường hợp bị xâm nhập ?

Các chuyên gia an ninh mạng cho biết, tiềm năng là tống tiền.

Tiến sĩ Suelette Dreyfus, một chuyên gia về quyền riêng tư và bảo mật kỹ thuật số tại Đại học Melbourne chỉ ra rằng, cuộc tấn công mạng vào tháng 7 năm 2018 nhằm vào tập đoàn chăm sóc sức khỏe lớn nhất Singapore, đó là SingHealth.

Nó làm lộ dữ liệu của 1,5 triệu bệnh nhân, bao gồm cả Thủ tướng Lý Hiển Long.

Tiến sĩ Dreyfus nói rằng tin tặc nhắm mục tiêu cụ thể vào các chính trị gia và hàng Bộ trưởng.

Tiến sĩ Suelette Dreyfus nói “Hãy tưởng tượng nếu bạn biết rằng, một Thủ tướng mắc bệnh nan y và có lẽ sẽ không sống quá 2 hoặc 3 năm, hoặc nếu bạn biết rằng họ mắc bệnh thoái hóa hoặc nếu họ mắc bệnh đa xơ cứng".

"Những thông tin này không được công khai, điều này sẽ có giá trị lớn lao đối với cả các nhà lãnh đạo của các quốc gia khác khi biết thông tin này, nhưng cũng có khả năng tiếp thị cho các công ty có thể đưa ra quyết định về đầu tư”.

Bà nói rằng, Úc nên lấy tín hiệu từ Đạo luật về quyền riêng tư của người tiêu dùng California, Hoa Kỳ.

Bà nói “Về căn bản, trong luật mang tính bước ngoặt này quy định rằng, người tiêu dùng California có quyền biết về thông tin cá nhân mà một doanh nghiệp thu thập về họ, cách thông tin được sử dụng, việc chia sẻ, quyền xóa thông tin cá nhân đã thu thập từ họ".

"Thế nhưng có một số ngoại lệ, đó là quyền từ chối bán thông tin cá nhân và quyền không bị phân biệt đối xử, khi thực hiện tất cả các quyền đó”.

Chỉ vài ngày trước, chính phủ liên bang đã tăng hình phạt đối với các vi phạm dữ liệu nghiêm trọng từ 2,2 triệu đô la lên 50 triệu đô la.

Các luật mới cũng tăng quyền hạn thực thi của Ủy viên Thông tin Úc và tăng cường nghĩa vụ tiết lộ thông tin của các tổ chức, bị vi phạm dữ liệu nghiêm trọng.

Các cuộc tấn công mạng xảy ra thường xuyên trên toàn cầu, Tiến sĩ Glance thậm chí còn nói rằng có đến ‘hàng triệu cuộc tấn công trong mỗi giây’.

Thế nhưng không phải tất cả những sự kiện này đều được thông báo, cho những người bị ảnh hưởng.

Tiến sĩ Glance nói rằng, có một lý do tại sao bây giờ chúng ta đang nghe nhiều hơn về chúng.

Tiến sĩ Glance nói “Các công ty đã quyết định rằng, tốt hơn hết là nên đưa ra vấn đề sớm hơn là đợi cho đến khi nó bị rò rỉ, hoặc lộ ra muộn hơn nhiều. Đó là lý do tại sao chúng tôi nghe về những vi phạm này”.

Được biết có lẽ vụ vi phạm dữ liệu lớn nhất đối với ‘dữ liệu y tế của chính phủ’, đã xảy ra vào tháng 8 năm 2016.

Việc nầy liên quan đến việc phát hành cái gọi là ‘dữ liệu không xác định được" từ Chương trình Phúc lợi Medicare và Chương trình Phúc lợi Dược phẩm, ảnh hưởng đến 2,9 triệu người Úc.

Phó giáo sư Vanessa Teague, là nhà mật mã học tại Đại học Quốc gia Úc Châu.

Bà nói rằng, mối nguy hiểm thực sự nằm ở việc tham chiếu chéo các bộ dữ liệu. từ nhiều lần rò rỉ khác nhau.

"Vì vậy, ví dụ là kẻ tấn công có quyền truy cập vào thông tin chi tiết về Medibank của bạn, nếu họ có quyền truy cập vào dữ liệu ‘Hồ sơ Y tế của tôi' đã hủy nhận dạng, họ có khả năng có thể sử dụng hồ sơ Medibank của bạn để xác định lại dữ liệu ‘Hồ sơ Y tế của tôi’.

"Do đó, hãy tìm hiểu hay nói cách khác, tìm ra hồ sơ nào là của bạn và có thể tìm hiểu thêm về hồ sơ y tế của bạn, mà họ không nhận được từ Medibank”.

Trong khi đó Cơ quan Y tế Kỹ thuật số Úc là cơ quan quản lý ‘Hồ sơ Y tế của tôi’ cho biết, một đánh giá mới về các rủi ro an ninh mạng đã được tiến hành, sau vụ xâm nhập Medibank gần đây, vụ vi phạm Optus vào tháng 9 và sự phơi bày của Medicare vào năm 2020.

Trong một tuyên bố, cơ quan nầy nói rằng, ‘Trước những vi phạm này, cơ quan đã xem xét các quy trình nhận dạng có liên quan, để tiếp tục bảo đảm rằng chỉ những người được ủy quyền, mới có thể truy cập Hồ sơ sức khỏe của tôi’.

Cơ quan này cho biết thêm rằng, tiến trình đã được thực hiện để liên tục cải thiện các lỗ hổng an ninh mạng, được Văn phòng Kiểm toán Quốc gia Úc nhấn mạnh, trong một báo cáo năm 2019.

Văn phòng Tổng trưởng Tư Pháp Mark Dreyfus cũng đang trong tiến trình ‘hoàn tất việc xem xét Đạo luật Quyền riêng tư’.

Trước những vi phạm quyền riêng tư gần đây, Tổng trưởng Tư Pháp Mark Dreyfus đã gọi các biện pháp bảo vệ hiện có, là ‘lỗi thời và không thỏa đáng’.

Ông cho biết, ‘hình phạt cho một vi phạm dữ liệu lớn, không còn được coi là chi phí kinh doanh’.

Xem nhiều nhất