Các bệnh viện hiện nay không chỉ dừng lại ở việc cung cấp dịch vụ chăm sóc sức khỏe mà còn trở thành những trung tâm dữ liệu khổng lồ, quản lý hàng triệu thông tin nhạy cảm của bệnh nhân
Trang 1BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
TIỂU LUẬN
MÔN HỌC: NHẬP MÔN AN TOÀN THÔNG TIN
VỚI CÁC ĐE DỌA VỀ AN TOÀN THÔNG TIN
Lớp (danh nghĩa và học phần): DHHTTT18ATT-422000181502 Nhóm: 3
GVHD: TS Ngô Hữu Dũng
Thành phố Hồ Chí Minh, tháng 9 năm 2024
Trang 2BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
TIỂU LUẬN
MÔN HỌC: NHẬP MÔN AN TOÀN THÔNG TIN
Đề tài: HỆ THỐNG THÔNG TIN BỆNH VIỆN VỚI CÁC MỐI ĐE DỌA VỀ AN TOÀN THÔNG TIN
Lớp: DHHTTT18ATT-422000181502
Nhóm: 3
GVHD: TS Ngô Hữu Dũng
Thành phố Hồ Chí Minh, tháng 9 năm 2024
Trang 3BẢNG PHÂN CÔNG
1 22695761 Nguyễn Thành Đạt powerpoint và thuyết trìnhViết một phần nội dung,
Tinh thần tích cực Thực hiện rất tốt
2 22724461 Đỗ Công Danh powerpoint và thuyết trìnhViết một phần nội dung,
Tinh thần tích cực Thực hiện rất tốt
3 22671361 Huỳnh Thanh Phương powerpoint và thuyết trìnhViết một phần nội dung,
Tinh thần tích cực Thực hiện rất tốt
4 22669731 Nguyễn Huy Trọng powerpoint và thuyết trìnhViết một phần nội dung,
Tinh thần tích cực Thực hiện rất tốt
5 22696961 Mai Hoàng Tuấn powerpoint và thuyết trìnhViết một phần nội dung,
Tinh thần tích cực Thực hiện rất tốt
6 22693501 Trần Tuấn Sang powerpoint và thuyết trìnhViết một phần nội dung,
Tinh thần tích cực Thực hiện rất tốt
Trang 4MỤC LỤC
1 Tổng quan 1
1.1 Đặt vấn đề 1
1.2 Thực trạng 1
2 Mô tả hệ thống bệnh viện 2
2.1 Quản lý thông tin bệnh nhân (Patient Management) 2
2.2 Quản lý lâm sàng (Clinical Management) 3
2.3 Quản lý tài chính (Financial Management) 3
2.4 Quản lý nhân sự (Human Resource Management) 3
2.5 Quản lý vật tư và kho dược (Inventory and Pharmacy Management) 4
2.6 Quản lý báo cáo và thống kê (Reporting and Analytics) 4
3 Mối đe dọa 5
3.1 Tấn công mạng (Cyber Attack) 5
3.2 Thất thoát dữ liệu do lỗi phần mềm (Data Loss due to Software Failure) 5
3.3 Tấn công từ chối dịch vụ (DDoS Attack) 5
3.4 Thảm họa tự nhiên (Natural Disaster) 5
3.5 Lỗi phần cứng (Hardware Failure) 5
3.6 Lỗi quản lý (Management Failure) 6
4 Hậu quả 6
5 Đề xuất giải pháp 7
5.1 Quản lý quyền truy cập 7
5.2 Mã hóa dữ liệu 7
5.3 Giám sát và phát hiện xâm nhập 7
5.4 Sao lưu và khôi phục dữ liệu 8
Trang 55.5 Đào tạo và nâng cao nhận thức 8
5.6 Kiểm tra và đánh giá an ninh thường xuyên 8
5.7 Ứng phó với sự cố bảo mật 8
5.8 Sử dụng phần mềm quản lý bệnh viện hiện đại 8
5.9 Lưu trữ bệnh án điện tử bằng công nghệ Blockchain 9
5.10 Ứng dụng công nghệ thông tin trong quản lý bệnh viện 9
6 Kết luận 9
DANH MỤC TÀI LIỆU THAM KHẢO 10
Trang 61 Tổng quan
1.1 Đặt vấn đề
Trong bối cảnh hiện đại, hệ thống y tế toàn cầu đang trải qua sự chuyển đổi số hóa mạnh mẽ Các bệnh viện hiện nay không chỉ dừng lại ở việc cung cấp dịch vụ chăm sóc sức khỏe mà còn trở thành những trung tâm dữ liệu khổng lồ, quản lý hàng triệu thông tin nhạy cảm của bệnh nhân, từ hồ sơ y tế, kết quả xét nghiệm đến thông tin tài chính và bảo hiểm Với sự phát triển không ngừng của công nghệ, các hệ thống thông tin y tế đã trở thành xương sống cho hoạt động của các bệnh viện, đóng vai trò quan trọng trong việc nâng cao chất lượng dịch vụ, giảm thiểu sai sót và tăng cường hiệu quả vận hành
Tuy nhiên, song hành với những lợi ích đó là sự gia tăng của các mối đe dọa an toàn thông tin, đặc biệt là các cuộc tấn công mạng nhắm vào hệ thống bệnh viện Những mối đe dọa này không chỉ gây ra thiệt hại về mặt tài chính mà còn ảnh hưởng nghiêm trọng đến tính mạng con người
1.2 Thực trạng
Trong những năm gần đây, các cuộc tấn công mạng vào hệ thống bệnh viện đã trở nên phổ biến và nguy hiểm hơn bao giờ hết Theo báo cáo của Hiệp hội Bảo mật Y tế Hoa
Kỳ (Healthcare Information and Management Systems Society - HIMSS) vào năm
2023, có đến 89% các tổ chức y tế đã phải đối mặt với ít nhất một sự cố bảo mật nghiêm trọng trong vòng hai năm qua Một nghiên cứu khác của Ponemon Institute cho thấy, trung bình mỗi cuộc tấn công mạng vào hệ thống bệnh viện gây ra thiệt hại khoảng 7,13 triệu USD, bao gồm chi phí khắc phục sự cố, mất mát dữ liệu, và các khoản phạt pháp lý
Đáng lo ngại hơn, tỷ lệ tấn công bằng ransomware vào các hệ thống bệnh viện đã tăng vọt trong những năm gần đây Báo cáo của công ty an ninh mạng Emsisoft chỉ ra rằng, trong năm 2022, đã có ít nhất 291 cuộc tấn công ransomware nhắm vào các tổ chức y
tế tại Hoa Kỳ, trong đó có 27 cuộc tấn công gây ra tình trạng tê liệt hoàn toàn hệ thống bệnh viện Thiệt hại từ các cuộc tấn công này không chỉ giới hạn ở chi phí phục hồi dữ liệu mà còn kéo theo những hậu quả nghiêm trọng như việc hủy bỏ các cuộc phẫu thuật, hoãn điều trị bệnh nhân, và thậm chí là dẫn đến tử vong
Trang 7Tại Việt Nam, vào ngày 18 tháng 3 năm 2024, Viện Tim TP HCM đã bị tấn công mạng bởi một IP ảo từ nước ngoài Cuộc tấn công này khiến hệ thống lấy số thứ tự trực tuyến của Viện bị quá tải với hơn 5 triệu lượt truy cập trong chưa đầy một giờ, buộc bệnh viện phải tạm thời đóng cửa hệ thống để khắc phục Sự cố này không chỉ làm gián đoạn quy trình cấp số thứ tự cho bệnh nhân mà còn ảnh hưởng đến việc thanh toán không dùng tiền mặt thông qua QR code
Trước đó, vào Thứ Tư, ngày 7 tháng 12 năm 2022, bệnh viện André-Mignot ở ngoại ô Paris cũng đã trở thành nạn nhân của một cuộc tấn công mã độc tống tiền Cuộc tấn công đã buộc bệnh viện phải chuyển sáu bệnh nhân từ bộ phận chăm sóc đặc biệt và sơ sinh đến các cơ sở y tế khác, do hệ thống liên lạc và máy tính của bệnh viện bị nhiễm
mã độc và phải ngừng hoạt động
Theo báo cáo của Fortinet năm 2022, có tới 93% các tổ chức sở hữu hệ thống công nghệ vận hành (OT) đã ghi nhận sự cố tấn công an ninh mạng trong vòng 12 tháng qua Tại Việt Nam, tỷ lệ này lên tới 96%, với 60% doanh nghiệp phải ngừng hoạt động khi gặp sự cố tấn công, gây ảnh hưởng nghiêm trọng đến năng suất và chất lượng dịch vụ
Những con số và sự kiện này minh chứng cho một bức tranh đáng báo động về an toàn thông tin trong hệ thống bệnh viện, đòi hỏi cần có những biện pháp bảo mật mạnh mẽ
và chiến lược ứng phó hiệu quả để giảm thiểu rủi ro và bảo vệ sức khỏe cộng đồng
2 Mô tả hệ thống bệnh viện
Hệ thống thông tin bệnh viện (Hospital Information System - HIS) là một hệ thống tích hợp các ứng dụng phần mềm nhằm quản lý toàn diện các hoạt động trong bệnh viện, từ quản lý bệnh nhân, hồ sơ y tế, cho đến quản lý tài chính, nhân sự và các dịch
vụ liên quan khác HIS đóng vai trò quan trọng trong việc nâng cao hiệu quả hoạt động của bệnh viện, cải thiện chất lượng dịch vụ y tế và tăng cường sự hài lòng của bệnh nhân
2.1 Quản lý thông tin bệnh nhân (Patient Management)
Đăng ký và tiếp nhận bệnh nhân: Ghi nhận và lưu trữ thông tin cá nhân của bệnh
nhân khi họ đến khám hoặc nhập viện, bao gồm thông tin về họ tên, tuổi, giới tính, địa chỉ, lịch sử y tế, và thông tin bảo hiểm
Trang 8 Quản lý hồ sơ y tế điện tử (Electronic Medical Records - EMR): Lưu trữ và
quản lý toàn bộ hồ sơ y tế của bệnh nhân, bao gồm chẩn đoán, kết quả xét nghiệm, đơn thuốc, và các ghi chú y tế từ các bác sĩ
Tìm kiếm và lọc thông tin linh hoạt: Tính năng tìm kiếm nâng cao giúp nhân viên
tìm kiếm thông tin bệnh nhân nhanh chóng theo nhiều tiêu chí, như tên, ngày sinh, hoặc tình trạng bệnh lý
Tính Năng Chia Sẻ Hồ Sơ Bệnh Nhân: Cho phép chia sẻ hồ sơ bệnh án an toàn
giữa các bác sĩ và cơ sở y tế khác nhau
2.2 Quản lý lâm sàng (Clinical Management)
Quản lý chẩn đoán và điều trị: Hỗ trợ các bác sĩ trong việc lập kế hoạch điều trị,
ghi nhận và theo dõi quá trình điều trị của bệnh nhân
Quản lý đơn thuốc: Tạo và quản lý đơn thuốc điện tử, giúp bác sĩ kê đơn và nhà
thuốc quản lý việc cấp phát thuốc cho bệnh nhân
Quản lý xét nghiệm và chẩn đoán hình ảnh: Quản lý các yêu cầu xét nghiệm và
chẩn đoán hình ảnh, lưu trữ và truy cập kết quả trực tiếp từ hệ thống
2.3 Quản lý tài chính (Financial Management)
Liên kết Tài Khoản Bảo Hiểm và hệ thống Thanh Toán: Tích hợp với hệ thống
bảo hiểm và thanh toán để tạo ra quy trình thanh toán linh hoạt và thuận tiện
Quản lý thu phí và thanh toán: Tích hợp với hệ thống quản lý bệnh nhân để theo
dõi và quản lý các khoản thu phí, bao gồm chi phí khám chữa bệnh, phí dịch vụ và các khoản thanh toán khác
Quản lý bảo hiểm: Quản lý các thông tin bảo hiểm của bệnh nhân, hỗ trợ quy trình
bồi hoàn chi phí từ các công ty bảo hiểm
2.4 Quản lý nhân sự (Human Resource Management)
Quản lý thông tin nhân viên: Lưu trữ và quản lý hồ sơ nhân sự, bao gồm thông tin
cá nhân, trình độ chuyên môn, lịch sử công tác, và các chế độ đãi ngộ
Quản lý lịch làm việc: Hỗ trợ lập lịch làm việc cho các bác sĩ, y tá và nhân viên y
tế, đảm bảo sự phân bổ nhân lực hợp lý trong bệnh viện
Giúp việc quản lý nhân sự hiệu quả: Hệ thống hỗ trợ quản lý tài nguyên nhân sự,
bao gồm lịch trực, chấm công, và kế hoạch đào tạo
2.5 Quản lý vật tư và kho dược (Inventory and Pharmacy Management)
Trang 9Sơ đồ Usecase hệ thống bệnh viện
Quản lý kho: Theo dõi và quản lý tồn kho, bao gồm các loại thuốc, thiết bị y tế, và
các vật tư tiêu hao
Quản lý dược phẩm: Hỗ trợ quản lý việc nhập xuất thuốc, theo dõi hạn sử dụng và
đảm bảo sự sẵn có của các loại thuốc cần thiết
2.6 Quản lý báo cáo và thống kê (Reporting and Analytics)
Tạo báo cáo: Hỗ trợ việc tạo ra các báo cáo về tình hình hoạt động của bệnh viện,
bao gồm báo cáo tài chính, báo cáo điều trị, và báo cáo nhân sự
Phân tích dữ liệu: Cung cấp công cụ phân tích dữ liệu để hỗ trợ việc ra quyết định,
tối ưu hóa quy trình và cải thiện chất lượng dịch vụ y tế
Trang 103 Mối đe dọa
3.1 Tấn công mạng (Cyber Attack)
Khái niệm: Tấn công mạng là hành vi xâm nhập trái phép vào hệ thống máy tính
hoặc mạng, thường nhằm mục đích đánh cắp thông tin hoặc gây thiệt hại cho hệ thống
Tình huống: Một nhóm hacker tấn công vào hệ thống HIS bằng cách sử dụng phần
mềm độc hại để xâm nhập vào cơ sở dữ liệu bệnh viện, đánh cắp thông tin cá nhân của bệnh nhân bao gồm hồ sơ y tế và thông tin bảo hiểm
3.2 Thất thoát dữ liệu do lỗi phần mềm (Data Loss due to Software Failure)
Khái niệm: Thất thoát dữ liệu do lỗi phần mềm xảy ra khi các lỗi trong phần mềm
quản lý hoặc ứng dụng dẫn đến việc dữ liệu bị mất mát hoặc không thể truy cập
Tình huống: Hệ thống quản lý hồ sơ y tế điện tử (EMR) xảy ra lỗi phần mềm khiến
dữ liệu bệnh nhân bị mất hoặc không thể truy cập trong thời gian dài
3.3 Tấn công từ chối dịch vụ (DDoS Attack)
Khái niệm: Tấn công DDoS (Distributed Denial of Service) là một cuộc tấn công
nhằm làm nghẽn hoặc ngừng hoạt động của hệ thống bằng cách gửi một lượng lớn yêu cầu từ nhiều nguồn khác nhau
Tình huống: Nhóm hacker thực hiện tấn công DDoS vào hệ thống HIS, khiến cho
hệ thống bị quá tải và ngừng hoạt động
3.4 Thảm họa tự nhiên (Natural Disaster)
Khái niệm: Thảm họa tự nhiên là các hiện tượng tự nhiên như lũ lụt, động đất, hoặc
bão có thể gây thiệt hại nghiêm trọng đến cơ sở hạ tầng và dữ liệu
Tình huống: Một bệnh viện nằm trong khu vực có nguy cơ cao về lũ lụt Khi xảy ra
lũ lụt, hệ thống máy chủ lưu trữ dữ liệu bệnh viện bị hư hỏng, dẫn đến mất toàn bộ
dữ liệu bệnh nhân và tài chính
3.5 Lỗi phần cứng (Hardware Failure)
Khái niệm: Lỗi phần cứng xảy ra khi các thiết bị phần cứng trong hệ thống, như ổ
đĩa cứng hoặc bộ nhớ, gặp sự cố dẫn đến việc mất dữ liệu hoặc không thể truy cập vào hệ thống
Trang 11 Tình huống: Ổ đĩa máy chủ chứa dữ liệu bệnh viện bị hỏng, dẫn đến việc mất mát
dữ liệu liên quan đến hồ sơ bệnh nhân và tài chính
3.6 Lỗi quản lý (Management Failure)
Khái niệm: Lỗi quản lý là sự thiếu sót trong việc triển khai chính sách bảo mật và
đánh giá rủi ro, có thể dẫn đến việc không phát hiện kịp thời các mối đe dọa đối với
hệ thống
Tình huống: Bệnh viện không có chính sách bảo mật rõ ràng và không thực hiện
đánh giá rủi ro định kỳ, dẫn đến việc hệ thống HIS bị xâm nhập mà không ai phát hiện cho đến khi thông tin đã bị đánh cắp
4 Hậu quả
Gián đoạn hoạt động bệnh viện: Hệ thống HIS khi bị mã độc khóa, sẽ làm ngừng
trệ toàn bộ các hoạt động liên quan đến hồ sơ y tế điện tử, làm cho bệnh viện không thể truy cập hồ sơ bệnh nhân, quản lý lịch hẹn và điều trị
Mất mát dữ liệu: Dữ liệu y tế nhạy cảm có thể bị mã hóa và giữ làm con tin, gây
rủi ro mất mát hoặc lộ thông tin cá nhân, tài chính, và bệnh án của bệnh nhân
Tốn kém chi phí: Bệnh viện có thể phải trả tiền chuộc để lấy lại quyền truy cập vào
hệ thống, hoặc tốn chi phí lớn để phục hồi dữ liệu từ các bản sao lưu, nâng cấp bảo mật và sửa chữa hệ thống
Thiệt hại pháp lý: Bệnh viện có thể đối mặt với các vụ kiện tụng liên quan đến vi
phạm quyền riêng tư của bệnh nhân và các quy định bảo mật dữ liệu
Vi phạm quyền riêng tư: Thông tin cá nhân và sức khỏe của bệnh nhân bị lộ công
khai, vi phạm nghiêm trọng đến quyền riêng tư và bảo mật thông tin của bệnh nhân
Tổn thất tinh thần: Bệnh nhân có thể bị ảnh hưởng tâm lý khi thông tin sức khỏe
nhạy cảm bị công khai, có thể gây ra lo lắng, căng thẳng, hoặc ảnh hưởng đến danh
dự và uy tín cá nhân
Mất niềm tin: Sự cố này có thể khiến bệnh nhân mất niềm tin vào khả năng bảo vệ
dữ liệu của bệnh viện, dẫn đến việc bệnh nhân không muốn tiếp tục điều trị hoặc sử dụng dịch vụ của bệnh viện
Thiệt hại tài chính: Bệnh viện có thể phải chịu phạt tài chính từ các cơ quan quản
lý do vi phạm quy định về bảo mật dữ liệu, như luật GDPR (châu Âu) hoặc HIPAA (Mỹ), có thể đối mặt với các vụ kiện tụng từ bệnh nhân và chi phí phục hồi khắc phục hệ thống,
Trang 12 Mất khả năng liên lạc: Đội ngũ y tế không thể tiếp nhận các thông tin quan trọng
từ bệnh nhân hoặc hệ thống khác trong mạng lưới y tế, làm trì hoãn điều trị và phản ứng y tế
Mất uy tín: Sự cố ảnh hưởng đến danh tiếng của bệnh viện, khiến cộng đồng có thể
mất niềm tin vào khả năng đảm bảo an toàn và dịch vụ khẩn cấp của bệnh viện
Rủi ro pháp lý: Bệnh viện có thể phải chịu trách nhiệm pháp lý nếu có trường hợp
tử vong hoặc tổn thương nghiêm trọng xảy ra do sự chậm trễ trong việc tiếp nhận cấp cứu
5 Đề xuất giải pháp
5.1 Quản lý quyền truy cập
Phân quyền rõ ràng: Mỗi nhân viên trong bệnh viện chỉ nên có quyền truy cập
vào những thông tin cần thiết cho công việc của họ Điều này giúp ngăn chặn việc truy cập trái phép vào thông tin nhạy cảm
Xác thực hai yếu tố (2FA): Sử dụng xác thực hai yếu tố cho các tài khoản truy
cập vào hệ thống để tăng cường bảo mật
Định kỳ thay đổi mật khẩu: Thực hiện các chính sách thay đổi mật khẩu định
kỳ và yêu cầu mật khẩu phức tạp
5.2 Mã hóa dữ liệu
Mã hóa dữ liệu lưu trữ (Data at Rest): Thực hiện mã hóa dữ liệu khi lưu trữ,
đặc biệt là các thông tin nhạy cảm như hồ sơ bệnh án, thông tin cá nhân của bệnh nhân
Mã hóa dữ liệu truyền tải (Data in Transit): Sử dụng các giao thức bảo mật
như SSL/TLS để mã hóa dữ liệu khi truyền tải giữa các hệ thống hoặc giữa bệnh viện và bệnh nhân
5.3 Giám sát và phát hiện xâm nhập
Hệ thống giám sát an ninh mạng (IDS/IPS): Triển khai hệ thống phát hiện và
ngăn chặn xâm nhập để giám sát lưu lượng mạng và phát hiện các hoạt động bất thường hoặc tấn công
Giám sát liên tục: Thực hiện giám sát liên tục các hoạt động trên hệ thống để
phát hiện kịp thời các hành vi bất thường hoặc khả nghi
5.4 Sao lưu và khôi phục dữ liệu