Bộ Y tế Canada xem xét sửa chữa máy điều hòa nhịp tim để tránh bị hack

abbott-tin-canada-vietcan
Trụ sở công ty Abbott

Bộ Y tế Canada đã mất đến 75 ngày để quyết định xem có nên chấp thuận chương trình sửa chữa lỗ hổng bảo mật tiềm ẩn trong các máy điều hòa nhịp tim do Abbott sản xuất, trước đây gọi là St. Jude Medical.

 

Vào thứ ba vừa rồi, Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) thông báo đã thông qua cập nhật phần mềm “firmware” của máy tạo nhịp – phần mềm chuyên dụng liên quan đến hoạt động của thiết bị – được phát triển bởi Abbott.

Bản cập nhật được thiết kế để ngăn chặn bất kỳ máy tính hoặc thiết bị nào kết nối với máy điều hòa nhịp tim trừ khi được phép – ví dụ như máy tính của bác sĩ tim mạch của bệnh nhân.

Máy điều hòa nhịp tim được kết nối với mạng máy tính gọi là Merlin.net, giống như các máy phát tín hiệu trong nhà bệnh nhân, để bác sĩ tim mạch và các nhà cung cấp dịch vụ chăm sóc sức khoẻ có quyền giám sát họ.

Thực tế cho thấy thông thường các thiết bị y tế cấy ghép đều được kết nối với các mạng máy tính an toàn. Tuy nhiên, vào tháng 8 năm 2016, công ty an ninh mạng MedSec của Mỹ đã công khai xác định “tính dễ bị tấn công” của sự liên kết giữa máy tạo nhịp tim và máy phát tín hiệu của gia đình, Bộ An ninh Nội địa Hoa Kỳ sau đó cũng đã xác nhận điều này.

Mỹ cảnh báo các hacker có thể điều khiển từ xa máy điều chỉnh điện tim hoặc nhịp tim.

Bộ cũng đã đưa ra lời khuyên “Các đặc tính của các thiết bị đầu cuối cho kênh truyền thông giữa máy phát và trang web Merlin.net của St Jude Medical chưa được kiểm chứng. Điều này có thể cho phép một kẻ tấn công từ xa truy cập hoặc ảnh hưởng đến truyền thông.”

Bộ thừa nhận rằng một cuộc tấn công như vậy đòi hỏi cần hacker phải có “kĩ thuật cao” và đã không có bất kỳ vụ tấn công nào.

Tuy nhiên, cả Bộ An ninh Nội địa và FDA sau khi làm rõ các yêu cầu đều cho rằng cần có hành động đối với vấn đề này. Sau đó bản cập nhật phần mềm của Abbott được cập nhật cho các bác sĩ ở Hoa Kỳ vào ngày 29 tháng 8.

Stephanie Caccomo, người phát ngôn của FDA cho biết: “Quyền truy cập trái phép có thể được sử dụng để sửa đổi các lệnh lập trình cho máy điều hòa nhịp được cấy ghép, điều này có thể gây hại cho bệnh nhân do sự suy giảm pin nhanh hoặc điều khiển nhịp độ không thích hợp”.

Bà nói “Để giải quyết những lỗ hổng này và cải thiện sự an toàn của bệnh nhân, FDA đã chấp thuận cập nhật phần mềm của St. Jude Medical để đảm bảo rằng nó sẽ giải quyết các lỗ hổng bảo mật trên mạng và giảm nguy cơ gây hại cho bệnh nhân”.

Nguy cơ “nhỏ”

Bản cập nhật phần mềm sẽ được gửi đến cho các bác sĩ tim mạch của bệnh nhân khi gặp trực tiếp. Theo hướng dẫn của các bác sĩ của Abbott, quá trình này sẽ mất khoảng 3 phút và không cần phải tháo máy điều hòa nhịp tim.

Thứ năm vừa qua, đại diện của Abbott đã xác nhận công ty đang làm việc với Bộ Y tế Canada để bảo đảm việc chấp thuận cho việc cập nhật và phân phối máy điều hòa nhịp tim ở Canada, nhưng không thể cung cấp số người Canada bị ảnh hưởng.

Bộ Y tế Canada đã phê duyệt nỗ lực khắc phục sự cố của Abbott – bảng nối phần mềm được phát hành vào tháng 1 năm 2017 – nhưng nó vẫn không giải quyết các lỗ hổng an ninh mạng triệt để.

Đại diện của Bộ Y tế Canada nói rằng Bộ sẽ tiếp tục làm việc với nhà sản xuất và sẽ tiếp tục nhận được “cập nhật và thông tin”.

Bản cập nhật phần mềm sẽ được gửi đến cho các bác sĩ tim mạch của bệnh nhân khi gặp trực tiếp. Theo hướng dẫn của các bác sĩ của Abbott, quá trình này sẽ mất khoảng 3 phút và không cần phải tháo máy điều hòa nhịp tim.

Thứ năm vừa qua, đại diện của Abbott đã xác nhận công ty đang làm việc với Y tế Canada để bảo đảm việc chấp thuận cho việc cập nhật và phân phối máy điều hòa nhịp tim ở Canada, nhưng không thể cung cấp số người Canada bị ảnh hưởng.

Bộ Y tế Canada đã phê duyệt nỗ lực khắc phục sự cố của Abbott – bảng nối phần mềm được phát hành vào tháng 1 năm 2017 – nhưng nó vẫn không giải quyết các lỗ hổng an ninh mạng triệt để.

Đại diện của Bộ Y tế Canada (Canada Health Services) nói rằng Bộ sẽ tiếp tục làm việc với nhà sản xuất và sẽ tiếp tục nhận được “cập nhật và thông tin”.

Eric Morrissette nói: mặc dù đã đặt ra mục tiêu là 75 ngày để quyết định xem bản cập nhật mới có được chấp thuận hay không nhưng Bộ Y tế Canada vẫn đang “tiến hành rà soát lại ứng dụng và sẽ cố gắng đưa ra quyết định trước ngày bắt đầu”.

Ông nói: “Bộ Y tế Canada nghiêm túc đảm bảo sức khoẻ và sự an toàn của người dân Canada. Thiết bị này đáp ứng các yêu cầu nghiêm ngặt của Bộ Y tế Canada về tính an toàn và hiệu quả”.

Tiến sĩ Paul Dorian, trưởng khoa Tim mạch tại Đại học Toronto và là chuyên gia điện lý tim mạch của Bệnh viện St. Michael ở Toronto cho rằng: “Lợi ích của máy điều hòa nhịp tim và khả năng của các bác sĩ để giám sát và điều chỉnh máy này thông qua mạng máy tính có thể vượt xa nguy cơ “một cuộc tấn công mạng” nhỏ.”

Dorian đã có hơn 30 năm kinh nghiệm làm việc với máy khử rung tim và cho biết ông không quan tâm đến việc chưa có cập nhật phần mềm ở Canada và nhấn mạnh rằng bệnh nhân cũng không cần.

Nếu Bộ Y tế Canada đồng ý việc sửa chữa an ninh của Abbott và đưa ra một lời khuyên chính thức cho các bác sĩ, thì các bác sĩ tim mạch có thể sẽ thực hiện nó để giảm thiểu nguy cơ cho bệnh nhân một cách nhỏ nhất, nhưng có lẽ sẽ đợi đến lần bổ nhiệm tiếp theo của họ thay vì kêu gọi họ đặc biệt nhận được cập nhật.

Bác sĩ Paul Dorian nói: “Cá nhân tôi rất thất vọng … nếu mọi người lo lắng vì điều này”.

‘Bắt kịp’

Tuy nhiên, mặc dù nguy cơ của một cuộc tấn công mạng ở các thiết bị y tế có thể rất thấp nhưng chuyên gia an ninh mạng Canada David Shipley cho biết Bộ Y tế Canada nên đáp ứng nhanh hơn.

“Điều này phản ánh một cách hoàn hảo rằng an ninh mạng không chỉ là vấn đề về công nghệ. Chúng tôi có những công nghệ y tế mới lạ và phức tạp này, nhưng chúng tôi không có quy trình kiểm soát, kiểm tra một cách phù hợp và thẳng thắn để bảo đảm cho các loại công nghệ này. Và bây giờ chúng tôi đang cố gắng điều chỉnh.”

Mặc dù FDA đã phản ứng nhanh và tích cực hơn nhưng Shipley (người đứng đầu cơ quan An ninh Beauceron ở Fredericton, N.B.) cho biết quá trình ngăn chặn một vi phạm an ninh tiềm ẩn – cái mà được nhận dạng gần một năm trước – đã mất quá nhiều thời gian.

“Theo tôi, mặc dù có khả năng thấp nhưng thời gian một năm để sửa chữa một cái gì đó có thể lấy đi tính mạng của ai đó, một khoảng thời gian dài như vậy không thể được chấp nhận”.

Leave a Reply

Your email address will not be published.