Nguy cơ từ lỗ hổng bảo mật
Từ tháng 10/2023 đến tháng 11/2024, OAG thực hiện kiểm toán đối với Trung tâm xét nghiệm giải phẫu bệnh (PathWest) và SoftLIS. Mới đây, OAG lại tiếp tục thực hiện cuộc đánh giá việc thực hiện kết luận, kiến nghị kiểm toán của PathWest.
Cuộc kiểm toán của OAG tập trung đánh giá SoftLIS và các hệ thống liên quan, thông qua 80 trung tâm thu thập dữ liệu và 28 phòng thí nghiệm, được PathWest sử dụng để báo cáo kết quả xét nghiệm, hỗ trợ chẩn đoán y khoa, hỗ trợ công tác giám định...
Báo cáo mới chỉ rõ, mặc dù SoftLIS hỗ trợ hiệu quả trong nhiều dịch vụ của PathWest song việc quản lý hệ thống vẫn chưa thực sự đáp ứng yêu cầu. Tính bảo mật và toàn vẹn của thông tin trong SoftLIS bị đe dọa bởi các vụ truy cập trái phép và không phù hợp. Dữ liệu chưa được mã hóa đầy đủ khi lưu trữ và truyền tải, làm tăng nguy cơ rò rỉ thông tin. PathWest chưa giám sát chặt chẽ quyền truy cập của nhân viên và nhà cung cấp dịch vụ, trong khi nhật ký hoạt động không được theo dõi để phát hiện truy cập trái phép.
Đặc biệt, OAG nhấn mạnh, PathWest đã không giám sát lỗ hổng bảo mật trong hơn 4 năm liên tục, dù nhiều vấn đề đã được chỉ ra từ trước. Thực trạng này ngày càng đáng lo ngại bởi SoftLIS vẫn chạy trên nền tảng cũ, không được cập nhật bảo mật thường xuyên. Nguy cơ hệ thống bị tấn công hoặc xâm nhập trái phép vì thế ngày càng gia tăng.
Ngoài ra, OAG còn phát hiện những yếu kém liên quan đến tính khả dụng của SoftLIS như: Kế hoạch khôi phục sau sự cố chưa được kiểm tra đầy đủ, dữ liệu lỗi thời có thể gây chậm trễ trong quá trình phục hồi SoftLIS nếu sự cố xảy ra.
OAG kết luận, mặc dù SoftLIS hỗ trợ hiệu quả cho công việc của PathWest song những điểm yếu kể trên đã đặt ra rủi ro lớn đối với tính bảo mật, toàn vẹn và khả dụng của hệ thống, đặc biệt là những thông tin nhạy cảm quan trọng. Do đó, cơ quan kiểm toán khuyến nghị PathWest cần khẩn trương khắc phục các lỗ hổng, đồng thời cải tiến SoftLIS nhằm đảm bảo tính toàn vẹn và bảo mật kết quả xét nghiệp, đảm bảo lợi ích cộng đồng.
Cam kết đầu tư và củng cố bảo mật
Qua quá trình giám sát các hành động khắc phục, OAG nhận thấy, PathWest đã khắc phục nhiều thiếu sót trong công tác kiểm soát truy cập. Bên cạnh đó, PathWest cũng đưa ra được 1 lộ trình xử lý cụ thể. Theo đó, phần lớn các bất cập, thiếu sót được giải quyết trước ngày 30/6/2025, số còn lại hoàn tất vào giữa năm 2027. Đây được xem là bước đi nhằm đáp ứng kỳ vọng của cơ quan kiểm toán cũng như cộng đồng y tế.
Để đảm bảo tính bảo mật và toàn vẹn của SoftLIS, OAG khuyến nghị PathWest cần tiếp tục phối hợp chặt chẽ với Sở Y tế bang Tây Australia nhằm cải thiện các khâu trọng yếu. Trong đó, ưu tiên hàng đầu là tăng cường quyền kiểm soát truy cập và xác thực để ngăn chặn truy cập trái phép; áp dụng mã hóa mạnh mẽ cho dữ liệu nhạy cảm trong mọi giai đoạn lưu trữ và truyền tải, đồng thời duy trì cơ chế giám sát thường xuyên để phát hiện và xử lý kịp thời các nguy cơ.
Về tính khả dụng, OAG đề nghị PathWest thay thế hoặc nâng cấp những hệ thống cũ, không còn được hỗ trợ kỹ thuật. Các quy trình sao lưu và phục hồi cần được kiểm nghiệm toàn diện để bảo đảm SoftLIS có khả năng phục hồi nhanh chóng và chính xác sau khi bị gián đoạn.
Được biết, PathWest và Sở Y tế bang Tây Australia đã hợp tác trong các cuộc kiểm toán, cuộc đánh giá của OAG và đã nhanh chóng khắc phục những điểm yếu khi được phát hiện. Theo đại diện PathWest, các kiểm toán viên của OAG đã phải xử lý nhiều vấn đề phức tạp, giúp xác định những lỗ hổng và nâng cao hơn nữa mức độ hoàn thiện của toàn bộ hệ thống.
Để đáp ứng yêu cầu, PathWest đã cam kết đầu tư 10 triệu USD cho việc cải thiện và xây dựng năng lực công nghệ thông tin nhằm đảm bảo các hệ thống, biện pháp kiểm soát và quy trình phù hợp cho SoftLIS. Khoản đầu tư này bao gồm tăng 30% số lượng chuyên gia công nghệ và mua sắm cơ sở hạ tầng hiện đại. Song song với đó, kế hoạch nâng cấp quy mô lớn phần mềm SoftLIS cũng được triển khai, với mục tiêu nâng cao khả năng phục hồi và bảo mật.
Hiện nay, PathWest tiếp tục phối hợp với các cơ quan trực thuộc Sở Y tế và các nhà cung cấp dịch vụ y tế để quản lý rủi ro an ninh mạng. Đơn vị này áp dụng phương pháp chủ động dựa trên dữ liệu, nhằm xây dựng năng lực bảo mật bền vững và củng cố nền tảng công nghệ phục vụ hệ thống y tế và tư pháp bang Tây Australia./.
(Theo audit.wa.gov.au và tổng hợp)
