Một số chuyên gia cho biết sự gia tăng các thiết bị chăm sóc sức khỏe của Trung Quốc trong hệ thống y tế Mỹ là vấn đề đáng báo động cho toàn bộ hệ sinh thái.

Thiết bị theo dõi y tế Contec CMS8000 có nguy cơ bị hack

Contec CMS8000 là một thiết bị theo dõi y tế phổ biến, giúp giám sát các chỉ số sinh tồn của bệnh nhân. Thiết bị này theo dõi điện tâm đồ (ECG), nhịp tim, độ bão hòa oxy trong máu, huyết áp không xâm lấn, nhiệt độ và nhịp thở.

Những tháng gần đây, Cục Quản lý Thực phẩm và Dược phẩm Mỹ (FDA) cùng Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã cảnh báo về sự tồn tại của một “cửa hậu” trong Contec CMS8000 – lỗ hổng dễ bị khai thác có thể cho phép kẻ xấu thay đổi cấu hình của nó.

Nhóm nghiên cứu của CISA phát hiện ra “lưu lượng mạng bất thường” và cửa hậu này có thể “cho phép thiết bị tải xuống và thực thi các file từ xa chưa được xác minh” từ một địa chỉ IP không liên quan đến nhà sản xuất thiết bị hoặc cơ sở y tế mà là trường đại học bên thứ ba. CISA gọi đây là "những đặc điểm rất bất thường" đi ngược lại các tiêu chuẩn chung, đặc biệt là với các thiết bị y tế.

“Khi chức năng này được kích hoạt, các file trên thiết bị sẽ bị ghi đè cưỡng bức, khiến khách hàng cuối (chẳng hạn bệnh viện) không thể kiểm soát được phần mềm nào đang chạy trên thiết bị”, CISA cho hay.

Cảnh báo cũng nhấn mạnh rằng việc thay đổi cấu hình có thể khiến màn hình hiển thị sai trạng thái bệnh nhân, ví dụ báo hiệu thận của họ bị suy giảm hoặc bệnh nhân ngừng thở. Điều này có thể khiến nhân viên y tế đưa ra các biện pháp điều trị không chính xác, thậm chí có thể gây nguy hiểm cho bệnh nhân.

Các bệnh viện lo ngại về rủi ro an ninh mạng

“Đây là lỗ hổng lớn sắp bùng nổ”, Christopher Kaufman, giáo sư kinh doanh tại Đại học Westcliff ở thành phố Irvine (bang California, Mỹ) chuyên nghiên cứu về CNTT và các công nghệ đột phá, nhận định.

Hiệp hội Bệnh viện Mỹ (AHA), đại diện cho hơn 5.000 bệnh viện và phòng khám tại Mỹ, đồng tình với mối lo ngại này. AHA coi sự gia tăng của các thiết bị y tế Trung Quốc là mối đe dọa nghiêm trọng với hệ thống y tế.

Với các thiết bị theo dõi y tế Contec nói riêng, AHA khẳng định vấn đề này cần được giải quyết khẩn cấp.

“Chúng ta phải đặt vấn đề đó lên đầu danh sách vì nguy cơ gây hại cho bệnh nhân. Chúng ta phải khắc phục trước khi bị hack”, John Riggi, cố vấn quốc gia về an ninh mạng và rủi ro của AHA, nhấn mạnh. Trước khi gia nhập AHA, John Riggi từng làm việc trong lĩnh vực chống khủng bố của FBI.

CISA báo cáo rằng hiện chưa có bản vá phần mềm nào để khắc phục rủi ro này, nhưng chính phủ Mỹ đang phối hợp với Contec để tìm giải pháp.

Contec không phản hồi khi kênh CNBC đề nghị bình luận.

Một vấn đề đáng lo ngại khác là không ai biết chính xác có bao nhiêu thiết bị theo dõi y tế này đang được sử dụng tại Mỹ.

“Chúng tôi không biết vì số lượng thiết bị y tế trong các bệnh viện quá lớn. Theo ước tính thận trọng, có hàng nghìn thiết bị như vậy. Đây thực sự là một lỗ hổng rất nghiêm trọng”, John Riggi nói, đồng thời nhấn mạnh rằng việc Trung Quốc có thể truy cập vào các thiết bị này sẽ dẫn đến những rủi ro chiến lược, kỹ thuật và chuỗi cung ứng.

Trong ngắn hạn, FDA khuyến nghị các hệ thống y tế và bệnh nhân chỉ chạy thiết bị ở chế độ cục bộ hoặc tắt tính năng giám sát từ xa. Nếu việc giám sát từ xa là lựa chọn duy nhất, người dùng nên ngừng sử dụng thiết bị nếu có lựa chọn thay thế. FDA nói cho đến nay, họ chưa ghi nhận bất kỳ sự cố an ninh mạng, tổn thương hoặc tử vong nào liên quan đến lỗ hổng này.

AHA cũng khuyến cáo các bệnh viện nên ngắt kết nối thiết bị này khỏi internet và tách biệt nó với phần còn lại của mạng bệnh viện cho đến khi có bản vá phần mềm.

John Riggi cho rằng sản phẩm Contec chỉ là một ví dụ tiêu biểu về những rủi ro mà các thiết bị y tế có thể gây ra. Ông lưu ý rằng nhiều thiết bị y tế khác do nước ngoài sản xuất cũng có thể bị ảnh hưởng. Các bệnh viện Mỹ thường mua thiết bị giá rẻ từ Trung Quốc, quốc gia từng có tiền lệ cài phần mềm độc hại vào cơ sở hạ tầng quan trọng của Mỹ. Việc mua thiết bị giá rẻ này có thể vô tình cung cấp cho Trung Quốc quyền truy cập vào lượng lớn thông tin y tế của người Mỹ, có khả năng được thu thập và sử dụng cho nhiều mục đích khác nhau.

John Riggi nói dữ liệu thường được truyền đến Trung Quốc với lý do theo dõi hiệu suất của thiết bị, nhưng hầu như không ai biết chính xác điều gì xảy ra với dữ liệu sau đó.

Theo John Riggi, nguy cơ trực tiếp với cá nhân là thấp hơn so với nguy cơ toàn bộ hệ thống y tế bị xâm nhập. Song về mặt lý thuyết, không thể loại trừ khả năng các cá nhân quan trọng của Mỹ có thể trở thành mục tiêu bị nhắm đến thông qua các thiết bị y tế này.

“Khi chúng tôi trao đổi với các bệnh viện, nhiều giám đốc điều hành tỏ ra bất ngờ vì không hề biết về những nguy cơ đó. Chúng tôi đang giúp họ hiểu rõ hơn. Câu hỏi đặt ra cho chính phủ là làm thế nào để thúc đẩy sản xuất thiết bị trong nước, thay vì phụ thuộc vào các nguồn cung nước ngoài”, John Riggi nói.

Trung Quốc thu thập dữ liệu từ người Mỹ?

Cảnh báo về Contec tương tự như những lo ngại xung quanh TikTok, DeepSeek, bộ định tuyến TP-Link và các công nghệ khác của Trung Quốc mà chính phủ Mỹ cáo buộc đang thu thập dữ liệu người Mỹ.

“Chỉ cần nghe đến điều đó là tôi biết mình có nên mua thiết bị y tế từ Trung Quốc hay không”, John Riggi khẳng định.

Aras Nazarovas, nhà nghiên cứu bảo mật thông tin tại Cybernews, cũng đồng tình rằng mối đe dọa từ CISA đặt ra những vấn đề nghiêm trọng cần được giải quyết. Cybernews là trang web chuyên đưa tin tức và phân tích về các vấn đề an ninh mạng.

“Chúng ta có rất nhiều điều đáng lo ngại”, Aras Nazarovas nói. Các thiết bị y tế như Contec CMS8000 thường có quyền truy cập vào dữ liệu bệnh nhân nhạy cảm và được kết nối trực tiếp với các chức năng cứu sống họ. Nếu được bảo mật kém, chúng sẽ trở thành mục tiêu dễ dàng cho hacker, vốn có thể thao túng dữ liệu hiển thị, thay đổi các cài đặt quan trọng hoặc thậm chí vô hiệu hóa thiết bị hoàn toàn.

“Hãy tưởng tượng một thiết bị theo dõi ngừng cảnh báo bác sĩ về tình trạng tim của bệnh nhân hoặc gửi dữ liệu sai, dẫn đến chẩn đoán sai hoặc chậm trễ”, Aras Nazarovas nói. Contec CMS8000 và Epsimed MN-120 (tên thương hiệu khác của cùng một công nghệ) có thể trở thành cửa ngõ cho hacker xâm nhập vào mạng bệnh viện.

Nhiều bệnh viện và phòng khám đang chú ý đến vấn đề này. Bệnh viện Bartlett ở thành phố Juneau, (bang Alaska, Mỹ) không sử dụng thiết bị theo dõi y tế Contec nhưng vẫn luôn giám sát các rủi ro. “Giám sát thường xuyên là rất quan trọng khi nguy cơ tấn công mạng vào bệnh viện ngày càng tăng”, phát ngôn viên Erin Hardin của Bệnh viện Bartlett cho biết.

Tình hình có thể trở nên tồi tệ hơn khi Bộ Hiệu quả Chính phủ, do Elon Musk lãnh đạo, đang cắt giảm các bộ phận chịu trách nhiệm đánh giá những thiết bị này, theo giáo sư Christopher Kaufman. Nhiều nhân viên bị sa thải gần đây tại FDA là những người chuyên đánh giá mức độ an toàn của thiết bị y tế, theo CNBC.

Christopher Kaufman bày tỏ lo ngại về khả năng giám sát lỏng lẻo của chính phủ Mỹ với một ngành vốn đã được quản lý lỏng lẻo.

Một báo cáo của Văn phòng Kiểm toán Chính phủ Mỹ (GAO) vào tháng 1.2022 chỉ ra rằng 53% thiết bị y tế kết nối mạng và các thiết bị internet vạn vật (IoT) trong bệnh viện tồn tại những lỗ hổng nghiêm trọng đã được biết đến. Ông cho rằng vấn đề này ngày càng tồi tệ hơn. "Tôi không chắc ai sẽ tiếp tục điều hành những cơ quan này nữa", Christopher Kaufman nói.

Silas Cutler, nhà nghiên cứu bảo mật chính tại công ty dữ liệu y tế Censys, cũng đồng tình: "Các vấn đề liên quan đến thiết bị y tế rất phổ biến và đã được biết đến từ lâu. Thực tế là hậu quả có thể rất nghiêm trọng, thậm chí gây chết người. Dù những cá nhân với địa vị cao có thể đối mặt với rủi ro lớn hơn, đối tượng bị ảnh hưởng nặng nề nhất chính là các hệ thống bệnh viện, với những tác động lan tỏa đến bệnh nhân hàng ngày".

Sơn Vân