Ngành y tế đối mặt với rủi ro rò rỉ dữ liệu nhạy cảm qua công cụ GenAI

Một báo cáo mới từ Phòng thí nghiệm Mối đe dọa của Netskope cho thấy các tổ chức y tế đang phải đối mặt với một thách thức ngày càng gia tăng về bảo mật dữ liệu từ bên trong. Theo phân tích, nhân viên y tế thường xuyên cố gắng tải thông tin nhạy cảm - bao gồm dữ liệu y tế được bảo vệ - lên các trang web và dịch vụ đám mây không được tổ chức cho phép. Một số điểm đến phổ biến nhất là các công cụ trí tuệ nhân tạo tạo sinh (GenAI) như ChatGPT và Gemini. Vi phạm chính sách dữ liệu liên quan đến GenAI trong ngành y tế

Trong vòng 12 tháng qua, 81% các vi phạm chính sách dữ liệu tại các tổ chức chăm sóc sức khỏe liên quan đến dữ liệu y tế được quản lý - bao gồm hồ sơ y tế và thông tin lâm sàng nhạy cảm, được bảo vệ bởi các quy định địa phương, quốc gia hoặc quốc tế. 19% còn lại liên quan đến các tài sản nhạy cảm khác như mật khẩu, khóa truy cập, mã nguồn hoặc tài sản trí tuệ.

Nhiều sự cố xuất phát từ việc nhân viên tải dữ liệu lên các dịch vụ lưu trữ đám mây cá nhân như Google Drive hoặc Microsoft OneDrive. Công nghệ GenAI đang ngày càng được tích hợp sâu trong lĩnh vực y tế, với 88% tổ chức báo cáo cho biết đã sử dụng công nghệ này. Trong số các vi phạm chính sách dữ liệu liên quan đến GenAI, 44% chứa dữ liệu y tế được quản lý, 29% liên quan đến mã nguồn, 25% là tài sản trí tuệ và 2% là mật khẩu hoặc khóa truy cập.

Mức độ rủi ro càng trở nên nghiêm trọng hơn do sự phổ biến của các ứng dụng có khả năng thu thập dữ liệu cá nhân để huấn luyện mô hình (có trong 96% các tổ chức) hoặc tích hợp các tính năng GenAI trong hệ thống (98%).

Một trong những thách thức lớn là việc nhân viên sử dụng tài khoản GenAI cá nhân tại nơi làm việc. Hơn 2/3 nhân viên y tế sử dụng các công cụ này đã gửi dữ liệu nhạy cảm đến các tài khoản nằm ngoài phạm vi kiểm soát của tổ chức, khiến bộ phận an ninh không thể giám sát và ngăn chặn rủi ro rò rỉ dữ liệu theo thời gian thực.

Ông Ray Canzanese, Giám đốc Phòng thí nghiệm Mối đe dọa tại Netskope cảnh báo: “Dữ liệu y tế cá nhân chịu sự giám sát nghiêm ngặt theo quy định pháp luật. Các vi phạm có thể dẫn đến các cuộc điều tra của cơ quan chức năng, hành động pháp lý và các khoản phạt đáng kể - lên tới 20 triệu euro theo GDPR hoặc 1,5 triệu USD cho mỗi lần vi phạm theo Đạo luật Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (Health Insurance Portability and Accountability Act - HIPAA) của Mỹ. Ngoài hậu quả về tài chính, những sự cố này còn làm xói mòn niềm tin của bệnh nhân và ảnh hưởng nghiêm trọng đến uy tín của tổ chức”.

Ông nhấn mạnh thêm: “Các Giám đốc An ninh Thông tin (CISO) trong ngành y tế cần xây dựng các chính sách dữ liệu toàn diện, được thực thi thông qua các công cụ ngăn ngừa mất dữ liệu (DLP) và kiểm soát truy cập nghiêm ngặt theo mô hình mạng không tin cậy (ZTNA). Hai công cụ này cho phép giám sát liên tục dữ liệu y tế, từ đó giảm thiểu nguy cơ rò rỉ".

Trong bối cảnh các công cụ AI tạo sinh ngày càng được tích hợp sâu vào quy trình lâm sàng và vận hành, CISO cần nhận diện rõ các vectơ tấn công tiềm ẩn mới và chủ động phòng ngừa các hành vi rò rỉ dữ liệu vô tình. Khi nhân viên y tế tận dụng AI để nâng cao hiệu quả làm việc, CISO không được đánh đổi sự an toàn của dữ liệu bệnh nhân vì bất kỳ lý do nào.

Giải pháp kiểm soát rủi ro và bảo vệ dữ liệu

Triển khai các ứng dụng GenAI được phê duyệt nhằm kiểm soát rủi ro bảo mật

Việc triển khai các ứng dụng GenAI đã được tổ chức phê duyệt giúp tập trung hoạt động sử dụng AI trong môi trường giám sát và bảo mật, qua đó giảm thiểu tình trạng sử dụng tài khoản cá nhân hoặc các công cụ "AI trong bóng tối" ngoài phạm vi kiểm soát của tổ chức.

Nhờ vào những biện pháp này, tỷ lệ nhân viên y tế sử dụng tài khoản GenAI cá nhân đã giảm từ 87% xuống còn 71% trong vòng 1 năm qua, phản ánh xu hướng chuyển đổi sang các giải pháp GenAI chính thống và an toàn hơn.

Tăng cường kiểm soát dữ liệu thông qua chính sách ngăn ngừa thất thoát dữ liệu

Việc triển khai chính sách ngăn ngừa thất thoát dữ liệu (DLP) đóng vai trò quan trọng trong việc giám sát và kiểm soát quyền truy cập vào các ứng dụng GenAI. Chính sách này giúp xác định rõ loại dữ liệu nào được phép chia sẻ, đồng thời bổ sung thêm một lớp bảo mật trong trường hợp nhân viên cố gắng thực hiện các hành động rủi ro. Trong năm qua, tỷ lệ các tổ chức y tế áp dụng DLP cho GenAI đã tăng đáng kể - từ 31% lên 54% - cho thấy mức độ quan tâm ngày càng cao đối với bảo vệ dữ liệu trong bối cảnh AI phát triển mạnh mẽ.

Triển khai hướng dẫn người dùng theo thời gian thực

Ngoài ra, việc triển khai hướng dẫn người dùng theo thời gian thực cũng mang lại hiệu quả rõ rệt. Cơ chế cảnh báo tức thì giúp nhân viên nhận biết hành vi rủi ro trong quá trình làm việc.

Ví dụ, nếu một nhân viên y tế cố gắng tải lên ChatGPT một tệp chứa tên bệnh nhân, hệ thống sẽ ngay lập tức hiển thị thông báo yêu cầu xác nhận hành động. Một báo cáo độc lập cho thấy 73% nhân viên trong tất cả các ngành đã lựa chọn dừng lại sau khi nhận được lời nhắc, cho thấy hiệu quả cao của phương pháp can thiệp này./.