6 trang 3 lượt tải

8-chủ-đề-thảo-luận-nhóm

6

Các tình huống thảo luận liên quan đến an toàn thông tin trên internet

Tác giả:

Profile

tthyha

1 giờ trước
Tải xuống
Báo cáo
Danh sách Quiz
Tải xuống
/6
Chủ đề 1: Quyền riêng tư của bệnh nhân trong Kỷ nguyên số (HIPAA/Luật pháp Việt Nam)
Tình huống: Trong ca thực tập, sinh viên An thấy bệnh án điện tử (EHR) của một bệnh nhân là người
nổi tiếng. Thấy thú vị, An dùng điện thoại chụp lại màn hình (không có ý xấu, chỉ để khoe với bạn
thân). Một sinh viên khác, Bình, vô tình nhìn thấy tên bệnh nhân trên máy tính ở trạm điều dưỡng và
sau đó tìm kiếm tên người đó trên mạng xã hội.
Mục tiêu thảo luận: Giúp sinh viên hiểu ranh giới mong manh giữa tò mò và vi phạm pháp lý/đạo
đức. Nhận thức được rằng dữ liệu sức khỏe (PHI - Protected Health Information) là thông tin nhạy
cảm nhất và được pháp luật bảo vệ nghiêm ngặt.
Hướng dẫn thảo luận & Đáp án:
1. Hành vi của An và Bình sai ở đâu?
An: Vi phạm trực tiếp. Chụp ảnh và lưu trữ dữ liệu bệnh nhân trên thiết bị cá nhân (điện thoại) là
hành vi sao chép và phát tán thông tin trái phép. Dữ liệu này có thể bị rò rỉ nếu điện thoại bị mất
hoặc bị hack.
Bình: Vi phạm nguyên tắc "cần phải biết" (Need-to-Know). Dù không trực tiếp điều trị, việc
Bình tò mò truy cập hoặc tìm kiếm thông tin bệnh nhân là vi phạm đạo đức nghề nghiệp.
2. Hậu quả có thể là gì?
Pháp lý: Bệnh viện và cá nhân sinh viên có thể bị kiện, phạt tiền nặng. Sinh viên có thể bị đình
chỉ thực tập hoặc đuổi học.
Danh tiếng: Mất niềm tin của bệnh nhân. Tổn hại uy tín của bệnh viện và cá nhân bác sĩ/sinh
viên.
3. Quy tắc thực hành đúng là gì?
Chỉ truy cập hồ sơ bệnh nhân khi bạn được giao nhiệm vụ trực tiếp chăm sóc hoặc học tập
trên ca bệnh đó.
Tuyệt đối không sử dụng thiết bị cá nhân (điện thoại, USB) để sao chép, chụp ảnh, hay lưu
trữ bất kỳ thông tin nào liên quan đến bệnh nhân.
Mọi thảo luận ca bệnh phải diễn ra trong môi trường an toàn, bảo mật (vd: phòng họp),
không bàn tán ở nơi công cộng (quán cà phê, hành lang).
Chủ đề 2: Tấn công Phishing (Lừa đảo) nhắm vào Hệ thống Bệnh viện
Tình huống: Sinh viên Mai nhận được một email có vẻ là từ "Trưởng khoa Xét nghiệm" với
tiêu đề "KHẨN: Kết quả xét nghiệm COVID-19 bất thường". Nội dung email yêu cầu Mai
nhấp vào một đường link để xem ngay kết quả. Đường link này dẫn đến một trang đăng nhập
trông giống hệt cổng thông tin nội bộ của bệnh viện.
Mục tiêu thảo luận: Rèn luyện kỹ năng nhận diện một cuộc tấn công lừa đảo (phishing) tinh
vi, được thiết kế riêng cho ngành y.
Hướng dẫn thảo luận & Đáp án:
1. Đây có phải là email hợp lệ không? Các "cờ đỏ" (dấu hiệu đáng ngờ) là gì?
Cảm tính (Gấp/Khẩn): Kẻ tấn công luôn tạo cảm giác khẩn cấp ("KHẨN", "ngay lập tức") để
nạn nhân hành động mà không suy nghĩ.
Người gửi: Di chuột qua tên người gửi (không nhấp) để xem địa chỉ email thật. Có phải là
email chuẩn @benhvien.vn hay là một email lạ như @gmail.com hoặc @benhvien-vn.com?
(Giống với các ví dụ trong tài liệu về email giả mạo ).
Đường link: Di chuột qua đường link (không nhấp) để xem địa chỉ web thật ở góc trình
duyệt. Nó có trỏ đến tên miền chính thức của bệnh viện không, hay là một tên miền giả mạo
(vd: vpbank.capnhat.com.vn như trong tài liệu )?
2. Điều gì xảy ra nếu Mai nhập thông tin đăng nhập?
Kẻ tấn công sẽ chiếm được tài khoản của Mai.
Từ đó, chúng có thể truy cập vào hệ thống bệnh án (EHR), đánh cắp dữ liệu bệnh nhân,
hoặc gửi email lừa đảo tiếp cho toàn bộ nhân viên, thậm chí là cài cắm ransomware.
3. Quy tắc thực hành đúng là gì?
Không bao giờ nhấp vào link hoặc mở tệp đính kèm từ email đáng ngờ, ngay cả khi nó có
vẻ là từ cấp trên.
Nếu email yêu cầu hành động khẩn, hãy xác minh bằng kênh khác: gọi điện thoại trực tiếp
cho Trưởng khoa hoặc phòng IT.
Luôn gõ địa chỉ cổng thông tin nội bộ của bệnh viện trực tiếp lên trình duyệt thay vì nhấp
qua link trong email.
Chủ đề 3: Nguy cơ từ USB lạ và thiết bị ngoại vi tại trạm y tá
Tình huống: Trong lúc bận rộn tại trạm điều dưỡng, sinh viên Nam thấy một USB lạ cắm sẵn ở
máy tính chung. Cậu ta cần chép file bệnh án (đã được che tên) về để làm báo cáo thực tập, nên
đã cắm USB cá nhân của mình vào máy tính đó để chép file.
Mục tiêu thảo luận: Nhận diện rủi ro từ các thiết bị ngoại vi không rõ nguồn gốc và nguy cơ
lây nhiễm chéo malware qua USB.
Hướng dẫn thảo luận & Đáp án:
1. Nam đã đối mặt với những rủi ro nào?
Rủi ro 1 (Từ USB lạ): USB cắm sẵn đó có thể là một "Bad USB" (như USB Rubber Ducky )
hoặc chứa mã độc. Nó có thể đã lây nhiễm malware ra máy tính chung.
Rủi ro 2 (Từ USB cá nhân): Khi Nam cắm USB cá nhân của mình vào máy tính có thể đã bị
nhiễm, USB của Nam sẽ bị lây nhiễm malware.
Rủi ro 3 (Lây lan): Nam mang USB cá nhân (đã nhiễm) về cắm vào laptop ở nhà, lây malware
cho máy tính cá nhân. Nguy hiểm hơn, cậu ta mang nó đến máy tính ở giảng đường, lây lan
cho cả mạng lưới của trường đại học.
2. Tại sao hành động "chép file" của Nam (dù đã che tên) cũng có thể sai?
Chính sách của bệnh viện hầu như luôn cấm sao chép dữ liệu bệnh viện ra thiết bị lưu trữ
cá nhân, bất kể lý do gì, vì nguy cơ làm mất dữ liệu.
3. Quy tắc thực hành đúng là gì?
Tuyệt đối không cắm bất kỳ USB lạ nào vào máy tính. Nếu thấy, báo cáo ngay cho phòng IT.
Không sử dụng máy tính chung của bệnh viện cho mục đích cá nhân.
Hạn chế tối đa việc cắm USB cá nhân vào máy tính bệnh viện. Luôn sử dụng các kênh chia
sẻ file an toàn do bệnh viện cung cấp (vd: ổ đĩa mạng, email nội bộ).
Luôn bật phần mềm diệt virus (như Windows Defender, Kaspersky đã đề cập trong tài liệu )
và quét USB trước khi mở.
Chủ đề 4: Mạng Wi-Fi công cộng (Quán cà phê, Sân bay) và truy cập dữ liệu Y khoa
Tình huống: Sinh viên Trang đang ngồi ở quán cà phê đối diện bệnh viện. Cô kết nối vào
mạng "Coffee_Shop_Free_WiFi" (một mạng không có mật khẩu) để tranh thủ xem lại lịch trực
và truy cập vào email sinh viên (có chứa các file bài giảng liên quan đến ca bệnh).
Mục tiêu thảo luận: Hiểu rõ nguy cơ của mạng Wi-Fi công cộng không an toàn và các biện
pháp bảo vệ khi truy cập từ xa.
Hướng dẫn thảo luận & Đáp án:
1. Rủi ro khi Trang dùng Wi-Fi miễn phí là gì?
Nghe lén (Eavesdropping): Kẻ tấn công trong cùng mạng Wi-Fi có thể "nghe lén" toàn bộ
dữ liệu Trang gửi đi (như tên đăng nhập, mật khẩu, nội dung email) nếu trang web không
được mã hóa (không có HTTPS).
Mạng Wi-Fi giả mạo (Evil Twin): Kẻ tấn công có thể tạo ra một mạng Wi-Fi giả tên là
"Coffee_Shop_Free_WiFi". Khi Trang kết nối, toàn bộ lưu lượng truy cập của cô ấy sẽ đi
qua máy của kẻ tấn công (Tấn công Man-in-the-Middle).
2. "Nhưng tôi dùng HTTPS, vậy là an toàn rồi?"
HTTPS bảo vệ bạn khỏi việc bị đọc nội dung (vd: nội dung email), nhưng kẻ tấn công vẫn
biết bạn đang truy cập trang web nào (vd: mail.university.edu.vn). Điều này vẫn lộ thông
tin.
3. Quy tắc thực hành đúng là gì?
Tránh thực hiện mọi giao dịch nhạy cảm (đăng nhập email, ngân hàng, hệ thống bệnh viện)
khi dùng Wi-Fi công cộng.
Cách 1 (Tốt nhất): Sử dụng 4G/5G từ điện thoại di động để phát hotspot. Đây là kênh an toàn
nhất.
Cách 2 (Bắt buộc nếu dùng Wi-Fi công cộng): Luôn sử dụng Mạng riêng ảo (VPN) của
trường hoặc bệnh viện cung cấp, hoặc một dịch vụ VPN uy tín. VPN sẽ tạo một đường hầm
mã hóa, khiến kẻ tấn công không thể đọc được dữ liệu.
Chủ đề 5: Ransomware – Khi toàn bộ bệnh viện bị "bắt cóc" dữ liệu
Tình huống: Giảng viên cho nhóm xem một bản tin (có thật) về một bệnh viện ở Đức hoặc
Mỹ bị tấn công Ransomware (mã độc tống tiền). Toàn bộ hệ thống máy tính bị khóa, bác sĩ
không thể xem bệnh án, máy chụp X-quang không hoạt động, lịch mổ phải hủy. Hậu quả là
một bệnh nhân cấp cứu đã tử vong vì không được điều trị kịp thời.
Mục tiêu thảo luận: Hiểu được Ransomware không chỉ là mất dữ liệu, mà trong y tế, nó là
mối đe dọa trực tiếp đến sinh mạng bệnh nhân.
Hướng dẫn thảo luận & Đáp án:
1. Ransomware lây nhiễm vào bệnh viện bằng cách nào?
Qua email phishing (như Chủ đề 2).
Qua USB (như Chủ đề 3).
Qua các phần mềm không được cập nhật (vá lỗi).
Qua việc dùng phần mềm "crack" (như trong tài liệu ).
2. Tại sao bệnh viện là mục tiêu "yêu thích" của Ransomware?
Tính mạng là trên hết: Bệnh viện không thể chờ đợi. Họ buộc phải trả tiền chuộc nhanh chóng
để cứu bệnh nhân.
Dữ liệu cực kỳ nhạy cảm: Dữ liệu bệnh án không thể thay thế được.
3. Vai trò của sinh viên (như một người dùng) trong việc này là gì?
Sinh viên là một mắt xích. Một cú nhấp chuột bất cẩn của sinh viên có thể khiến toàn bộ
bệnh viện tê liệt.
Tuân thủ nghiêm ngặt các quy tắc ở Chủ đề 2 (Phishing) và 3 (USB) là biện pháp phòng
chống Ransomware hiệu quả nhất ở cấp độ người dùng.
Hiểu tầm quan trọng của việc "Sao lưu dữ liệu" (Backup) mà phòng IT thực hiện.
Chủ đề 6: Bảo mật thiết bị y tế thông minh (IoMT)
Tình huống: Trong phòng bệnh, sinh viên thấy các thiết bị như máy bơm tiêm tự động, máy theo
dõi nhịp tim (monitor) đều được kết nối vào mạng Wi-Fi của bệnh viện để gửi dữ liệu về trạm
trung tâm. Một sinh viên IT (bạn của sinh viên y) đùa rằng: "Mình có thể hack cái máy bơm tiêm
đó và tăng liều thuốc từ xa".
Mục tiêu thảo luận: Nhận thức về một lĩnh vực mới: An toàn thông tin cho các Thiết bị Y tế Vạn
vật (Internet of Medical Things - IoMT).
Hướng dẫn thảo luận & Đáp án:
1. Lời nói đùa đó có thật được không?
Hoàn toàn có thể. Nhiều thiết bị IoMT (giống như IoT ) được thiết kế mà không ưu tiên bảo
mật. Chúng có thể có mật khẩu mặc định (như admin/1234) hoặc lỗ hổng phần mềm mà tin
tặc có thể khai thác qua mạng Wi-Fi.
2. Hậu quả nếu một thiết bị IoMT bị hack?
Máy bơm tiêm: Thay đổi liều lượng thuốc (quá liều hoặc thiếu liều), gây nguy hiểm tính mạng.
Máy theo dõi (Monitor): Gửi dữ liệu sai (vd: báo ngưng tim giả) gây hoảng loạn, hoặc không
báo khi ngưng tim thật.
Máy tạo nhịp tim (Pacemaker) cấy trong người: Đã có minh chứng là có thể bị hack và tấn
công từ xa.
3. Sinh viên y khoa cần làm gì?
Không cố gắng "vọc vạch", thay đổi cài đặt mạng của các thiết bị này.
Báo cáo ngay cho điều dưỡng/bác sĩ và phòng IT nếu thấy thiết bị có biểu hiện lạ (vd: tự khởi
động lại, hiển thị thông tin rác).
Hiểu rằng bảo mật vật lý cũng quan trọng: không cho người lạ (không phận sự) tiếp cận các
thiết bị này.
Chủ đề 7: Trao đổi thông tin bệnh nhân qua Zalo, Messenger
Tình huống: Một bác sĩ trực yêu cầu sinh viên Hùng chụp ảnh X-quang của bệnh nhân A trên
màn hình và gửi qua Zalo/Viber cho bác sĩ xem để "hội chẩn nhanh", vì bác sĩ đang ở khoa
khác.
Mục tiêu thảo luận: Phân biệt giữa "tiện lợi" và "an toàn" trong giao tiếp y khoa. Nhận diện
các kênh giao tiếp không an toàn.
Hướng dẫn thảo luận & Đáp án:
1. Tại sao hành động này (dù rất phổ biến) lại rủi ro?
Vi phạm bảo mật: Dữ liệu bệnh nhân (hình ảnh X-quang, tên) được gửi qua một nền tảng
của bên thứ ba (Zalo, Facebook). Công ty chủ quản có thể truy cập dữ liệu này.
Rò rỉ dữ liệu: Hình ảnh được lưu trên điện thoại của cả hai người. Nếu một trong hai người
bị mất điện thoại, toàn bộ thông tin nhạy cảm này bị lộ.
Không chính thống: Thông tin này không được lưu vào bệnh án (EHR), gây thiếu sót hồ sơ
pháp lý.
2. Vậy làm sao để "hội chẩn nhanh" mà vẫn an toàn?
Sử dụng các hệ thống liên lạc nội bộ, đã được mã hóa do bệnh viện cung cấp (ví dụ: một
ứng dụng chat nội bộ an toàn).
Nếu phải dùng điện thoại, chỉ gọi điện và mô tả (không gửi ảnh).
Tốt nhất là bác sĩ di chuyển đến xem trực tiếp trên hệ thống PACS/EHR của bệnh viện.
3. Sinh viên nên phản ứng thế nào?
Đây là tình huống khó xử (cấp trên yêu cầu).
Cách xử lý khéo léo: "Dạ thưa anh/chị, em có thể đọc cho anh/chị nghe kết quả mô tả trên
hệ thống PACS được không ạ? Hoặc em giữ hình ảnh trên màn hình máy tính trạm, anh/chị
có thể xem qua được không ạ? Vì quy định không cho phép chụp ảnh thông tin bệnh nhân
qua điện thoại."
Mục tiêu là tuân thủ quy định mà không làm gián đoạn quy trình điều trị.
Chủ đề 8: Sử dụng phần mềm Y khoa "Crack" (Bẻ khóa)
Tình huống: Các phần mềm giải phẫu 3D (như 3D Atlas, Complete Anatomy) hoặc phần mềm
thống kê y học (như SPSS) rất đắt. Nhiều sinh viên lên mạng tìm và tải các bản "crack" (đã bẻ
khóa) để dùng miễn phí.
Mục tiêu thảo luận: Áp dụng trực tiếp nguy cơ của phần mềm không chính thống (đã có trong
tài liệu ) vào bối cảnh y khoa.
Hướng dẫn thảo luận & Đáp án:
1. Rủi ro khi dùng phần mềm "crack" là gì? (Ôn lại tài liệu)
Vi phạm pháp luật: Vi phạm bản quyền.
Malware: Đây là con đường phổ biến nhất để lây nhiễm virus, spyware, ransomware. Kẻ bẻ
khóa thường nhúng mã độc vào file cài đặt.
Không ổn định: Phần mềm lỗi, không có hỗ trợ, có thể làm mất dữ liệu nghiên cứu.
2. Rủi ro này ảnh hưởng gì đến sinh viên y khoa?
Nếu cài trên laptop cá nhân: Kẻ tấn công có thể bật webcam của bạn, đánh cắp mật khẩu email,
tài khoản ngân hàng.
Nếu (tuyệt đối cấm) cài trên máy tính bệnh viện: Lây nhiễm malware cho toàn bộ mạng lưới
bệnh viện, dẫn đến kịch bản Ransomware (Chủ đề 5).
3. Giải pháp thay thế là gì?
Kiểm tra xem Trường/Bệnh viện có mua bản quyền (license) cho sinh viên sử dụng không.
Tìm kiếm các phần mềm miễn phí, mã nguồn mở có chức năng tương tự.
Sử dụng các phiên bản "dùng thử" (Trial) hoặc bản "Giáo dục" (Educational) nếu có.
Kết luận: Tiết kiệm vài triệu đồng tiền phần mềm không đáng để đánh đổi bằng việc bị mất
toàn bộ dữ liệu cá nhân hoặc gây họa cho cả bệnh viện.

Preview text:

Chủ đề 1: Quyền riêng tư của bệnh nhân trong Kỷ nguyên số (HIPAA/Luật pháp Việt Nam)

  • Tình huống: Trong ca thực tập, sinh viên An thấy bệnh án điện tử (EHR) của một bệnh nhân là người nổi tiếng. Thấy thú vị, An dùng điện thoại chụp lại màn hình (không có ý xấu, chỉ để khoe với bạn thân). Một sinh viên khác, Bình, vô tình nhìn thấy tên bệnh nhân trên máy tính ở trạm điều dưỡng và sau đó tìm kiếm tên người đó trên mạng xã hội.
  • Mục tiêu thảo luận: Giúp sinh viên hiểu ranh giới mong manh giữa tò mò và vi phạm pháp lý/đạo đức. Nhận thức được rằng dữ liệu sức khỏe (PHI - Protected Health Information) là thông tin nhạy cảm nhất và được pháp luật bảo vệ nghiêm ngặt.
  • Hướng dẫn thảo luận & Đáp án:
    1. Hành vi của An và Bình sai ở đâu?
      • An: Vi phạm trực tiếp. Chụp ảnh và lưu trữ dữ liệu bệnh nhân trên thiết bị cá nhân (điện thoại) là hành vi sao chép và phát tán thông tin trái phép. Dữ liệu này có thể bị rò rỉ nếu điện thoại bị mất hoặc bị hack.
      • Bình: Vi phạm nguyên tắc "cần phải biết" (Need-to-Know). Dù không trực tiếp điều trị, việc Bình tò mò truy cập hoặc tìm kiếm thông tin bệnh nhân là vi phạm đạo đức nghề nghiệp.
    2. Hậu quả có thể là gì?
      • Pháp lý: Bệnh viện và cá nhân sinh viên có thể bị kiện, phạt tiền nặng. Sinh viên có thể bị đình chỉ thực tập hoặc đuổi học.
      • Danh tiếng: Mất niềm tin của bệnh nhân. Tổn hại uy tín của bệnh viện và cá nhân bác sĩ/sinh viên.
    3. Quy tắc thực hành đúng là gì?
      • Chỉ truy cập hồ sơ bệnh nhân khi bạn được giao nhiệm vụ trực tiếp chăm sóc hoặc học tập trên ca bệnh đó.
      • Tuyệt đối không sử dụng thiết bị cá nhân (điện thoại, USB) để sao chép, chụp ảnh, hay lưu trữ bất kỳ thông tin nào liên quan đến bệnh nhân.
      • Mọi thảo luận ca bệnh phải diễn ra trong môi trường an toàn, bảo mật (vd: phòng họp), không bàn tán ở nơi công cộng (quán cà phê, hành lang).

Chủ đề 2: Tấn công Phishing (Lừa đảo) nhắm vào Hệ thống Bệnh viện

  • Tình huống: Sinh viên Mai nhận được một email có vẻ là từ "Trưởng khoa Xét nghiệm" với tiêu đề "KHẨN: Kết quả xét nghiệm COVID-19 bất thường". Nội dung email yêu cầu Mai nhấp vào một đường link để xem ngay kết quả. Đường link này dẫn đến một trang đăng nhập trông giống hệt cổng thông tin nội bộ của bệnh viện.
  • Mục tiêu thảo luận: Rèn luyện kỹ năng nhận diện một cuộc tấn công lừa đảo (phishing) tinh vi, được thiết kế riêng cho ngành y.
  • Hướng dẫn thảo luận & Đáp án:
    1. Đây có phải là email hợp lệ không? Các "cờ đỏ" (dấu hiệu đáng ngờ) là gì?
      • Cảm tính (Gấp/Khẩn): Kẻ tấn công luôn tạo cảm giác khẩn cấp ("KHẨN", "ngay lập tức") để nạn nhân hành động mà không suy nghĩ.
      • Người gửi: Di chuột qua tên người gửi (không nhấp) để xem địa chỉ email thật. Có phải là email chuẩn @benhvien.vn hay là một email lạ như @gmail.com hoặc @benhvien-vn.com? (Giống với các ví dụ trong tài liệu về email giả mạo ).
      • Đường link: Di chuột qua đường link (không nhấp) để xem địa chỉ web thật ở góc trình duyệt. Nó có trỏ đến tên miền chính thức của bệnh viện không, hay là một tên miền giả mạo (vd: vpbank.capnhat.com.vn như trong tài liệu )?
    2. Điều gì xảy ra nếu Mai nhập thông tin đăng nhập?
      • Kẻ tấn công sẽ chiếm được tài khoản của Mai.
      • Từ đó, chúng có thể truy cập vào hệ thống bệnh án (EHR), đánh cắp dữ liệu bệnh nhân, hoặc gửi email lừa đảo tiếp cho toàn bộ nhân viên, thậm chí là cài cắm ransomware.
    3. Quy tắc thực hành đúng là gì?
      • Không bao giờ nhấp vào link hoặc mở tệp đính kèm từ email đáng ngờ, ngay cả khi nó có vẻ là từ cấp trên.
      • Nếu email yêu cầu hành động khẩn, hãy xác minh bằng kênh khác: gọi điện thoại trực tiếp cho Trưởng khoa hoặc phòng IT.
      • Luôn gõ địa chỉ cổng thông tin nội bộ của bệnh viện trực tiếp lên trình duyệt thay vì nhấp qua link trong email.

Chủ đề 3: Nguy cơ từ USB lạ và thiết bị ngoại vi tại trạm y tá

  • Tình huống: Trong lúc bận rộn tại trạm điều dưỡng, sinh viên Nam thấy một USB lạ cắm sẵn ở máy tính chung. Cậu ta cần chép file bệnh án (đã được che tên) về để làm báo cáo thực tập, nên đã cắm USB cá nhân của mình vào máy tính đó để chép file.
  • Mục tiêu thảo luận: Nhận diện rủi ro từ các thiết bị ngoại vi không rõ nguồn gốc và nguy cơ lây nhiễm chéo malware qua USB.
  • Hướng dẫn thảo luận & Đáp án:
    1. Nam đã đối mặt với những rủi ro nào?
      • Rủi ro 1 (Từ USB lạ): USB cắm sẵn đó có thể là một "Bad USB" (như USB Rubber Ducky ) hoặc chứa mã độc. Nó có thể đã lây nhiễm malware ra máy tính chung.
      • Rủi ro 2 (Từ USB cá nhân): Khi Nam cắm USB cá nhân của mình vào máy tính có thể đã bị nhiễm, USB của Nam sẽ bị lây nhiễm malware.
      • Rủi ro 3 (Lây lan): Nam mang USB cá nhân (đã nhiễm) về cắm vào laptop ở nhà, lây malware cho máy tính cá nhân. Nguy hiểm hơn, cậu ta mang nó đến máy tính ở giảng đường, lây lan cho cả mạng lưới của trường đại học.
    2. Tại sao hành động "chép file" của Nam (dù đã che tên) cũng có thể sai?
      • Chính sách của bệnh viện hầu như luôn cấm sao chép dữ liệu bệnh viện ra thiết bị lưu trữ cá nhân, bất kể lý do gì, vì nguy cơ làm mất dữ liệu.
    3. Quy tắc thực hành đúng là gì?
      • Tuyệt đối không cắm bất kỳ USB lạ nào vào máy tính. Nếu thấy, báo cáo ngay cho phòng IT.
      • Không sử dụng máy tính chung của bệnh viện cho mục đích cá nhân.
      • Hạn chế tối đa việc cắm USB cá nhân vào máy tính bệnh viện. Luôn sử dụng các kênh chia sẻ file an toàn do bệnh viện cung cấp (vd: ổ đĩa mạng, email nội bộ).
      • Luôn bật phần mềm diệt virus (như Windows Defender, Kaspersky đã đề cập trong tài liệu ) và quét USB trước khi mở.

Chủ đề 4: Mạng Wi-Fi công cộng (Quán cà phê, Sân bay) và truy cập dữ liệu Y khoa

  • Tình huống: Sinh viên Trang đang ngồi ở quán cà phê đối diện bệnh viện. Cô kết nối vào mạng "Coffee_Shop_Free_WiFi" (một mạng không có mật khẩu) để tranh thủ xem lại lịch trực và truy cập vào email sinh viên (có chứa các file bài giảng liên quan đến ca bệnh).
  • Mục tiêu thảo luận: Hiểu rõ nguy cơ của mạng Wi-Fi công cộng không an toàn và các biện pháp bảo vệ khi truy cập từ xa.
  • Hướng dẫn thảo luận & Đáp án:
    1. Rủi ro khi Trang dùng Wi-Fi miễn phí là gì?
      • Nghe lén (Eavesdropping): Kẻ tấn công trong cùng mạng Wi-Fi có thể "nghe lén" toàn bộ dữ liệu Trang gửi đi (như tên đăng nhập, mật khẩu, nội dung email) nếu trang web không được mã hóa (không có HTTPS).
      • Mạng Wi-Fi giả mạo (Evil Twin): Kẻ tấn công có thể tạo ra một mạng Wi-Fi giả tên là "Coffee_Shop_Free_WiFi". Khi Trang kết nối, toàn bộ lưu lượng truy cập của cô ấy sẽ đi qua máy của kẻ tấn công (Tấn công Man-in-the-Middle).
    2. "Nhưng tôi dùng HTTPS, vậy là an toàn rồi?"
      • HTTPS bảo vệ bạn khỏi việc bị đọc nội dung (vd: nội dung email), nhưng kẻ tấn công vẫn biết bạn đang truy cập trang web nào (vd: mail.university.edu.vn). Điều này vẫn lộ thông tin.
    3. Quy tắc thực hành đúng là gì?
      • Tránh thực hiện mọi giao dịch nhạy cảm (đăng nhập email, ngân hàng, hệ thống bệnh viện) khi dùng Wi-Fi công cộng.
      • Cách 1 (Tốt nhất): Sử dụng 4G/5G từ điện thoại di động để phát hotspot. Đây là kênh an toàn nhất.
      • Cách 2 (Bắt buộc nếu dùng Wi-Fi công cộng): Luôn sử dụng Mạng riêng ảo (VPN) của trường hoặc bệnh viện cung cấp, hoặc một dịch vụ VPN uy tín. VPN sẽ tạo một đường hầm mã hóa, khiến kẻ tấn công không thể đọc được dữ liệu.

Chủ đề 5: Ransomware – Khi toàn bộ bệnh viện bị "bắt cóc" dữ liệu

  • Tình huống: Giảng viên cho nhóm xem một bản tin (có thật) về một bệnh viện ở Đức hoặc Mỹ bị tấn công Ransomware (mã độc tống tiền). Toàn bộ hệ thống máy tính bị khóa, bác sĩ không thể xem bệnh án, máy chụp X-quang không hoạt động, lịch mổ phải hủy. Hậu quả là một bệnh nhân cấp cứu đã tử vong vì không được điều trị kịp thời.
  • Mục tiêu thảo luận: Hiểu được Ransomware không chỉ là mất dữ liệu, mà trong y tế, nó là mối đe dọa trực tiếp đến sinh mạng bệnh nhân.
  • Hướng dẫn thảo luận & Đáp án:
    1. Ransomware lây nhiễm vào bệnh viện bằng cách nào?
      • Qua email phishing (như Chủ đề 2).
      • Qua USB (như Chủ đề 3).
      • Qua các phần mềm không được cập nhật (vá lỗi).
      • Qua việc dùng phần mềm "crack" (như trong tài liệu ).
    2. Tại sao bệnh viện là mục tiêu "yêu thích" của Ransomware?
      • Tính mạng là trên hết: Bệnh viện không thể chờ đợi. Họ buộc phải trả tiền chuộc nhanh chóng để cứu bệnh nhân.
      • Dữ liệu cực kỳ nhạy cảm: Dữ liệu bệnh án không thể thay thế được.
    3. Vai trò của sinh viên (như một người dùng) trong việc này là gì?
      • Sinh viên là một mắt xích. Một cú nhấp chuột bất cẩn của sinh viên có thể khiến toàn bộ bệnh viện tê liệt.
      • Tuân thủ nghiêm ngặt các quy tắc ở Chủ đề 2 (Phishing) và 3 (USB) là biện pháp phòng chống Ransomware hiệu quả nhất ở cấp độ người dùng.
      • Hiểu tầm quan trọng của việc "Sao lưu dữ liệu" (Backup) mà phòng IT thực hiện.

Chủ đề 6: Bảo mật thiết bị y tế thông minh (IoMT)

  • Tình huống: Trong phòng bệnh, sinh viên thấy các thiết bị như máy bơm tiêm tự động, máy theo dõi nhịp tim (monitor) đều được kết nối vào mạng Wi-Fi của bệnh viện để gửi dữ liệu về trạm trung tâm. Một sinh viên IT (bạn của sinh viên y) đùa rằng: "Mình có thể hack cái máy bơm tiêm đó và tăng liều thuốc từ xa".
  • Mục tiêu thảo luận: Nhận thức về một lĩnh vực mới: An toàn thông tin cho các Thiết bị Y tế Vạn vật (Internet of Medical Things - IoMT).
  • Hướng dẫn thảo luận & Đáp án:
    1. Lời nói đùa đó có thật được không?
      • Hoàn toàn có thể. Nhiều thiết bị IoMT (giống như IoT ) được thiết kế mà không ưu tiên bảo mật. Chúng có thể có mật khẩu mặc định (như admin/1234) hoặc lỗ hổng phần mềm mà tin tặc có thể khai thác qua mạng Wi-Fi.
    2. Hậu quả nếu một thiết bị IoMT bị hack?
      • Máy bơm tiêm: Thay đổi liều lượng thuốc (quá liều hoặc thiếu liều), gây nguy hiểm tính mạng.
      • Máy theo dõi (Monitor): Gửi dữ liệu sai (vd: báo ngưng tim giả) gây hoảng loạn, hoặc không báo khi ngưng tim thật.
      • Máy tạo nhịp tim (Pacemaker) cấy trong người: Đã có minh chứng là có thể bị hack và tấn công từ xa.
    3. Sinh viên y khoa cần làm gì?
      • Không cố gắng "vọc vạch", thay đổi cài đặt mạng của các thiết bị này.
      • Báo cáo ngay cho điều dưỡng/bác sĩ và phòng IT nếu thấy thiết bị có biểu hiện lạ (vd: tự khởi động lại, hiển thị thông tin rác).
      • Hiểu rằng bảo mật vật lý cũng quan trọng: không cho người lạ (không phận sự) tiếp cận các thiết bị này.

Chủ đề 7: Trao đổi thông tin bệnh nhân qua Zalo, Messenger

  • Tình huống: Một bác sĩ trực yêu cầu sinh viên Hùng chụp ảnh X-quang của bệnh nhân A trên màn hình và gửi qua Zalo/Viber cho bác sĩ xem để "hội chẩn nhanh", vì bác sĩ đang ở khoa khác.
  • Mục tiêu thảo luận: Phân biệt giữa "tiện lợi" và "an toàn" trong giao tiếp y khoa. Nhận diện các kênh giao tiếp không an toàn.
  • Hướng dẫn thảo luận & Đáp án:
    1. Tại sao hành động này (dù rất phổ biến) lại rủi ro?
      • Vi phạm bảo mật: Dữ liệu bệnh nhân (hình ảnh X-quang, tên) được gửi qua một nền tảng của bên thứ ba (Zalo, Facebook). Công ty chủ quản có thể truy cập dữ liệu này.
      • Rò rỉ dữ liệu: Hình ảnh được lưu trên điện thoại của cả hai người. Nếu một trong hai người bị mất điện thoại, toàn bộ thông tin nhạy cảm này bị lộ.
      • Không chính thống: Thông tin này không được lưu vào bệnh án (EHR), gây thiếu sót hồ sơ pháp lý.
    2. Vậy làm sao để "hội chẩn nhanh" mà vẫn an toàn?
      • Sử dụng các hệ thống liên lạc nội bộ, đã được mã hóa do bệnh viện cung cấp (ví dụ: một ứng dụng chat nội bộ an toàn).
      • Nếu phải dùng điện thoại, chỉ gọi điện và mô tả (không gửi ảnh).
      • Tốt nhất là bác sĩ di chuyển đến xem trực tiếp trên hệ thống PACS/EHR của bệnh viện.
    3. Sinh viên nên phản ứng thế nào?
      • Đây là tình huống khó xử (cấp trên yêu cầu).
      • Cách xử lý khéo léo: "Dạ thưa anh/chị, em có thể đọc cho anh/chị nghe kết quả mô tả trên hệ thống PACS được không ạ? Hoặc em giữ hình ảnh trên màn hình máy tính trạm, anh/chị có thể xem qua được không ạ? Vì quy định không cho phép chụp ảnh thông tin bệnh nhân qua điện thoại."
      • Mục tiêu là tuân thủ quy định mà không làm gián đoạn quy trình điều trị.

Chủ đề 8: Sử dụng phần mềm Y khoa "Crack" (Bẻ khóa)

  • Tình huống: Các phần mềm giải phẫu 3D (như 3D Atlas, Complete Anatomy) hoặc phần mềm thống kê y học (như SPSS) rất đắt. Nhiều sinh viên lên mạng tìm và tải các bản "crack" (đã bẻ khóa) để dùng miễn phí.
  • Mục tiêu thảo luận: Áp dụng trực tiếp nguy cơ của phần mềm không chính thống (đã có trong tài liệu ) vào bối cảnh y khoa.
  • Hướng dẫn thảo luận & Đáp án:
    1. Rủi ro khi dùng phần mềm "crack" là gì? (Ôn lại tài liệu)
      • Vi phạm pháp luật: Vi phạm bản quyền.
      • Malware: Đây là con đường phổ biến nhất để lây nhiễm virus, spyware, ransomware. Kẻ bẻ khóa thường nhúng mã độc vào file cài đặt.
      • Không ổn định: Phần mềm lỗi, không có hỗ trợ, có thể làm mất dữ liệu nghiên cứu.
    2. Rủi ro này ảnh hưởng gì đến sinh viên y khoa?
      • Nếu cài trên laptop cá nhân: Kẻ tấn công có thể bật webcam của bạn, đánh cắp mật khẩu email, tài khoản ngân hàng.
      • Nếu (tuyệt đối cấm) cài trên máy tính bệnh viện: Lây nhiễm malware cho toàn bộ mạng lưới bệnh viện, dẫn đến kịch bản Ransomware (Chủ đề 5).
    3. Giải pháp thay thế là gì?
      • Kiểm tra xem Trường/Bệnh viện có mua bản quyền (license) cho sinh viên sử dụng không.
      • Tìm kiếm các phần mềm miễn phí, mã nguồn mở có chức năng tương tự.
      • Sử dụng các phiên bản "dùng thử" (Trial) hoặc bản "Giáo dục" (Educational) nếu có.
      • Kết luận: Tiết kiệm vài triệu đồng tiền phần mềm không đáng để đánh đổi bằng việc bị mất toàn bộ dữ liệu cá nhân hoặc gây họa cho cả bệnh viện.
Tài liệu liên quan: