Thay vì thông báo cho nhà sản xuất để công ty có thể vá lỗ hổng, các hacker lại đem thông tin này đi bán cho một bên khác. Điều này có khả năng gây nguy hiểm tới tính mạng nhiều người, theo St Jude.
Một việc động trời vừa xảy ra trong thế giới hacker với tình tiết y trong phim. Công ty bảo mật MedSec đã tìm ra lỗ hổng trong các thiết bị y tế của St Jude Medical bao gồm máy trợ tim và máy kích tim.
Theo quy chuẩn đáng ra MedSec phải thông báo thông tin cho St Jude nhằm khắc phục ngay các lỗ hổng trên. Nhưng thay vì thông báo cho nhà sản xuất để vá lỗ hổng, công ty này đã đem bán thông tin cho một công ty khác có tên Carson Block.
Carson Block đã lợi dụng thông tin này đó để đặt giá cổ phiếu ngược lại với xu hướng đang lên của cổ phiếu St Jude Medical nhằm kiếm lời khi giá cổ phiếu St Jude giảm do thông tin về các lỗi bảo mật của thiết bị được tung ra.
Đó là còn may, bạn hãy thử hình dung xem nếu công ty này muốn tống tiền St Jude? Mạng sống bệnh nhân sẽ được đem ra làm con tin. Carson Block có thể đòi St Jude trả tiền nếu không sẽ hack vào các lỗ hổng bảo mật trên và đe doạ tính mạng bệnh nhân.
Điều này có khả năng gây nguy hiểm tới tính mạng nhiều người, theo St Jude.
Sau khi tìm ra một số lỗ hổng an ninh nghiêm trọng trong máy trợ tim và kích tim St Jude Medical, công ty an ninh mạng MedSec đã đem thông tin đó bán cho một công ty có tên Carson Block.
Bloomberg giải thích:
Medsec đã đưa ra một lựa chọn chưa từng có: Các hacker sẽ cung cấp dữ liệu chứng minh các thiết bị y tế có lỗ hổng và Carson Block sẽ đặt ngược lại với xu hướng đang lên của cổ phiếu St Jude.
Giá bán thông tin trả cho hacker sẽ tăng nếu giá cổ phiếu St Jude giảm, có nghĩa là cả công ty sở hữu Carson Block là Muddy Waters lẫn các hacker từ MedSec đều có lợi. Nếu phi vụ không thành công và giá cổ phiếu không giảm, MedSec có thể sẽ mất tiền, bao gồm chi phí tìm ra lỗ hổng.
Nhưng trên thực tế, cổ phiếu St Jude đã giảm gần 4% vào thứ Năm tuần trước nữa, đồng nghĩa với phi vụ trên đã thành công. Trước đó, Abbot Laboratories đã đầu tư tới 25 tỉ USD vào đây trong tháng Tư.
Do các lỗ hổng bảo mật đã được phát hiện ở trên, khoản đầu tư khổng lồ này có nguy cơ rủi ro cao. CEO MedSec Justine Bone nói rằng công ty bà không tiết lộ thông tin cho St Jude vì bà không tin rằng công ty sản xuất thiết bị y tế này sẽ giải quyết vấn đề.
Do vậy, MedSec quyết định không chỉ hạ nhục St Jude mà còn khiến họ phải trả giá.
CEO MedSec Justine Bone nói rằng công ty bà không tiết lộ thông tin cho St Jude vì bà không tin rằng công ty sản xuất thiết bị y tế này sẽ giải quyết vấn đề.
Trong một bài viết trên blog công ty MedSec, Bone viết:
Chúng tôi hiểu rằng cách làm của chúng tôi có thể bị chỉ trích, nhưng chúng tôi tin rằng đây là cách duy nhất để khiến St Jude Medical quan tâm.
Quan trọng hơn là chúng tôi tin bệnh nhân có quyền được biết về các nguy cơ rủi ro trong các thiết bị y tế mình sử dụng. Người tiêu dùng nên yêu cầu sự thành thật từ các nhà sản xuất thiết bị, đặc biệt là khi nó liên quan tới chất lượng và tính năng sản phẩm.
Bone trả lời chi tiết hơn với Bloomberg, cho rằng “theo chúng tôi biết, St Jude đã không cố gắng để đạt được các tiêu chuẩn an ninh mạng tối thiểu, so với các nhà sản xuất khác, theo quan sát.”
Trong một phỏng vấn khác, bà đã chỉ ra các lỗi bảo mật được thông báo tới St Jude từ năm 2013 nhưng tới giờ vẫn chưa được sửa chữa.
Tuy vậy, MedSec đã kiếm được rất nhiều tiền khi cổ phiếu St Jude giảm. MedSec đã có thể đến với CERT (Computer Emergency Response Team) để đảm bảo các lỗ hổng này không bị phớt lờ, chuyên gia an ninh Jesse Irwin cho biết. Irwin trả lời rằng các báo cáo tới CERT có thể khiến St Jude bị điều tra bới cục an ninh nội địa và phải nhận các cảnh cáo từ FDA vì lí do vấn đề với máy trợ tim và kích tim là vô cùng nghiêm trọng và sẽ không thể bị bỏ qua.
CERT cũng có quy chế đặc biệt cho việc tiết lộ thông tin lỗ hổng bảo mật. Tiêu chuẩn công nghiệp cho việc tiết lộ thông tin (khoảng thời gian tính từ lúc công ty biết về lỗ hổng tới khi lỗ hổng bị công bố cho đại chúng) là 90 ngày trong khi CERT chỉ cho phép 45 ngày.
Irwin nói nếu MedSec đã đến với CERT thì St Jude chỉ có 45 ngày trước khi vụ việc bị công bố bất kể họ đã vá lỗ hổng chưa. “Điều này nghĩa là nếu không tiếp cận một công ty đầu tư, thì họ sẽ phải tuân theo quy chuẩn tiết lộ thông tin lỗ hổng như các công ty nghiên cứu an ninh khác.”
Tuỳ vào kết quả đối với MedSec, điều này có thể là tiền lệ cho cách các công ty bảo mật xử lí thông tin trong tương lai. Một mặt, nó có thể thúc đẩy các nhà sản xuất quan tâm hơn tới bảo mật do điều này có thể ảnh hưởng tới tài chính của họ.
Mặt khác, đây cũng có thể coi là một kiểu tống tiền, thay vì cố gắng vá lỗ hổng. Đó không phải là một điều tốt. Rất may không có bệnh nhân nào bị đem tính mạng ra làm con tin.
Bone trả lời Bloomberg: “Theo chúng tôi biết, St Jude đã không cố gắng đạt các tiêu chuẩn an ninh mạng tối thiểu, so với các nhà sản xuất khác, theo quan sát.”
Còn về phần mình, St Jude nói mọi chuyện vẫn ổn! Phil Ebeling, CEO St Jude trả lời Bloomberg rằng các lời buộc tội rằng nhà sản xuất không quan tâm tới bảo mật hoàn toàn không đúng.
“Có nhiều lớp bảo mật đã được cài vào. Chúng tôi đánh giá bảo mật thường xuyên và nhận tư vấn từ các chuyên gia đối với các sản phẩm đặc biệt là dòng Merlin@home.”
Tin tốt cho các bệnh nhân có thiết bị trợ tim và kích tim từ St Jude là mất tới 2 tháng để MedSec có thể tìm thấy lỗ hổng bảo mật.
Bone trả lời Bloomberg rằng theo bà, “không có bằng chứng cho thấy đây là một mối nguy hiểm trực tiếp.” Muddy Waters và MedSec cho biết họ cũng đang thông báo tới FDA.