Phòng khám nha khoa sau một lần “ransomware scare”

Một phòng khám nha khoa có hai cơ sở ban đầu nghĩ rằng công nghệ của họ “đã đủ ổn.” Lễ tân có thể lên lịch cho bệnh nhân, nhân viên nha khoa vệ sinh có thể lập hồ sơ, và chủ phòng khám chỉ biết về IT khi có sự cố xảy ra.

Rồi vào một buổi sáng, một thông báo đáng ngờ xuất hiện trên máy tính của nhân viên. Các tệp không mở được như bình thường, hệ thống quản lý phòng khám có vẻ không ổn định, và văn phòng đã làm như nhiều doanh nghiệp nhỏ khác khi gặp áp lực: tắt mọi thứ và bắt đầu gọi người từng đụng vào máy tính trước đó.

Đến cuối ngày, phòng khám đã mất lịch hẹn, phải dời lịch cho bệnh nhân, và tốn nhiều giờ để cố gắng xác định những gì bị ảnh hưởng. Tên và chi tiết ở đây đã được thay đổi, và câu chuyện chỉ mang tính minh họa, nhưng bài học là có thật. Một ngày tệ hại có thể lộ ra rất nhiều “khoảng trống” bị giấu kín.

Văn phòng may mắn ở một điểm quan trọng. Vấn đề không biến thành một thảm họa lớn hơn. Nhưng chủ phòng khám lại rời đi với một câu hỏi khó: nếu chuyện tệ hơn, thì thực sự chúng tôi mất bao lâu để quay lại làm việc?

Ban đầu, chủ phòng khám tin rằng họ đã có bản sao lưu. Theo nghĩa “đại khái,” là có. Một số dữ liệu được sao chép ở đâu đó. Nhưng phía phòng khám không ai có thể giải thích rõ ràng: dữ liệu nào được sao lưu, chạy bao lâu một lần, hồ sơ được lưu trong bao lâu, và việc khôi phục đã được kiểm tra ra sao.

Đó là một vấn đề phổ biến. Sao lưu chỉ là một phần bức tranh. Điều quan trọng trong thực tế là: bản sao lưu có thể khôi phục hay không, mất bao lâu, và văn phòng có biết thứ tự khôi phục không. Điện thoại, lịch hẹn, chụp/ghi hình (imaging), thanh toán (billing), và hồ sơ lâm sàng không phải lúc nào cũng quay lại theo cùng cách.

Ngoài ra, phòng khám cũng không có kỳ vọng hỗ trợ rõ ràng. Họ không có một thỏa thuận dịch vụ đơn giản, hay SLA (Service-Level Agreement) — tức là tài liệu bằng văn bản nêu rõ dịch vụ hỗ trợ được bao gồm gì, nhà cung cấp phản hồi nhanh đến đâu, và điều gì sẽ xảy ra khi có sự cố khẩn cấp. Họ cũng không thể biết những “cơ bản về bảo mật” nào đang được áp dụng trên từng máy tính.

Trong đó có những mục nhiều chủ sở hữu nghe nói đến, nhưng không phải lúc nào cũng được giải thích theo cách dễ hiểu. Xác thực đa yếu tố (Multi-factor authentication), viết tắt là MFA, nghĩa là người dùng cần một bước xác minh thứ hai để đăng nhập, ví dụ như một mã trên điện thoại. Phát hiện và phản hồi trên điểm cuối (Endpoint detection and response), viết tắt là EDR, nghĩa là phần mềm được cài trên từng máy tính doanh nghiệp để theo dõi hành vi đáng ngờ và giúp cô lập/kiểm soát các mối đe dọa. “Endpoint” đơn giản là một thiết bị như máy tính để bàn, laptop hoặc máy tính bảng mà người ta dùng để làm việc. “Patching” nghĩa là cập nhật phần mềm và hệ thống để các lỗi đã biết được khắc phục.

Văn phòng này còn hoạt động trong lĩnh vực y tế, nên có thêm một lớp yêu cầu nữa. HIPAA (Health Insurance Portability and Accountability Act) đặt ra các quy định về việc bảo vệ một số thông tin sức khỏe của bệnh nhân. Yêu cầu cụ thể có thể khác nhau tùy tình huống, và doanh nghiệp nên tìm tư vấn pháp lý hoặc tuân thủ khi cần, nhưng chủ phòng khám đã đủ hiểu để biết rằng việc này không thể xử lý hời hợt.

Nhiều phòng khám nhỏ phát triển theo kiểu “lắp thêm công nghệ” thay vì lên kế hoạch. Một người cài đặt router. Người khác cài máy trạm mới. Một nhà cung cấp phần mềm hỗ trợ cho một ứng dụng. Một kỹ thuật viên tại chỗ sửa khi có sự cố. Mỗi lựa chọn có thể hợp lý ở thời điểm riêng lẻ, nhưng theo thời gian, văn phòng sẽ kết lại thành một “mớ vá” (patchwork).

“Mớ vá” đó thường chỉ hoạt động đủ tốt để không ai phải để ý. Chủ phòng khám thấy hóa đơn cho internet, phần mềm và thỉnh thoảng có hỗ trợ, nên nghĩ rằng các rủi ro lớn đã được bao phủ. Nhưng không ai lùi lại để đặt các câu hỏi vận hành nền tảng. Nếu một máy tính bị hỏng thì quy trình là gì? Nếu tệp bị mã hóa bởi mã độc thì khôi phục cái nào trước? Nếu một thành viên bấm nhầm liên kết, ai sẽ được gọi, và điều gì xảy ra tiếp theo?

Đây là nơi một nhà cung cấp dịch vụ quản lý (managed service provider), hay MSP, có thể khác so với hỗ trợ kiểu “phát sinh” khi có lỗi (break-fix). MSP là một công ty độc lập cung cấp hỗ trợ và quản lý IT liên tục theo phí hàng tháng. Nhà cung cấp phù hợp sẽ giúp doanh nghiệp chuẩn hóa thiết bị, ghi chép hệ thống, cải thiện kế hoạch sao lưu và khôi phục, đồng thời đặt kỳ vọng hỗ trợ rõ ràng hơn. Không phải phòng khám nào cũng cần một cấu hình giống nhau, và không có nhà cung cấp trung thực nào hứa hẹn không downtime hoặc một mạng không thể bị xâm nhập, nhưng sự rõ ràng vẫn rất quan trọng.

Phòng khám nha khoa nhận ra rằng họ không chỉ cần “một người làm IT.” Họ cần một nhà cung cấp có quy trình phù hợp với cách mà văn phòng y tế thực sự vận hành.

Chủ phòng khám không muốn phải học một khóa “cấp tốc” về ngôn ngữ kỹ thuật. Họ cần được giúp hiểu: nên hỏi gì, một dịch vụ “hợp lý” trông sẽ như thế nào, và cách so sánh nhà cung cấp mà không tốn cả tuần (hay cả tháng) đi lại.

Đó là lúc NodeBridge IT xuất hiện.

Chúng tôi không phải là một MSP, công ty IT, hay đơn vị chuyên về an ninh mạng. Chúng tôi không quản lý, giám sát, bảo mật, sửa chữa hoặc truy cập vào hệ thống doanh nghiệp. Chúng tôi cung cấp hỗ trợ giáo dục chung và một cách miễn phí để tìm được nhà cung cấp phù hợp — là một nhà cung cấp IT quản lý độc lập phù hợp với quy mô, nhu cầu và tình huống của doanh nghiệp.

Với phòng khám này, phần hữu ích nhất là làm chậm quá trình ra quyết định đủ để đặt câu hỏi tốt hơn. Nhà cung cấp có hỗ trợ các văn phòng y tế không? Họ nói thế nào về sao lưu và việc kiểm tra khôi phục? Họ có thể giải thích thời gian phản hồi theo ngôn ngữ dễ hiểu không? Họ có giúp văn phòng hiểu rõ những gì được bao gồm cho người dùng, thiết bị và từng địa điểm không? Họ có thể thảo luận hỗ trợ theo hướng am hiểu HIPAA mà không đưa ra cam kết thiếu cẩn trọng không?

Văn phòng được giới thiệu với một nhà cung cấp độc lập có thể trả lời rõ ràng các câu hỏi đó. Nhà cung cấp giải thích những gì nằm trong dịch vụ của họ, sao lưu bao gồm những gì, việc kiểm tra khôi phục hoạt động ra sao, và khi nào có thể vẫn cần các công cụ bên thứ ba hoặc hướng dẫn tuân thủ riêng. Giọng điệu trung thực như vậy quan trọng không kém gì các chi tiết kỹ thuật.

Văn phòng không trở nên hoàn toàn “không còn rủi ro.” Không doanh nghiệp nào có thể như vậy. Thứ thay đổi là mức độ nhìn rõ. Chủ phòng khám có bức tranh đơn giản hơn về người dùng, thiết bị, các bước hỗ trợ và kỳ vọng sao lưu. Lễ tân biết ai là người cần gọi. Nhà cung cấp có tài liệu rõ ràng hơn. Và ban lãnh đạo hiểu rằng “bản sao lưu tồn tại” và “khôi phục đã được kiểm tra” không phải là cùng một câu.

Họ cũng tìm hiểu thêm về vài thuật ngữ hỗ trợ mà trước đó họ từng nghe nhưng chưa thực sự hiểu hết. Giám sát và quản lý từ xa (Remote monitoring and management), viết tắt là RMM, nghĩa là phần mềm mà nhà cung cấp có thể dùng để theo dõi tình trạng thiết bị, cập nhật và bảo trì định kỳ. Giám đốc thông tin cấp cao ảo (virtual chief information officer), viết tắt là vCIO, là một người hoặc dịch vụ giúp doanh nghiệp nhỏ lên kế hoạch các quyết định công nghệ ở cấp độ cao hơn, mà không cần thuê một lãnh đạo điều hành toàn thời gian. Không phải mọi văn phòng nha khoa đều cần mọi tính năng, nhưng hiểu các từ này sẽ giúp chủ sở hữu so sánh các lựa chọn một cách bình tĩnh hơn.

Quan trọng nhất, nhà cung cấp không cố “bán những điều viển vông.” Họ không hứa rằng mã độc sẽ không bao giờ xảy ra nữa. Họ giải thích các lớp phòng vệ mang tính thực tế, các bước cơ bản về bảo mật người dùng, việc kiểm tra sao lưu, phản hồi hỗ trợ, và ý nghĩa thật sự của kế hoạch khôi phục trong một văn phòng nhỏ. Điều đó mang lại sự tin tưởng cho chủ phòng khám nhiều hơn so với một lời hứa lớn.

Nếu văn phòng của bạn đã từng gặp sự cố, hoặc thậm chí chỉ là vài lần “suýt mất” liên tiếp, bạn không cần phải trở thành chuyên gia IT trong một sớm một chiều. Bạn cần một cách để tách bạch những lời trấn an mơ hồ với một kế hoạch hỗ trợ thực sự.

Bắt đầu bằng các câu hỏi đơn giản. Hệ thống nào quan trọng nhất cho hoạt động mỗi ngày của doanh nghiệp? Dữ liệu nào được sao lưu? Tần suất ra sao? Việc khôi phục được kiểm tra thế nào? Với các vấn đề khẩn cấp, bạn nên kỳ vọng phản hồi hỗ trợ ở mức nào? Những “cơ bản về bảo mật” nào là chuẩn cho từng endpoint? Nếu bạn hoạt động trong lĩnh vực y tế, thanh toán, hoặc một lĩnh vực chịu điều chỉnh khác, hãy hỏi cách nhà cung cấp xử lý các yêu cầu riêng của ngành và nơi nào nên lấy tư vấn pháp lý hoặc tuân thủ.

Chi phí thay đổi theo số lượng nhân sự, thiết bị, địa điểm, nhu cầu bảo mật và thị trường địa phương. Theo một mức tham khảo tại Mỹ, nhiều văn phòng nhỏ trả khoảng $100 đến $250 mỗi người dùng mỗi tháng cho hỗ trợ IT quản lý liên tục, và sẽ cao hơn khi có thêm hỗ trợ bảo mật, tuân thủ, công việc trên đám mây hoặc nhân lực cho dự án. Các mức này không phải báo giá. Chúng chỉ là điểm khởi đầu để lập kế hoạch.

Nếu bạn muốn cách đơn giản hơn để so sánh các lựa chọn, NodeBridge IT có thể giúp bạn hiểu các nền tảng và kết nối với một nhà cung cấp IT quản lý độc lập. Bạn có thể tìm được nhà cung cấp phù hợp, xem các dịch vụ phổ biến, hoặc đọc thêm câu chuyện từ các doanh nghiệp nhỏ khác đang đối mặt với những câu hỏi tương tự.