Một bệnh viện cầu cứu khi bị hacker đe dọa tung dữ liệu bệnh nhân lên mạng
Mới đây, một bệnh viện tại Việt Nam đã phải 'cầu cứu' vì bị hacker tấn công, đe dọa công khai dữ liệu bệnh nhân và lịch sử khám chữa bệnh trên mạng Internet.
Thông tin này được thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng Quốc gia (A05), Bộ Công an chia sẻ tại tọa đàm “TCVN 14423:2025 Tiêu chuẩn quốc gia về an ninh mạng với các hệ thống thông tin quan trọng” diễn ra hôm 19/6, tại Hà Nội.
Thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng Quốc gia, Cục A05, Bộ Công an. Ảnh BTC
“Không bệnh nhân nào muốn đời tư của mình bị tung lên mạng. Điều này ảnh hưởng trực tiếp đến cộng đồng. Vấn đề là không phải bệnh viện không nhìn thấy rủi ro đó, mà là chưa có quy phạm pháp luật nào điều chỉnh để họ phải quan tâm một cách đúng mực”, thượng tá Lê Xuân Thủy cho hay.
Theo ông Thủy, trong 6 tháng đầu năm 2025, nổi lên xu hướng tấn công mã hóa tống tiền vào các hệ thống thuộc ngành năng lượng, y tế, cơ quan Chính phủ và gần đây là cả các cơ quan thông tấn báo chí.
Đặc biệt, các cơ quan báo chí vốn chỉ bị tấn công rải rác các năm trước thì năm nay đã trở thành đích ngắm như một chiến dịch có tổ chức.
Từ thực tế này, ông cho rằng việc xây dựng tiêu chuẩn quốc gia về an ninh mạng TCVN 14423:2025 là một bước đi mang tính cốt lõi trong quản lý nhà nước, để vừa định hướng, vừa bảo vệ các hệ thống thông tin quan trọng.
“Tiêu chuẩn không phải chỉ để kiểm tra. Quan trọng hơn, nó định hướng, hướng dẫn và giúp các tổ chức bảo vệ hạ tầng của mình an toàn”, ông Thủy nhấn mạnh.
Theo ông, nhiều tổ chức dù nhận thức được nguy cơ an ninh mạng nhưng lại lúng túng trong việc không biết bắt đầu từ đâu.
Tiêu chuẩn không phải chỉ để kiểm tra. Quan trọng hơn, nó định hướng, hướng dẫn và giúp các tổ chức bảo vệ hạ tầng của mình an toàn. Thượng tá Lê Xuân Thủy
Các doanh nghiệp công nghệ lớn như VNPT, MobiFone có thể tham khảo các doanh nghiệp trên toàn cầu để làm. Nhưng với các doanh nghiệp, tổ chức không biết bắt đầu từ đâu thì cần có một tiêu chuẩn rõ ràng, phù hợp với thực tiễn Việt Nam để làm căn cứ áp dụng.
“Chúng tôi đưa ra những quy chuẩn dựa trên những thông tin đảm bảo an toàn nhất, nhưng cũng hiểu rằng không phải tổ chức nào ngay lập tức có thể tuân thủ tất cả những tiêu chuẩn này được. Giống như câu chuyện không phải ai mỗi ngày cũng chạy được 5km để tốt cho sức khỏe. Hy vọng tiêu chuẩn này sẽ là yếu tố giúp các đơn vị tăng mức độ trưởng thành, đảm bảo an ninh mạng”, ông Thủy cho hay.
TCVN 14423:2025 là tiêu chuẩn đầu tiên trong hệ thống các tiêu chuẩn quốc gia về an ninh mạng mà Trung tâm An ninh mạng Quốc gia xây dựng nhằm tiếp tục giúp các cơ quan, tổ chức triển khai toàn diện các biện pháp bảo đảm an ninh mạng.
Trong đó, A05 lựa chọn ban hành dưới dạng “tiêu chuẩn” thay vì “quy chuẩn”, tức chưa mang tính bắt buộc nhằm tạo điều kiện cho tổ chức, doanh nghiệp dần thích nghi, nâng cao năng lực bảo vệ hạ tầng của mình.
Tuy nhiên, với những đơn vị có dữ liệu cá nhân lớn, mức độ ảnh hưởng lớn trong cộng đồng, ông Thủy khẳng định cần có những chế tài mang tính bắt buộc.
Bên cạnh đó, A05 đang xây dựng lộ trình tích hợp Luật An ninh mạng và Luật An toàn thông tin, trong đó có thể cấu trúc lại mức độ an toàn (ví dụ: không còn là 5 cấp độ như hiện nay).
“Khi tổ chức được xếp vào mức ảnh hưởng nghiêm trọng hay rất nghiêm trọng, việc áp dụng các tiêu chuẩn sẽ là bắt buộc và có văn bản pháp lý quy định cụ thể”, ông Thủy cho biết.
Việc đưa ra TCVN 14423:2025 không chỉ là một bước tiến về mặt kỹ thuật mà còn thể hiện vai trò của quản lý nhà nước trong việc tạo lập một hành lang pháp lý, giúp các cơ quan, tổ chức chủ động bảo vệ hệ thống, góp phần bảo vệ chủ quyền quốc gia trên không gian mạng.
