Nhiều rủi ro an ninh mạng với ngành y tế

Bài học từ các cuộc tấn công mạng vào hệ thống bệnh viện tại Việt Nam

Lấy một thống kê từ công ty an ninh mạng Emsisoft được công bố năm 2023 cho thấy, 46 hệ thống bệnh viện ở Mỹ bao gồm 141 bệnh viện đã bị ảnh hưởng bởi mã độc tống tiền ransomware, trong khi đó 2022 số lượng này chỉ là 25.

Thông tin về các cuộc tấn công mạng vào hệ thống các bệnh viện tại Việt Nam thường ít được công bố.

Tại Việt Nam, không có thống kê nào trong lĩnh vực này một cách chính thức. Còn về quy định, chế tài xử lý việc rò rỉ thông tin thì ngoài Luật Y tế số 40/2009/QH12, Thông tư 14/2015/TT-BYT của Bộ Y tế hay quy định của Bộ Thông tin và Truyền thông về bảo vệ dữ liệu và thông tin trên mạng thì cũng chưa có một đạo luật hay quy định nào liên quan đến bảo vệ thông tin/dữ liệu của bệnh nhân ngoại trừ nguyên tắc trong hành nghề khám chữa bệnh được quy định trong Luật khám chữa bệnh 2009 về tôn trọng bí mật riêng tư của bệnh nhân.

Vì vậy không có tiêu chuẩn hay các quy định về việc nếu vi phạm gây mất mát, rò rỉ dữ liệu bệnh nhân thì sẽ bị phạt ra sao đối với các cơ sở, đơn vị cung cấp dịch vụ chăm sóc sức khỏe trong ngành Y tế.

Chỉ sau khi bị tấn công, các đơn vị mới thực hiện cài đặt phần mềm antivirus, đào tạo nhận thức hay hiếm hoi có các đơn vị, bệnh viện bổ sung ngân sách cho việc kiểm tra đánh giá bảo mật. Và câu chuyện về những rủi ro vẫn còn tiềm ẩn của đơn vị lại lặng lẽ bị lãng quên.

Năm 2018, BM - một bệnh viện có tiếng nhất nhì tại Việt Nam bị tấn công ransomware khi tin tặc xâm nhập vào hệ thống và mã hóa nhiều tập tin và đòi tiền chuộc.

Hệ thống thông tin của bệnh nhân tại bệnh viện bị gián đoạn và ảnh hưởng đến việc truy cập cũng như quản lý hồ sơ bệnh nhân. Bệnh viện đã phải chuyển sang sử dụng phương pháp thủ công để duy trì hoạt động trong thời gian khắc phục sự cố gây khó khăn và chậm trễ trong quá trình khám chữa bệnh. Không có thông tin chi tiết về việc bệnh viện có trả tiền chuộc hay không.

Năm 2019, tại một bệnh viện đa khoa khu vực miền Trung, một nhân viên y tế đã nhấp vào email giả mạo có chứa liên kết/tệp độc hại khiến hệ thống máy tính của bệnh viện bị lây nhiễm.

Một số thông tin được cho là nhạy cảm của bệnh viện và bệnh nhân đã bị rò rỉ. Hậu quả sau đó là bệnh viện phải tiến hành kiểm tra và làm sạch toàn diện hệ thống để đảm bảo không còn phần mềm độc hại.

Vụ việc cũng là một lần cảnh tỉnh về vấn đề đào tạo nhận biết các kiến thức về an toàn thông tin tại cơ sở cho cán bộ nhân viên trong bệnh viện.

Năm 2020, một bệnh viện vô cùng tên tuổi tại Hà Nội bị khai thác lỗ hổng trên hệ thống HIS. Nhóm tin tặc đã xâm nhập vào hệ thống thông qua lỗ hổng và truy cập trái phép, lấy cắp một lượng lớn dữ liệu nhạy cảm bao gồm thông tin cá nhân và hồ sơ y tế của bệnh nhân. Lỗ hổng tại thời điểm đó đã được khắc phục nhanh chóng và bảo vệ các dữ liệu còn lại.

Năm 2021, một bệnh viện cấp trung ương khu vực miền trung bị tấn công bằng phần mềm độc hại. Chưa rõ phần mềm độc hại được phát tán qua email hay thông qua thiết bị USB nhiễm virus nhưng sau đó đã lây lan trong mạng nội bộ của bệnh viện này. Hậu quả là hệ thống máy tính của bệnh viện bị gián đoạn, ảnh hưởng đến việc truy cập và xử lý các thông tin y tế.

Năm 2023, một trong các bệnh viện lớn của TP.HCM tiếp tục bị tấn công ransomware và mục tiêu tiếp tục là hệ thống HIS tương tự năm 2020. Nhưng lần này tin tặc tấn công thông qua email phishing để lây nhiễm ransomware.

Từ một email của nhân viên mà phần mềm độc hại này lây lan nhanh chóng vào hệ thống mạng nội bộ của bệnh viện. Hệ thống HIS tiếp tục bị khai thác và cả hệ thống lưu trữ hồ sơ bệnh nhân dẫn đến tình trạng gián đoạn nghiêm trọng hoạt động của bệnh viện.

Số lượng lớn dữ liệu bị lộ lọt không được công bố nhưng bao gồm hồ sơ bệnh nhân, lịch sử khám chữa bệnh thậm chí cả thông tin quản lý của nội bộ đã bị mã hóa.

Bệnh viện phải chuyển sang hình thức quản lý thủ công dẫn đến việc chậm trễ trong quá trình điều trị, bất tiện cho cả bệnh nhân lẫn nhân viên y tế. Không có thông tin về việc chi trả tiền chuộc cho tin tặc.

Năm 2024, vừa mới đây vào ngày 27/3 tiếp tục cuộc tấn công khác vào hệ thống website của một trong những bệnh viện quan trọng tại TP.HCM cũng gây ra hậu quả là tình trạng gia tăng đột biến số lượng đăng ký khám bệnh.

Sự cố tấn công gây ảnh hưởng đến việc cấp số thứ tự của khách hàng và thanh toán không dùng tiền mặt thông qua QR code của bệnh viện. Đến nay chưa ghi nhận tình trạng rò rỉ dữ liệu của bệnh nhân.

Các cơ sở y tế cần phải làm gì?

Với những rủi ro về thông tin nêu trên theo đại diện một doanh nghiệp chuyên về công nghệ, không chỉ các đơn vị thực hiện hoặc cung cấp trực tiếp dịch vụ y tế khám chữa bệnh mà ngay cả các công ty đang cung cấp các sản phẩm, thiết bị phục vụ trong lĩnh vực y tế đều phải thay đổi nhận thức trong việc đảm bảo vấn đề an toàn thông tin của mình.

Rủi ro trong lĩnh vực y tế cần được nhìn nhận thực tế rằng đây là lĩnh vực sẽ luôn là mối quan tâm yêu thích hàng đầu của tin tặc. Vì vậy điều mà các đơn vị trong ngành cũng như các nhà cung cấp thứ ba trong chuỗi/mạng lưới y tế cần làm ngay bao gồm hàng loạt vấn đề như sau.

Rà soát định kỳ vấn đề bảo mật, rà quét nhằm phát hiện các lỗ hổng,… cho các thiết bị, hệ thống phần mềm, quy trình và phân quyền truy cập hệ thống (Đánh giá bảo mật Penetration Testing hoặc Pentest as a Service nhằm tối ưu hệ thống với chi phí hợp lý).

Xây dựng và tuân thủ các quy định về truy cập hệ thống chặt chẽ. Đào tạo nhận thức, rủi ro về an ninh mạng không chỉ cho bộ phận công nghệ thông tin mà là toàn bộ nhân sự trong hệ thống.

Bên cạnh đó, cần cập nhật phần mềm, sao lưu các dữ liệu quan trọng. Xây dựng ngân sách và thuê đơn vị quản trị an toàn thông tin uy tín giám sát truy cập hệ thống (SOC - Security Operation Center).

Nâng cao năng lực phòng vệ của đội ngũ công nghệ thông tin bằng các hoạt động diễn tập thực chiến. (Red Team, Incident Response).

Và điều quan trọng hơn cả là việc xây dựng một lộ trình an toàn thông tin cho toàn bộ hệ thống. Không chỉ năng lực về chuyên môn của đội ngũ khám chữa bệnh mà năng lực và tính an toàn của toàn bộ hệ thống công nghệ thông tin trong cơ sở cũng cần song hành để tạo sự yên tâm, niềm tin của bệnh nhân và đội ngũ y tế. Thay đổi về nhận thức tầm quan trọng của đội ngũ lãnh đạo sẽ tác động to lớn đến chất lượng và tính bảo mật của dữ liệu ngành Y tế.

D.Ngân