'Thông minh' nhưng còn thiếu an toàn

Những buổi trao đổi về chăm sóc y tế là hoạt động thường xuyên được SingHealth tổ chức.

Mặc dù tin tặc chưa sửa đổi hay xóa thông tin dữ liệu cá nhân như tên, số thẻ định danh cá nhân (NRIC), địa chỉ, giới tính, sắc tộc hay tác động đến hồ sơ y tế bệnh nhân bao gồm các lần chẩn đoán, ghi chú của bác sĩ và các bản sao kết quả kiểm tra sức khỏe nhưng chưa ai lường hết tác hại nghiêm trọng của cuộc tấn công mạng này.

Chính phủ Singapore đã lập một ủy ban điều tra để tìm hiểu cặn kẽ nguyên nhân và hậu quả của vụ tin tặc. Tất cả dự án quốc gia thông minh đã phải tạm dừng để các cơ quan có thể đánh giá lại hiện trạng an ninh mạng và thực thi các biện pháp bảo vệ khác nếu cần. Các máy tính có dữ liệu y tế sẽ bị ngắt khỏi mạng Internet, dẫn đến một số khó khăn tạm thời cho bác sĩ điều trị cũng như gián đoạn khâu thanh toán trực tuyến… Nhiều khó khăn và thách thức đang ở phía trước nhưng bài toán đau đầu nhất vẫn là duy trì và củng cố lòng tin của người dân Singapore với hệ thống quản lý nhà nước đã được số hóa ở quy mô lớn trong kế hoạch và tham vọng phát triển thành một quốc gia - thành phố thông minh hàng đầu châu Á.

Nhưng vụ tin tặc nghiêm trọng này cũng là cơ hội cho các quốc gia - thành phố trong khu vực tiếp cận kinh nghiệm quản lý ngành y tế của Singapore, nhất là mô hình của trung tâm điều phối và xử lý thông tin theo chỉ đạo của Bộ Y tế Singapore, viết tắt là SingHealth. Điều thú vị ở chỗ SingHealth không phải là một cục tác nghiệp (statutory board) như thường thấy ở các bộ ngành khác mà nó được lãnh đạo như một doanh nghiệp với chủ tịch hội đồng quản trị (HĐQT) là một nhà tài chính ngân hàng và chỉ có vài người trong số 18 thành viên HĐQT có chuyên môn trong ngành y tế. Tổng giám đốc (CEO) của SingHealth là một bác sĩ và trước đây cũng là CEO của Bệnh viện Phụ nữ và Nhi đồng KK, nhưng nhìn chung thì bộ máy điều hành khá đa dạng với nhiều ngành nghề khác biệt. Nói ngắn gọn, SingHealth là một doanh nghiệp phục vụ cho ba mục tiêu lớn là chăm sóc chữa trị, giáo dục và đào tạo kiến thức kỹ năng và đổi mới sáng tạo về y tế để phục vụ ngày càng tốt hơn nhu cầu cuộc sống của người dân.

Tại Singapore, dữ liệu cá nhân của bệnh nhân khi đến khám chữa bệnh tại các bệnh viện hay trung tâm điều trị đều được SingHealth chia sẻ qua các hệ thống thông tin như Y bạ điện tử quốc gia (NEHR). Các dữ liệu này được dùng để mời bệnh nhân tham gia vào các chương trình y tế phù hợp, hoặc các công trình nghiên cứu y tế có liên quan. SingHealth cũng chia sẻ các thông tin này cho các cơ quan bộ, ngành khác để đánh giá lại các chính sách và yêu cầu về chăm sóc y tế, đảm bảo tính an toàn và cải thiện chất lượng dịch vụ y tế, tiến hành các hoạt động giám sát dịch bệnh để giải tỏa các lo lắng của người dân về sức khỏe cộng đồng và đào tạo thế hệ nhân lực mới cho ngành y tế trong tương lai. Tuy nhiên, việc thu thập và chia sẻ thông tin của bệnh nhân của SingHealth phải đảm bảo quyền riêng tư cá nhân của người Singapore trong phạm vi điều chỉnh của Luật Bảo vệ dữ liệu cá nhân (PDPA) và một số bộ luật khác có liên quan.

Như vậy, mặc dù do nguyên nhân khách quan là tin tặc, Chính phủ Singapore vẫn phải chịu trách nhiệm đối với hậu quả có thể xảy ra đối với cả triệu người dân Singapore và lời xin lỗi chính thức của Bộ trưởng Bộ Y tế đã khẳng định cho trách nhiệm nặng nề đó. Tính đến hết ngày 23-7-2018, SingHealth đã gửi tin nhắn điện tử (SMS) cho hơn 1,8 triệu bệnh nhân đã đến các bệnh viện và cơ sở y tế trong hệ thống của mình trong khoảng thời gian từ 1-5-2015 đến 4-7-2018 (là thời gian các hồ sơ y tế bị tin tặc truy cập và đánh cắp)(1). Những bệnh nhân không đăng ký số điện thoại di động sẽ được SingHealth gửi thư qua đường bưu điện trong tuần này. Tin nhắn và thông báo sẽ cho biết người dân Singapore có bị ảnh hưởng bởi vụ tin tặc này hay không với cảnh báo có thể xuất hiện những cuộc gọi lạ hay yêu cầu cung cấp thông tin thẻ tín dụng hay dữ liệu tài chính cá nhân.

Không còn sự lựa chọn nào khác, chính phủ Singapore đành phải tạm dừng các sáng kiến cho dự án Quốc gia thông minh (Smart Nation) và hệ thống “phòng thủ” mạng cũng phải được rà soát và củng cố không chỉ trong ngành y tế mà cả các lĩnh vực trọng yếu khác như ngân hàng và viễn thông. Nhưng Singapore cũng không còn sự lựa chọn nào khác là phải chấp nhận những rủi ro trong quá trình số hóa và “thông minh” hóa hệ thống y tế nói riêng và guồng máy quản lý nhà nước nói chung. Thủ tướng Lý Hiển Long mặc dù là nạn nhân của vụ tin tặc này cũng khẳng định là Singapore phải tiếp tục tiến lên phía trước và xây dựng một quốc gia an toàn và thông minh.

Dù muốn dù không, cuộc sống vẫn cứ trôi và con người phải đối diện với thực tế có phũ phàng đến mức nào đi chăng nữa. Việc đóng góp thông tin bắt buộc từ các cơ sở y tế thuộc SingHealth cho hệ thống NEHR buộc phải tạm dừng nhưng các bác sĩ hay dược sĩ vẫn được phép truy cập để phục vụ cho nhu cầu chữa bệnh hay nghề nghiệp. Được đưa vào phục vụ tất cả các cơ sở y tế từ năm 2013, hàng tháng NEHR có khoảng 21.000 bác sĩ thực hiện 760.000 lượt tìm kiếm bệnh nhân. Và điều may mắn là cổng thông tin điện tử của SingHealth vẫn còn hoạt động bình thường cho phép người dân Singapore có thể chọn lựa bác sĩ, biết giá cả dịch vụ, sắp xếp một cuộc hẹn…

Những âu lo về hậu quả của vụ tin tặc vẫn còn đó nhưng người dân Singapore vẫn luôn nhận thức rằng đất nước của họ may mắn được điều hành bởi một chính phủ tốt với những người lãnh đạo có tư cách, năng lực và nỗ lực hết sức mình để xứng đáng với lá phiếu đã bầu chọn mình và đặt lợi ích của quốc gia lên trên mọi điều viển vông khác.

(*) Giám đốc Công ty tTư vấn Vietnam Global Network, Singapore

(1) https://www.straitstimes.com/singapore/more-than-18-million-patients-received-sms-notifications-from-singhealth-since-friday

Lê Hữu Huy (*)