Ngành y tế Việt Nam những năm gần đây phát triển mạnh mẽ cả về quy mô và chất lượng, từng bước đáp ứng nhu cầu chăm sóc sức khỏe ngày càng cao của người dân. Việc ứng dụng các tiến bộ khoa học – công nghệ, đặc biệt là trí tuệ nhân tạo, dữ liệu lớn và y tế số, đã góp phần nâng cao hiệu quả chẩn đoán, điều trị, quản lý bệnh viện, đồng thời mở rộng khả năng cung cấp dịch vụ y tế từ xa, thúc đẩy hiện đại hóa hệ thống y tế quốc gia.
Tuy nhiên, song hành với quá trình chuyển đổi số, ngành y tế đang đối mặt với nhiều rủi ro về an toàn thông tin và an ninh mạng, đòi hỏi sự quan tâm và đầu tư nghiêm túc.
Bài học từ các cuộc tấn công mạng vào hệ thống bệnh viện
Theo báo cáo năm 2023 của một công ty an ninh mạng quốc tế, có 46 hệ thống y tế với 141 bệnh viện tại Mỹ bị tấn công bởi mã độc tống tiền ransomware, gần gấp đôi so với năm 2022. Tại Việt Nam, thông tin về các cuộc tấn công mạng vào bệnh viện còn hạn chế, chưa có thống kê chính thức và cũng thiếu các quy định cụ thể về xử lý sự cố rò rỉ dữ liệu bệnh nhân.
Hiện nay, hệ thống pháp lý mới chỉ dừng ở một số văn bản liên quan đến bảo vệ dữ liệu và hoạt động y tế, chưa có quy định rõ ràng về trách nhiệm và chế tài xử lý khi dữ liệu bệnh nhân bị xâm phạm. Thực tế cho thấy, nhiều bệnh viện chỉ bắt đầu triển khai các biện pháp bảo mật, đào tạo nhận thức an toàn thông tin hoặc tăng ngân sách kiểm tra hệ thống sau khi sự cố đã xảy ra, trong khi các nguy cơ vẫn tiềm ẩn từ trước.
Trong giai đoạn 2018–2024, nhiều sự cố an ninh mạng đã được ghi nhận tại các cơ sở y tế trong nước, bao gồm các cuộc tấn công ransomware, lây nhiễm mã độc qua email giả mạo, khai thác lỗ hổng hệ thống HIS, gây gián đoạn hoạt động khám chữa bệnh và làm gia tăng nguy cơ rò rỉ dữ liệu cá nhân của người bệnh. Những sự cố này cho thấy ngành y tế vẫn thiếu các biện pháp phòng ngừa chủ động và cơ chế bảo vệ toàn diện.
Những rủi ro an toàn thông tin phổ biến trong ngành y tế
Hiện nay, các rủi ro về an toàn thông tin trong lĩnh vực y tế có thể chia thành một số nhóm chính:
Tấn công mạng từ bên ngoài.
Tin tặc thường sử dụng các hình thức như mã độc tống tiền (ransomware), email giả mạo (phishing) hoặc liên kết độc hại để xâm nhập hệ thống, mã hóa dữ liệu và đòi tiền chuộc, gây gián đoạn nghiêm trọng hoạt động khám chữa bệnh.
Nguy cơ từ yếu tố con người.
Nhân viên thiếu kiến thức và kỹ năng về an toàn thông tin dễ trở thành điểm yếu của hệ thống, vô tình mở tệp độc hại hoặc truy cập đường dẫn giả mạo, dẫn đến rò rỉ dữ liệu nội bộ.
Thiếu quy trình và chính sách bảo mật.
Nhiều cơ sở y tế chưa xây dựng đầy đủ quy định về bảo vệ dữ liệu bệnh nhân, chưa có kế hoạch ứng phó sự cố rõ ràng, khiến việc xử lý khi bị tấn công còn lúng túng, chủ yếu mang tính thủ công.
Hệ thống kỹ thuật chưa đáp ứng yêu cầu.
Phần mềm cũ, chậm cập nhật bản vá bảo mật; hạ tầng mạng không tách biệt; dữ liệu chưa được mã hóa đầy đủ… làm gia tăng nguy cơ bị xâm nhập.
Các dịch vụ kết nối bên ngoài.
Telemedicine, thiết bị IoT y tế, thanh toán trực tuyến và cổng dịch vụ công là những điểm dễ bị khai thác nếu không được bảo mật chặt chẽ, tiềm ẩn nguy cơ đánh cắp thông tin cá nhân và tài chính.
Bài học rút ra từ các sự cố an ninh mạng
Từ các vụ việc đã xảy ra, có thể rút ra một số bài học quan trọng:
Thiếu chuẩn bảo mật và quy định pháp lý cụ thể khiến nhiều đơn vị chưa chủ động đầu tư an toàn thông tin.
Con người và quy trình là mắt xích yếu, khi nhiều sự cố bắt nguồn từ lỗi thao tác của nhân viên.
Hậu quả nghiêm trọng khi hệ thống bị gián đoạn, ảnh hưởng trực tiếp đến công tác điều trị và trải nghiệm người bệnh.
Các biện pháp bảo mật còn mang tính bị động, thường chỉ được triển khai sau khi xảy ra sự cố.
Thiếu cơ chế chia sẻ thông tin và phối hợp, khiến rủi ro dễ tái diễn và khó xây dựng hệ thống cảnh báo sớm.
Các cơ sở y tế cần làm gì để tăng cường an toàn thông tin?
Trước những rủi ro ngày càng gia tăng, các cơ sở y tế cần thay đổi cách tiếp cận, coi an toàn thông tin là yếu tố nền tảng của chất lượng dịch vụ. Một số giải pháp cần được triển khai gồm:
Rà soát, đánh giá bảo mật hệ thống định kỳ, quét lỗ hổng và kiểm thử xâm nhập.
Xây dựng quy định truy cập chặt chẽ, đào tạo nhận thức an ninh mạng cho toàn bộ nhân sự.
Cập nhật phần mềm, sao lưu dữ liệu thường xuyên, đầu tư hệ thống giám sát an ninh.
Tổ chức diễn tập xử lý sự cố, nâng cao năng lực ứng phó thực tế.
Xây dựng lộ trình an toàn thông tin dài hạn, gắn kết chuyên môn y tế với công nghệ bảo mật.
Áp dụng ISO 27799 – Giải pháp nâng cao an toàn thông tin ngành y tế
ISO 27799 là tiêu chuẩn quốc tế hướng dẫn quản lý an toàn thông tin trong lĩnh vực y tế, nhằm bảo vệ dữ liệu sức khỏe cá nhân trước các nguy cơ rò rỉ và tấn công mạng. Tiêu chuẩn này được xây dựng trên nền tảng ISO/IEC 27002, có điều chỉnh phù hợp với đặc thù ngành y tế.
Việc áp dụng ISO 27799 giúp các cơ sở y tế xây dựng hệ thống quản lý an toàn thông tin toàn diện, từ phân loại dữ liệu, kiểm soát truy cập, quản lý rủi ro đến đào tạo nhân sự và giám sát liên tục. Qua đó, nâng cao độ tin cậy của hệ thống, tăng cường bảo vệ thông tin bệnh nhân và đáp ứng các yêu cầu pháp lý, chuyên môn trong bối cảnh chuyển đổi số.
