Tin Tổng Hợp, Tin Tức

Ngành y tế đối mặt với nhiều rủi ro an ninh mạng

Ngành y tế Việt Nam hiện nay đang phát triển mạnh mẽ cả về số lượng lẫn chất lượng, đáp ứng nhu cầu chăm sóc sức khỏe ngày càng cao của người dân. Đặc biệt, việc ứng dụng các tiến bộ khoa học công nghệ tiên tiến trong lĩnh vực công nghệ thông tin như trí tuệ nhân tạo, dữ liệu lớn và y tế số đã giúp nâng cao hiệu quả chẩn đoán, điều trị, quản lý bệnh viện, cũng như mở rộng khả năng tiếp cận dịch vụ y tế từ xa, góp phần hiện đại hóa hệ thống y tế quốc gia. Bên cạnh những thuận lợi đo thì hiện nay ngành y tế xuất hiện nhiều rủi ro về bảo mật thông tin, an ninh mạng đáng được quan tâm.

rủi ro an toàn thông tin ngành y tế

Bài học từ các cuộc tấn công mạng vào hệ thống bệnh viện tại Việt Nam

Theo báo cáo năm 2023 của công ty an ninh mạng Emsisoft, có 46 hệ thống y tế với 141 bệnh viện tại Mỹ bị ảnh hưởng bởi mã độc tống tiền ransomware, tăng gần gấp đôi so với 25 hệ thống năm 2022. Ở Việt Nam, thông tin về các cuộc tấn công mạng vào bệnh viện hầu như ít được công bố, chưa có thống kê chính thức và cũng thiếu quy định cụ thể về xử lý rò rỉ dữ liệu bệnh nhân. Hiện chỉ có Luật Y tế 40/2009/QH12, Thông tư 14/2015/TT-BYT và một số quy định về bảo vệ dữ liệu, nhưng chưa có văn bản nào quy định rõ trách nhiệm hay mức phạt khi dữ liệu bệnh nhân bị xâm phạm.

Thực tế, nhiều bệnh viện chỉ bắt đầu cài đặt phần mềm bảo mật, đào tạo nhận thức an toàn thông tin hoặc bổ sung ngân sách kiểm tra hệ thống sau khi đã xảy ra tấn công, trong khi nguy cơ vẫn âm thầm tồn tại.

rủi ro an toàn thông tin ngành y tế

Từ năm 2018 đến 2024, liên tiếp xảy ra nhiều sự cố:

  • 2018: Bệnh viện BM nổi tiếng bị tấn công ransomware, hệ thống bệnh án bị mã hóa, hoạt động gián đoạn buộc phải chuyển sang quản lý thủ công.
  • 2019: Bệnh viện ở miền Trung bị lây nhiễm mã độc do nhân viên mở email giả mạo, khiến dữ liệu bệnh nhân bị rò rỉ và phải kiểm tra, làm sạch toàn bộ hệ thống.
  • 2020: Một bệnh viện lớn tại Hà Nội bị khai thác lỗ hổng hệ thống HIS, dữ liệu cá nhân và hồ sơ y tế bị đánh cắp.
  • 2021: Bệnh viện tuyến trung ương miền Trung bị tấn công phần mềm độc hại, gây gián đoạn truy cập thông tin y tế.
  • 2023: Bệnh viện lớn ở TP.HCM tiếp tục bị ransomware tấn công qua email phishing, hệ thống HIS và dữ liệu bệnh nhân bị mã hóa, gây đình trệ nghiêm trọng.
  • 2024: Ngày 27/3, một bệnh viện quan trọng tại TP.HCM bị tấn công website, làm gián đoạn cấp số khám bệnh và thanh toán QR, nhưng chưa ghi nhận rò rỉ dữ liệu.

Những sự cố này cho thấy ngành y tế đang thiếu các biện pháp phòng ngừa chủ động và quy định pháp lý rõ ràng để bảo vệ an toàn thông tin bệnh nhân.

Kết nối với chuyên gia

Những rủi ro của ngành y tế về vấn đề an ninh mạng

Hiện nay, ngành y tế đang phải đối mặt với nhiều rủi ro bảo mật thông tin nghiêm trọng, đặc biệt khi số hóa hồ sơ bệnh án và dịch vụ y tế trực tuyến ngày càng phổ biến. Các rủi ro thường gặp có thể chia thành các nhóm chính sau:

  1. Tấn công mạng từ bên ngoài

Một số vấn đề có thể kể ra như việc các tin tặc xâm nhập mã hóa dữ liệu bệnh viện bằng các mã Ransomware (Mã độc tống tiền). Chúng au đó sẽ yêu cầu tiền chuộc, gây gián đoạn toàn bộ hoạt động khám chữa bệnh.

Một trong những cuộc tấn công mạng từ bên ngoài bao gồm Phishing & Email giả mạo khi gửi email chứa liên kết hoặc tệp độc hại, đánh lừa nhân viên mở và vô tình cài đặt phần mềm độc hại vào hệ thống.

  1. Nguy cơ từ yếu tố con người

Những nguy cơ có thể thiếu từ phía đội ngũ nhân viên thiếu kiến thức về an toàn thông tin như dễ bị lừa bởi những email giả mạo hoặc những đường dẫn độc hại vv. Từ đó hệ thống sẽ bị rò rỉ dữ liệu nội bộ.

rủi ro an toàn thông tin ngành y tế

  1. Thiếu quy trình và chính sách bảo mật

Thông tin nhân viên không có chuẩn an ninh bắt buộc: Nhiều bệnh viện chưa có quy định cụ thể về bảo vệ dữ liệu bệnh nhân, xử lý khi rò rỉ hoặc mất dữ liệu. Việc này thường bị thiếu kế hoạch ứng phó sự cố khi bị tấn tấn công nhiều nơi lúng túng, xử lý thủ công cũng có những ảnh hưởng đến việc khám chữa bệnh.

  1. Hệ thống kỹ thuật yếu kém

Phần mềm cũ, chưa được cập nhật bảo mật.

Hạ tầng mạng không tách biệt: Dữ liệu quan trọng và hệ thống nội bộ dễ bị xâm nhập từ cùng một điểm.

Thiếu mã hóa dữ liệu: Dữ liệu bệnh nhân lưu trữ không được mã hóa đầy đủ, dễ bị đánh cắp.

  1. Các dịch vụ kết nối bên ngoài

Telemedicine và thiết bị IoT y tế: Các thiết bị kết nối internet (máy theo dõi sức khỏe, robot phẫu thuật) có thể bị tấn công nếu bảo mật kém.

Thanh toán trực tuyến và cổng dịch vụ công: Dễ trở thành mục tiêu của tin tặc để đánh cắp dữ liệu tài chính hoặc thông tin cá nhân.

Kết nối với chuyên gia

Những bài học chính rút ra từ các vụ tấn công mạng vào hệ thống bệnh viện tại Việt Nam:

Thiếu chuẩn bảo mật và quy định pháp lý rõ ràng

Việt Nam hiện nay chưa có quy định cụ thể về xử phạt, tiêu chuẩn bảo mật dữ liệu bệnh nhân, dẫn đến nhiều đơn vị không chủ động đầu tư an ninh mạng trước khi xảy ra sự cố.

Nguy cơ lớn từ con người và quy trình

Nhiều vụ tấn công xuất phát từ lỗi của nhân viên như nhấp vào email phishing hoặc dùng USB nhiễm mã độc, cho thấy đào tạo an toàn thông tin còn yếu.

Hậu quả nghiêm trọng khi hệ thống bị gián đoạn

Nhiều bệnh viện phải chuyển sang xử lý thủ công, ảnh hưởng đến điều trị, lưu trữ hồ sơ, và trải nghiệm bệnh nhân.

Cần chiến lược bảo mật toàn diện và liên tục

Các biện pháp vá lỗi, cài antivirus hay kiểm tra hệ thống thường chỉ được triển khai sau khi đã bị tấn công, thiếu kế hoạch phòng ngừa dài hạn.

Minh bạch thông tin và hợp tác trong ứng phó

Tại Việt Nam hiếu chia sẻ dữ liệu, thống kê và kinh nghiệm giữa các bệnh viện khiến rủi ro tái diễn, khó xây dựng hệ thống cảnh báo sớm và ứng phó nhanh.

rủi ro an toàn thông tin ngành y tế

Các cơ sở y tế cần làm gì?

Trước những rủi ro bảo mật ngày càng gia tăng, không chỉ các bệnh viện mà cả các doanh nghiệp cung cấp thiết bị, phần mềm y tế đều phải thay đổi nhận thức về an toàn thông tin. Ngành y tế luôn là mục tiêu ưa thích của tin tặc, nên các đơn vị cần:

  • Rà soát định kỳ hệ thống, quét lỗ hổng và đánh giá bảo mật (Pentest).
  • Xây dựng quy định truy cập chặt chẽ, đào tạo nhận thức an ninh mạng cho toàn bộ nhân sự.
  • Cập nhật phần mềm, sao lưu dữ liệu, xây dựng ngân sách cho SOC giám sát hệ thống.
  • Diễn tập thực chiến, nâng cao năng lực phòng thủ (Red Team, Incident Response).
  • Xây dựng lộ trình an toàn thông tin toàn diện, kết hợp chuyên môn y tế với bảo mật công nghệ để tạo niềm tin cho bệnh nhân và đội ngũ y tế.

Áp dụng ISO 27799 đảm bảo an toàn thông tin ngành y tế

Tiêu chuẩn ISO 27799 là bộ tiêu chuẩn quốc tế hướng dẫn quản lý an toàn thông tin trong lĩnh vực y tế, nhằm bảo vệ dữ liệu sức khỏe cá nhân trước nguy cơ rò rỉ, tấn công mạng và truy cập trái phép. Tiêu chuẩn này dựa trên ISO/IEC 27002, nhưng được điều chỉnh phù hợp với đặc thù ngành y tế, bao gồm phân loại dữ liệu, kiểm soát truy cập, quản lý rủi ro và xây dựng quy trình bảo mật toàn diện, giúp các cơ sở y tế nâng cao độ tin cậy và tuân thủ các yêu cầu pháp lý.

Áp dụng ISO 27799 cho ngành y tế
  • Xây dựng quản lý an toàn thông tin: Lãnh đạo và bộ phận IT thiết lập chính sách bảo mật, phân công trách nhiệm rõ ràng.
  • Quản lý rủi ro & dữ liệu: Phân loại dữ liệu bệnh nhân, đánh giá rủi ro và lên kế hoạch giảm thiểu.
  • Kiểm soát truy cập: Dùng MFA, phân quyền theo nguyên tắc ít quyền nhất, ghi log hoạt động.
  • Bảo vệ hạ tầng & dữ liệu: Mã hóa, sao lưu định kỳ, vá lỗ hổng bảo mật.
  • Đào tạo & nâng cao nhận thức: Huấn luyện nhân viên, diễn tập xử lý sự cố.
  • Giám sát & cải tiến liên tục: Triển khai SOC, kiểm tra và cập nhật định kỳ.

Kết nối với chuyên gia

Hãy để SQC Certification Vietnam giúp doanh nghiệp bạn chạm tới những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

Nguồn: baodautu.vn

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !