Trong những năm gần đây, hệ thống y tế đã trở thành mục tiêu của nhiều cuộc tấn công mạng, với các cuộc tấn công ngày càng tinh vi và quy mô lớn hơn. Theo ước tính, các vụ tấn công mạng tập trung vào ngành y tế đã gây thiệt hại 9.8 triệu USD trong năm 2024, lớn hơn rất nhiều so với con số 6.1 triệu USD cho ngành tài chính (theo Healthcare Dive). 

 

Tại Việt Nam, vấn đề về an ninh mạng ngành y tế luôn được các bộ, ban ngành cảnh báo liên tục trong các quý đầu năm 2024, đặc biệt là Bộ Công an với lo ngại về số lượng và quy mô của tấn công ransomware nhắm vào lĩnh vực này. Trước đó, báo cáo của Kaspersky năm 2020 cũng đề cập đến một công ty y tế tại Việt Nam đã bị rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến hơn 80.000 người và chứa hơn 12 triệu bản ghi.

 

Những báo cáo và con số đáng báo động trên cho thấy mối nguy hiểm mà các cơ sở y tế phải đối mặt khi không bảo mật đủ tốt hệ thống thông tin của mình.

 

Tại sao ngành y tế đang nằm trong tầm ngắm của tin tặc? 

 

Thứ nhất, dữ liệu y tế có giá trị rất lớn. Thông tin sức khỏe cá nhân chứa đựng những dữ liệu vô cùng nhạy cảm như tên, địa chỉ, số căn cước công dân, số bảo hiểm xã hội, lịch sử bệnh lý và thậm chí là thông tin về bảo hiểm nhân thọ. Đáng chú ý, khi nhiều cơ sở y tế tích hợp các phương thức thanh toán vào quy trình chăm sóc khách hàng, dữ liệu như thông tin tài khoản ngân hàng và số thẻ thanh toán cũng trở thành một phần trong hồ sơ sức khỏe, làm tăng thêm mức độ nhạy cảm và rủi ro bảo mật cho những thông tin này. Những dữ liệu này có giá trị lớn trên thị trường chợ đen vì tin tặc có thể sử dụng thông tin có được này cho các mục đích như gian lận bảo hiểm, trộm danh tính hoặc bán cho bên thứ ba. 

 

Thứ hai là sự thiếu hụt về chi phí và nhân sự ATTT. Một số tổ chức y tế, bệnh viện và hệ thống cung cấp dịch vụ, sản phẩm y tế lớn thường có nguồn lực tài chính đủ mạnh để thuê đội ngũ chuyên gia bảo mật thông tin hoặc xây dựng phòng ban chuyên trách về CNTT, ATTT. Tuy nhiên, vẫn còn hàng nghìn các tổ chức y tế, bệnh viện, phòng khám, cơ sở y tế nhỏ hơn (đặc biệt là loại hình tư nhân) đang gặp khó khăn trong việc duy trì ngân sách cho hoạt động ATTT do chi phí thuê dịch vụ hay duy trì dịch vụ ATTT không hề nhỏ. Thậm chí, việc bảo mật thông tin có thể không được coi là ưu tiên hàng đầu vì họ phải tập trung vào các chi phí liên quan trực tiếp đến chăm sóc sức khỏe cho bệnh nhân hay chi phí duy trì hoạt động thường xuyên của mình. 

 

Thứ ba, ngành y tế thu thập và xử lý một khối lượng lớn dữ liệu và thường lưu trữ trên các hệ thống phân tán, từ bệnh viện, phòng khám đến các nhà cung cấp dịch vụ bên thứ ba. Điều này làm tăng độ phức tạp trong quản lý và bảo mật dữ liệu, khiến cho hệ thống dễ bị xâm nhập. 

 

Theo nghiên cứu của Báo Đầu tư, riêng về hệ thống Hồ sơ bệnh án điện tử (EHR), mặc dù Bộ Y tế đã quy định rõ ràng về việc triển khai, mỗi bệnh viện lại sử dụng các phần mềm từ những nhà cung cấp khác nhau. Điều này dẫn đến khó khăn trong việc đồng bộ hóa khi cần trao đổi dữ liệu giữa các hệ thống. Hơn nữa, các hệ thống thông tin khác như HIS (Hệ thống Thông tin Bệnh viện), LIS (Hệ thống Thông tin Xét nghiệm), PACS (Lưu trữ và truyền tải hình ảnh y tế)... hoạt động rời rạc, tạo ra sự phức tạp và thiếu kết nối giữa các đơn vị quản lý thông tin, tạo môi trường thuận lợi cho tin tặc khai thác lỗ hổng và tấn công bất kỳ lúc nào.

 

Hệ quả của việc rò rỉ dữ liệu y tế nhạy cảm: 

 

Lợi dụng để gian lận tài chính: Tin tặc hoặc kẻ xấu có thể sử dụng thông tin cá nhân và y tế để thực hiện các hành vi lừa đảo, như mở tài khoản tín dụng giả, gian lận bảo hiểm y tế hoặc yêu cầu dịch vụ y tế giả mạo. 

 

Ảnh hưởng đến sự an toàn và sức khỏe của bệnh nhân: Nếu dữ liệu y tế bị thay đổi hoặc truy cập trái phép, bệnh nhân có thể nhận được điều trị sai lệch hoặc không được chăm sóc y tế phù hợp, gây nguy hiểm đến sức khỏe và tính mạn 

 

Gián đoạn dịch vụ y tế: Rò rỉ dữ liệu có thể buộc các tổ chức, cơ sở y tế phải ngừng hoạt động để điều tra và khắc phục sự cố, làm gián đoạn dịch vụ chăm sóc và điều trị bệnh nhân. 

 

Tổn hại uy tín của tổ chức y tế: Một cuộc rò rỉ dữ liệu lớn có thể gây tổn hại uy tín lâu dài cho các bệnh viện và tổ chức y tế, ảnh hưởng đến khả năng thu hút bệnh nhân và duy trì hoạt động hiệu quả. 

 

Để tránh những hệ quả khó lường kể trên, VNCS mang đến giải pháp Opentext Data Privacy and Protection (Voltage) thông minh, giúp phát hiện và phản ứng nhanh chóng trước mọi mối đe dọa tiềm tàng.

 

Top những điểm ưu việt của OpenText Voltage trong bảo vệ hệ thống y tế: 

 

Mã hóa và Token hóa dữ liệu

OpenText Voltage mã hóa dữ liệu y tế nhạy cảm khi lưu trữ và trong quá trình truyền tải, đảm bảo rằng ngay cả khi tin tặc xâm nhập hệ thống cũng không thể truy cập được dữ liệu đã được mã hóa. Tính năng token hóa thay thế dữ liệu nhạy cảm bằng các giá trị ngẫu nhiên, tăng cường bảo mật cho các thông tin quan trọng như hồ sơ sức khỏe và dữ liệu thanh toán. 

 

Data masking 

Khi chia sẻ dữ liệu bệnh nhân cho mục đích nghiên cứu hoặc hợp tác với các đối tác bên ngoài, data masking đảm bảo tính riêng tư mà không ảnh hưởng đến tính toàn vẹn của dữ liệu. 

 

Tuân thủ quy định pháp lý 

Giải pháp OpenText Voltage giúp các tổ chức y tế tuân thủ các quy định nghiêm ngặt như HIPAA, HITRUST, GDPR, và PCI DSS. Các quy định này yêu cầu các biện pháp kiểm soát nghiêm ngặt để bảo vệ thông tin bệnh nhân, và các tính năng mã hóa, token hóa, và data masking của Voltage cung cấp các công cụ cần thiết để đáp ứng yêu cầu này. 

 

Ngăn chặn tấn công ransomware và malware 

Trong trường hợp tấn công ransomware hoặc malware, dữ liệu được mã hóa và token hóa bởi Voltage vẫn không thể đọc được và không thể sử dụng bởi kẻ tấn công. Điều này đảm bảo rằng ngay cả khi hệ thống bị xâm nhập, thông tin nhạy cảm của bệnh nhân vẫn được bảo vệ. 

Trong bối cảnh các tổ chức y tế là mục tiêu thường xuyên của các cuộc tấn công ransomware, giải pháp OpenText Data Privacy and Protection góp phần lớn vào việc giảm thiểu tác động của các cuộc tấn công này bằng cách ngăn chặn quyền truy cập trái phép vào hồ sơ bệnh nhân, dữ liệu tài chính và thông tin quan trọng khác.

 

VNCS vinh dự là đơn vị phân phối chính thức các giải pháp bảo mật của OpenText tại thị trường Việt Nam. Hãy liên hệ với chúng tôi để được tìm hiểu thêm về các bộ giải pháp, đồng thời nhận những tư vấn bảo mật toàn diện và hiệu quả.

 

 

Đọc thêm

 

Các tổ chức Ngân hàng - Chứng khoán - Bảo hiểm: Làm chủ 6 vấn đề cốt lõi này để làm chủ trước những thách thức về an ninh mạng

 

Tại sao các tổ chức, doanh nghiệp cần có giải pháp bảo vệ dữ liệu?