Khi dữ liệu bệnh nhân trở thành “mỏ vàng” của tin tặc

Quá trình chuyển đổi số bùng nổ, lĩnh vực chăm sóc sức khỏe – nơi lưu trữ khối lượng dữ liệu nhạy cảm khổng lồ trở thành một trong những mục tiếu hấp dẫn nhất của tội phạm mạng. Cùng với sự phức tạp ngày càng gia tăng của các mối đe dọa an ninh mạng, ngành y tế đang phải đối mặt với làn sóng tấn công chưa từng có cả về quy mô lẫn mức độ tinh vi.

Chỉ riêng trong năm 2024, thế giới đã chứng kiến sự gia tăng đáng báo động của các cuộc tấn công bằng mã độc tống tiền (ransomware) và lừa đảo qua email (phishing) – hai hình thức tấn công được dự báo sẽ tiếp tục chi phối không gian mạng của ngành y trong thời gian tới, theo tạp chí HealthTech.

Báo cáo “2024 Ponemon Healthcare Cybersecurity Report” từ Proofpoint cho biết: 92% tổ chức y tế đã từng là nạn nhân của tấn công mạng trong vòng 12 tháng qua, tăng đáng kể so với con số 88% của năm 2023. Cùng lúc, theo báo cáo “Cost of a Data Breach 2024” của IBM, mức thiệt hại trung bình cho mỗi vụ vi phạm dữ liệu trong ngành y tế lên tới 4,88 triệu USD – cao nhất trong tất cả các ngành công nghiệp.

Tội phạm mạng ngày nay không chỉ liều lĩnh mà còn cực kỳ tinh vi, liên tục tận dụng sức mạnh của trí tuệ nhân tạo (AI) và học máy (ML) để thâm nhập, chiếm đoạt các tài sản số có giá trị như: thông tin sức khỏe cá nhân (PHI), dữ liệu định danh (PII), kết quả xét nghiệm và hồ sơ y tế điện tử (EHR).

Ông Greg Young – Phó Chủ tịch phụ trách an ninh mạng của Trend Micro – từng cảnh báo: “Lỗ hổng lớn nhất mà một tổ chức có thể có, đôi khi đơn giản chỉ là việc họ đang hoạt động trong ngành y tế.” Với áp lực khôi phục nhanh hoạt động sau sự cố và xu hướng chấp nhận trả tiền chuộc để cứu dữ liệu, ngành y tế đã vô tình trở thành “mảnh đất màu mỡ” nuôi dưỡng các cuộc tấn công mạng ngày càng dồn dập và nguy hiểm hơn.

Bài học từ các cuộc tấn công mạng vào hệ thống bệnh viện tại Việt Nam

Một thống kê từ công ty an ninh mạng Emsisoft công bố năm 2023 cho thấy: 46 hệ thống bệnh viện tại Mỹ, tương ứng với 141 bệnh viện thành viên, đã trở thành nạn nhân của mã độc tống tiền (ransomware) — gần gấp đôi so với con số 25 vụ ghi nhận trong năm 2022. Những con số này phản ánh rõ ràng rằng các tổ chức y tế đang ngày càng trở thành mục tiêu hấp dẫn với tin tặc.

Theo Báo cáo Tổng kết An ninh mạng Việt Nam năm 2024 và dự báo 2025 ,  lĩnh vực y tế nằm trong top 5 ngành có lượng dữ liệu bị rò rỉ và rao bán nhiều nhất, với hơn 12.000 bản ghi thông tin bị phát hiện trên các diễn đàn ngầm.

Bên cạnh đó, tổng hợp từ Báo Đầu tư cũng cho thấy, trong nhiều năm trở lại đây, hàng loạt vụ việc an ninh mạng rải rác tại các bệnh viện trên cả nước đã phần nào phơi bày những lỗ hổng nghiêm trọng trong hệ thống bảo mật thông tin y tế. Cụ thể

  • Năm 2018, một bệnh viện lớn tại Việt Nam bị mã độc tống tiền tấn công, tin tặc mã hóa hàng loạt tệp tin và yêu cầu tiền chuộc. Hệ thống hồ sơ bệnh án bị gián đoạn buộc bệnh viện phải tạm thời chuyển sang vận hành thủ công, gây ảnh hưởng đáng kể đến công tác khám chữa bệnh.

  • Năm 2019, tại một bệnh viện đa khoa khu vực miền Trung, một nhân viên vô tình nhấp vào email giả mạo chứa mã độc, dẫn đến toàn bộ hệ thống máy tính bị lây nhiễm. Một số dữ liệu nhạy cảm của bệnh viện và bệnh nhân bị rò rỉ. Bệnh viện phải tiến hành kiểm tra và làm sạch hệ thống để loại bỏ mã độc hoàn toàn.

  • Năm 2020, tin tặc lợi dụng lỗ hổng trong hệ thống quản lý bệnh viện (HIS) của một cơ sở y tế lớn tại Hà Nội để đánh cắp dữ liệu cá nhân và hồ sơ bệnh án của bệnh nhân. Vụ việc buộc đơn vị này phải nhanh chóng vá lỗi và triển khai các biện pháp bảo vệ dữ liệu còn lại.

  • Năm 2021, một bệnh viện cấp trung ương tại miền Trung bị tấn công bằng phần mềm độc hại chưa rõ nguồn gốc (qua email hoặc thiết bị ngoại vi như USB). Mã độc lan rộng trong mạng nội bộ, làm gián đoạn hoạt động xử lý và truy cập dữ liệu y tế.

  • Năm 2023, một bệnh viện lớn tại TP.HCM tiếp tục trở thành nạn nhân của ransomware, lần này thông qua email phishing. Mã độc nhanh chóng lan rộng trong hệ thống mạng nội bộ, ảnh hưởng trực tiếp đến hệ thống HIS và cơ sở lưu trữ hồ sơ bệnh nhân. Nhiều dữ liệu nhạy cảm bị mã hóa, khiến hoạt động của bệnh viện gần như tê liệt trong một thời gian.

  • Ngày 27/3/2024, một bệnh viện trọng điểm tại TP.HCM bị tấn công vào hệ thống website. Cuộc tấn công làm gián đoạn quá trình đăng ký khám bệnh và thanh toán qua mã QR. Dù chưa ghi nhận trường hợp rò rỉ dữ liệu, sự cố đã gây ra tình trạng rối loạn nghiêm trọng tại khu vực tiếp đón bệnh nhân.

Phishing & Ransomware: “Đại dịch số” đe doạ các tổ chức trong lĩnh vực y tế

Lừa đảo qua email – Chiêu trò cũ, hậu quả mới

Phishing tiếp tục là phương thức tấn công phổ biến nhất theo báo cáo IBM X-Force Threat Intelligence Index 2022. Tin tặc không chỉ gửi email giả mạo mà còn kết bạn qua mạng xã hội, gửi đường dẫn chứa mã độc để dụ dỗ nhân viên y tế kích hoạt phần mềm độc hại mà không hề hay biết.

Một nghiên cứu từ Thư viện Y khoa Quốc gia Hoa Kỳ cho thấy: chỉ trong một tháng, một tổ chức y tế có thể nhận đến 858.000 email, trong đó 2% chứa rủi ro an ninh mạng.

Vụ rò rỉ dữ liệu từ công ty OneTouchPoint – đối tác của hơn 30 nhà cung cấp dịch vụ y tế – đã khiến 2,6 triệu cá nhân bị lộ thông tin cá nhân và bệnh lý, làm dấy lên lo ngại về sự an toàn của các bên xử lý dữ liệu y tế thay mặt cho bệnh viện.

Ransomware – Khi dữ liệu trở thành con tin

Không chỉ dừng lại ở phishing, ransomware đã trở thành cơn ác mộng thực sự của ngành y tế. Điển hình là vụ tấn công Change Healthcare năm 2024 khiến dữ liệu của 100 triệu bệnh nhân bị mã hóa. Nhóm tin tặc BlackCat/ALPHV đã đòi khoản tiền chuộc lên đến 33 triệu USD, và được cho là đã được thanh toán.

Đầu năm 2025, hệ thống ngân hàng máu của New York bị tấn công đúng lúc thành phố đang tuyên bố “khẩn cấp về nguồn máu”, khiến hơn 400 bệnh viện bị ảnh hưởng.

Các con đường tấn công phổ biến nhất bao gồm:

  • Tài khoản bị đánh cắp: 34%

  • Lỗ hổng chưa vá: 34%

  • Email chứa mã độc: 19%

  • Dò mật khẩu: 4%

Dù được cảnh báo không nên trả tiền chuộc, nhưng trong nhiều trường hợp, tính khẩn cấp và tính mạng con người buộc các tổ chức phải chọn giải pháp trả tiền để khôi phục nhanh hệ thống. Năm 2024, các tổ chức y tế được ghi nhận đã chi trung bình 2,57 triệu USD cho tiền chuộc, theo HIPAA Journal.

Sinh mạng – Cái giá cuối cùng của một cuộc tấn công mạng

Khác với các ngành khác, hậu quả của một cuộc tấn công mạng trong lĩnh vực y tế không chỉ là thiệt hại tài chính. Một hồ sơ bệnh án bị thay đổi, một hệ thống quản lý thuốc bị tê liệt, hay một kết quả xét nghiệm bị đánh cắp – đều có thể ảnh hưởng trực tiếp đến tính mạng con người.

Các cơ sở y tế cần phải làm gì?

Trong bối cảnh chuyển đổi số mạnh mẽ, ngành y tế đang đối mặt với hàng loạt thách thức an ninh mạng. Những cuộc tấn công vào hệ thống bệnh viện, cơ sở khám chữa bệnh hay nhà cung cấp thiết bị y tế không còn là điều hiếm gặp. Tin tặc xem đây là “mỏ vàng” thông tin với dữ liệu bệnh nhân, hồ sơ sức khỏe, hệ thống điều hành và cả thiết bị thông minh được kết nối mạng.

Không chỉ các đơn vị trực tiếp cung cấp dịch vụ y tế, mà ngay cả các công ty cung ứng phần mềm, thiết bị trong chuỗi vận hành chăm sóc sức khỏe cũng cần thay đổi nhận thức và hành động quyết liệt hơn trong việc đảm bảo an toàn thông tin.

Đáng chú ý, Dự thảo Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng vừa được công bố đã bổ sung nhiều quy định xử phạt nghiêm khắc đối với các hành vi làm rò rỉ, chiếm đoạt hay mua bán trái phép dữ liệu cá nhân – đặc biệt là dữ liệu thuộc loại “nhạy cảm” như thông tin sức khỏe. Với mức phạt có thể lên đến 5% doanh thu năm tài chính liền trước cho hành vi vi phạm, đây được xem là một bước tiến mạnh mẽ trong việc siết chặt an toàn dữ liệu, đặc biệt trong các ngành trọng yếu.

Dưới góc nhìn của một doanh nghiệp chuyên cung cấp giải pháp công nghệ và an ninh mạng, đồng thời đồng hành ứng phó và khắc phục sự cố cho các hệ thống trọng yếu, chúng tôi đề xuất các cơ sở y tế cần ưu tiên triển khai một số giải pháp trọng tâm sau:

1. Rà soát và đánh giá bảo mật định kỳ

  • Thực hiện đánh giá bảo mật định kỳ Pentest cho toàn bộ hệ thống: từ phần mềm, thiết bị đến các quy trình vận hành.

  • Tập trung kiểm tra các lỗ hổng bảo mật tiềm ẩn trong hệ thống CNTT, phân quyền truy cập, quy trình quản lý thiết bị y tế thông minh.

2. Kiểm soát truy cập chặt chẽ

  • Xây dựng và áp dụng chính sách kiểm soát truy cập nghiêm ngặt, giới hạn quyền hạn theo vai trò.

  • Áp dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản hệ thống.

  • Tăng cường chính sách mật khẩu: bắt buộc tạo mật khẩu mạnh và thay đổi định kỳ.

3. Đào tạo toàn diện về nhận thức an ninh mạng

Nhân sự trong ngành y tế, từ cán bộ kỹ thuật đến y bác sĩ, cần được đào tạo thường xuyên về các nguy cơ bảo mật:

  • Nhận biết các cuộc tấn công qua email, mã độc, phần mềm tống tiền (ransomware)

  • Quy trình xử lý khi phát hiện sự cố

  • Thực hành tốt trong sử dụng thiết bị và tài khoản

4. Giám sát hệ thống 24/7 qua Trung tâm điều hành an ninh (SOC)

Việc vận hành một Security Operation Center (SOC) hoặc hợp tác với đơn vị chuyên nghiệp là giải pháp cần thiết để giám sát, phát hiện và phản ứng kịp thời với các hành vi bất thường. SOC đóng vai trò then chốt trong việc bảo vệ hệ thống CNTT khỏi các tấn công tinh vi và dai dẳng.

5. Cập nhật, vá lỗi kịp thời

  • Vá lỗi hệ điều hành và ứng dụng phần mềm thường xuyên để giảm thiểu nguy cơ khai thác từ lỗ hổng đã biết.

  • Áp dụng giải pháp cập nhật phần mềm tự động để đảm bảo hệ thống luôn trong trạng thái bảo mật tối ưu.

6. Ứng dụng công nghệ bảo mật chủ động

Các cơ sở y tế nên tích hợp các công nghệ bảo mật hiện đại:

  • Phần mềm phát hiện và phản hồi điểm cuối thế hệ mới (EDR/XDR)

  • Giải pháp chống phần mềm độc hại, đặc biệt là ransomware

  • Công cụ lọc email và chặn thư rác chứa mã độc

7. Tăng cường khả năng ứng phó và phục hồi

  • Tổ chức các buổi diễn tập tấn công thực chiến (Red Team) và xây dựng năng lực phản ứng sự cố (Incident Response).

  • Thực hiện sao lưu dữ liệu định kỳ, đảm bảo khôi phục nhanh chóng trong trường hợp sự cố xảy ra.

8. Xây dựng lộ trình bảo mật toàn diện

  • Xây dựng kế hoạch dài hạn về bảo mật, gắn an toàn thông tin với chiến lược phát triển bệnh viện/cơ sở y tế.

  • Lãnh đạo cần đóng vai trò định hướng và hành động, tạo ra sự thay đổi về nhận thức từ trên xuống dưới.

  • Bảo mật hệ thống không đơn thuần là trách nhiệm kỹ thuật, mà là nền tảng để xây dựng lòng tin với bệnh nhân và bảo vệ uy tín tổ chức.

Việc đầu tư bài bản cho an toàn thông tin không chỉ giúp giảm thiểu rủi ro tài chính, pháp lý và tổn hại danh tiếng mà còn thể hiện sự cam kết của đơn vị với trách nhiệm chăm sóc sức khỏe cộng đồng trong thời đại số.

Nguồn tham vấn:

Bài viết liên quan

Tản mạn về Struts2 OGNL Injection và một case XSS
THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 08 – 2023
Thông tin các mối đe dọa bảo mật trong tháng 01 – 2020
Cảnh báo chiến dịch tấn công sử dụng lỗ hổng ZERO DAY trên Microsoft Exchange Server