Khi bệnh viện trở thành mục tiêu của tội phạm mạng

Bảo mật dữ liệu mở ra kỷ nguyên mới cho chuyển đổi số ngành y tế Việt Nam

Những năm qua, nhiều bệnh viện trở thành mục tiêu của tội phạm mạng. Tại Bệnh viện Đa khoa Trung tâm An Giang, hệ thống máy chủ ảo bị tấn công, dữ liệu bị mã hóa, khiến toàn bộ hoạt động bệnh viện bị tê liệt.

Tháng 3/2024, Bệnh viện Tim TPHCM cũng ghi nhận sự cố tương tự khi một số IP ảo nước ngoài xâm nhập hệ thống đăng ký khám bệnh trực tuyến, buộc bệnh viện phải tạm đóng hệ thống để khắc phục…

Thậm chí, trên một diễn đàn tội phạm mạng, có tài khoản rao bán 112.000 hồ sơ bệnh nhân và nhân viên y tế của Bệnh viện Đa khoa Hồng Ngọc - bao gồm tên, số điện thoại, hồ sơ y tế và thông tin tài chính.

Trong những năm qua, các bệnh viện như: Bệnh viện Đại học Y Dược TPHCM, Bệnh viện Đa khoa Đức Giang (Hà Nội), Bệnh viện Trung ương Huế... cũng từng bị đánh cắp dữ liệu nhân sự, bị mã hóa máy chủ nhằm đòi tiền chuộc. Những sự cố này cho thấy hệ thống y tế Việt Nam đang trở thành "mục tiêu béo bở" hiện nay.

Tại Diễn đàn Chuyển đổi số y tế do Hiệp hội Bệnh viện tư nhân Việt Nam tổ chức mới đây, các chuyên gia an ninh mạng cảnh báo: Dữ liệu y tế là loại thông tin nhạy cảm bậc nhất, chứa đựng từ nhóm máu, bệnh sử đến căn cước công dân và thông tin liên lạc.

Chuyên gia Ngô Minh Hiếu, Giám đốc một nền tảng về chống lừa đảo, cho biết: Nhiều hệ thống camera, máy chụp X-quang, thiết bị IoT (Internet vạn vật) trong bệnh viện vẫn "mở toang cửa", không cập nhật phần mềm, thậm chí để mật khẩu mặc định. Chỉ một lỗ hổng nhỏ cũng đủ để hacker xâm nhập sâu vào hệ thống bệnh án điện tử. Theo ông Hiếu, nhiều bệnh viện thiếu cơ chế sao lưu dữ liệu chuẩn, hệ thống dự phòng và quy trình ứng phó khi bị tấn công.

"Tấn công mạng trong y tế không chỉ là vấn đề công nghệ, mà là vấn đề sinh mạng. Khi bệnh án bị khóa, bác sĩ không thể truy cập thông tin để điều trị - hậu quả có thể là mất mạng người", ông Hiếu nhấn mạnh.

Tăng cường năng lực phòng thủ của cơ sở y tế

Hiện nay, Việt Nam đã có một số văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, như Nghị định 13/2023/NĐ-CP. Tuy nhiên, theo các chuyên gia, quy định cụ thể về bảo mật dữ liệu y tế vẫn rời rạc, thiếu tính thực thi.

Trước thực trạng dữ liệu sức khỏe người dân ngày càng được số hóa, Luật Bảo vệ dữ liệu cá nhân 2025, có hiệu lực từ 1/1/2026, nhấn mạnh dữ liệu sức khỏe và hồ sơ bệnh án là thông tin nhạy cảm cần bảo vệ nghiêm ngặt.

Trong Tiêu chuẩn quốc gia TCVN 14423:2025 hướng dẫn các hệ thống thông tin quan trọng - bao gồm bệnh viện - thực hiện bảo mật kỹ thuật và quản lý: kiểm thử xâm nhập, quản lý lỗ hổng, mã hóa dữ liệu, sao lưu dự phòng và ứng phó sự cố mạng.

Người dân đăng ký khám chữa bệnh bằng căn cước công dân - Ảnh: TTXVN

Thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng Quốc gia (A05 - Bộ Công an), cho biết: Trong 6 tháng đầu năm 2025, các cuộc tấn công mã hóa tống tiền nhắm vào hệ thống y tế, năng lượng gia tăng mạnh cả về quy mô lẫn tính chất. Việc ban hành Tiêu chuẩn quốc gia TCVN 14423:2025 về an ninh mạng là bước đi nền tảng, giúp định hướng và hướng dẫn các cơ quan, đặc biệt là cơ sở y tế xây dựng hệ thống bảo mật phù hợp. Bên cạnh đó, Nhà nước cũng yêu cầu cơ sở y tế xây dựng quy trình bảo vệ dữ liệu, đào tạo nhân sự, thiết lập cơ chế kiểm tra và giám sát tuân thủ tiêu chuẩn an ninh mạng.

Cùng với đó, Trung tâm An ninh mạng Quốc gia hỗ trợ các bệnh viện tăng cường năng lực phòng thủ và thiết lập chế tài xử lý nghiêm đối với đơn vị vi phạm, nhằm bảo vệ tối đa quyền lợi người bệnh.

Đề xuất thêm giải pháp, TS. Trần Thị Thu Hà, chuyên gia chính sách y tế, thuộc Viện Chiến lược và Chính sách Y tế, đề nghị: "Cần đồng thời hoàn thiện hành lang pháp lý, đầu tư hạ tầng bảo mật cho hệ thống y tế. Đồng thời nâng cao nhận thức của chính cán bộ ngành y về an toàn thông tin. Bảo mật dữ liệu sức khỏe phải trở thành phần bắt buộc trong quy trình y tế, tương tự như tuân thủ quy tắc vô khuẩn trong phòng mổ. Chỉ khi đó, người dân mới yên tâm giao phó thông tin của mình cho hệ thống số".

Những giải pháp này không chỉ bảo vệ thông tin cá nhân mà còn đảm bảo an toàn trong khám chữa bệnh số hóa, giúp bác sĩ truy cập hồ sơ kịp thời và nâng cao chất lượng dịch vụ y tế trên toàn quốc.

Thùy Dung