Tại sao một tổ chức y tế lại có thể im lặng suốt 12 tháng về việc dữ liệu của 170.000 bệnh nhân bị đánh cắp? Sandhills Medical - một tổ chức chăm sóc sức khỏe tại Mỹ vừa công bố thông tin về vụ tấn công ransomware nghiêm trọng này. Nhóm tin tặc Inc Ransom đã thực hiện cuộc tấn công từ cuối năm 2023, nhưng công chúng mới được thông báo. Sự chậm trễ này đặt ra câu hỏi lớn về minh bạch trong lĩnh vực y tế số.

Bí ẩn đằng sau sự im lặng kéo dài

Chúng tôi cho rằng việc che giấu thông tin trong thời gian dài như vậy hoàn toàn bất bình thường. Theo các quy định của HIPAA (Health Insurance Portability and Accountability Act) tại Mỹ, các tổ chức y tế phải thông báo về vi phạm dữ liệu trong vòng 60 ngày. Tuy nhiên, Sandhills Medical đã mất gần 365 ngày để công khai vụ việc này. Trong thời gian đó, hàng trăm nghìn bệnh nhân hoàn toàn không biết thông tin cá nhân của họ đã bị lộ.

Inc Ransom được biết đến là một nhóm ransomware hoạt động theo mô hình RaaS (Ransomware-as-a-Service - dịch vụ tống tiền mã hóa). Họ không chỉ mã hóa dữ liệu mà còn đánh cắp thông tin nhạy cảm để tống tiền kép - vừa đòi tiền giải mã, vừa đe dọa công khai dữ liệu. Thông tin y tế cá nhân luôn là mục tiêu béo bở vì giá trị cao trên dark web và khả năng gây tổn hại lâu dài cho nạn nhân.

Tại sao ngành y tế trở thành mục tiêu ưa thích?

Dữ liệu từ IBM Security cho thấy chi phí trung bình của một vụ rò rỉ dữ liệu trong ngành y tế lên tới 10.93 triệu USD, cao nhất trong mọi lĩnh vực. Nguyên nhân chính là các tổ chức y tế thường sử dụng hệ thống cũ, thiếu đầu tư vào an ninh mạng và có áp lực phải khôi phục hoạt động nhanh chóng để cứu người. Điều này khiến họ dễ dàng chi trả tiền chuộc hơn các ngành khác.

Theo đánh giá của chúng tôi, cuộc tấn công vào Sandhills Medical thể hiện xu hướng đáng lo ngại: tin tặc ngày càng nhắm vào các tổ chức y tế quy mô vừa và nhỏ. Những đơn vị này thường có hệ thống bảo mật yếu hơn so với các bệnh viện lớn nhưng vẫn lưu trữ lượng lớn dữ liệu nhạy cảm. Inc Ransom đã khai thác chính điểm yếu này để thâm nhập và thu thập thông tin của 170.000 bệnh nhân.

Tác động lan tỏa từ một vụ tấn công

Hơn 170.000 bệnh nhân của Sandhills Medical giờ đây đối mặt với nguy cơ bị đánh cắp danh tính, lừa đảo tài chính và các cuộc tấn công phishing nhắm mục tiêu. Thông tin y tế bị rò rỉ có thể bao gồm số an sinh xã hội, địa chỉ, thông tin bảo hiểm, lịch sử bệnh án và thậm chí cả dữ liệu di truyền. Chúng tôi ước tính thiệt hại kinh tế cho mỗi bệnh nhân có thể lên tới hàng nghìn USD trong những năm tới.

Tại Việt Nam, ngành y tế cũng đang chuyển đổi số mạnh mẽ với việc triển khai hồ sơ sức khỏe điện tử và các nền tảng khám chữa bệnh trực tuyến. Theo báo cáo của Cục An toàn thông tin, các cuộc tấn công vào hệ thống y tế trong nước đã tăng 45% so với năm trước. Vụ việc Sandhills Medical là chuông cảnh báo cho các bệnh viện và phòng khám Việt Nam về tầm quan trọng của việc bảo vệ dữ liệu bệnh nhân.

Những bước cần thực hiện ngay lập tức

Các tổ chức y tế tại Việt Nam cần áp dụng ngay các biện pháp bảo vệ cơ bản. Đầu tiên là thực hiện backup dữ liệu định kỳ và lưu trữ offline để tránh bị mã hóa cùng hệ thống chính. Tiếp theo, cần cập nhật và vá lỗi bảo mật cho tất cả phần mềm, đặc biệt là các hệ thống quản lý bệnh viện (HIS - Hospital Information System). Quan trọng nhất là đào tạo nhân viên nhận biết email phishing và các thủ đoạn social engineering phổ biến.

Đối với người dân, chúng tôi khuyến nghị kiểm tra thường xuyên thông tin cá nhân trên các nền tảng y tế điện tử. Hãy yêu cầu các cơ sở y tế giải thích rõ chính sách bảo mật dữ liệu và quyền được thông báo khi có sự cố. Nếu phát hiện bất kỳ dấu hiệu bất thường nào trong việc sử dụng thông tin y tế, cần báo cáo ngay cho cơ quan chức năng. Vụ Sandhills Medical cho thấy việc giấu giếm thông tin về rò rỉ dữ liệu chỉ làm tăng thêm thiệt hại cho nạn nhân.