Thông tin y tế cá nhân của bạn có thể đang bị theo dõi mà bạn không hề hay biết. Công ty bảo mật Aisle vừa phát hiện 38 lỗ hổng bảo mật nghiêm trọng trong OpenEMR - một trong những phần mềm quản lý hồ sơ y tế điện tử (Electronic Medical Records) được sử dụng rộng rãi nhất thế giới. Điều đáng lo ngại hơn cả là nhiều lỗ hổng trong số này cho phép kẻ tấn công không chỉ truy cập mà còn có thể thay đổi tùy ý thông tin bệnh nhân. Đây là một thảm họa bảo mật có thể ảnh hưởng đến hàng triệu người bệnh trên toàn cầu.

Cuộc tấn công vào 'kho báu' dữ liệu y tế

OpenEMR không phải là một cái tên xa lạ trong ngành y tế. Phần mềm mã nguồn mở này được hàng nghìn bệnh viện, phòng khám và cơ sở y tế trên toàn thế giới tin dùng để lưu trữ và quản lý hồ sơ bệnh nhân. Từ thông tin cá nhân, lịch sử bệnh tật, đến kết quả xét nghiệm và đơn thuốc - tất cả đều được tập trung trong hệ thống này. Chính vì vậy, việc phát hiện 38 lỗ hổng bảo mật cùng lúc đã khiến cộng đồng an ninh mạng toàn cầu phải giật mình.

Chúng tôi cho rằng đây không chỉ là một sự cố bảo mật thông thường. Dữ liệu y tế được coi là loại thông tin nhạy cảm nhất, có giá trị gấp 10-50 lần so với thông tin thẻ tín dụng trên thị trường ngầm. Khác với số thẻ ngân hàng có thể thay đổi được, thông tin y tế là bất biến và một khi bị rò rỉ, hậu quả sẽ theo bệnh nhân suốt đời. Tệ hơn nữa, các lỗ hổng này còn cho phép kẻ tấn công chỉnh sửa thông tin, có thể dẫn đến việc chẩn đoán sai hoặc kê đơn thuốc nguy hiểm.

Phẫu thuật 'giải phẫu' các lỗ hổng nguy hiểm

Theo phân tích kỹ thuật của chúng tôi, 38 lỗ hổng được phát hiện thuộc nhiều loại khác nhau, từ SQL Injection (lỗ hổng cho phép kẻ tấn công thực thi lệnh truy vấn cơ sở dữ liệu độc hại) đến Cross-Site Scripting - XSS (cho phép chèn mã độc vào trang web). Đặc biệt nguy hiểm là các lỗ hổng Authentication Bypass (bỏ qua xác thực), cho phép hacker truy cập hệ thống mà không cần tài khoản hợp lệ. Điều này giống như việc để cửa chính bệnh viện mở toang, bất kỳ ai cũng có thể bước vào và làm gì tùy thích.

Điều khiến chúng tôi lo lắng nhất là tính chất 'combo' của các lỗ hổng này. Kẻ tấn công có thể kết hợp nhiều lỗ hổng để tạo ra một cuộc tấn công chuỗi (chain attack) cực kỳ hiệu quả. Ví dụ, họ có thể dùng lỗ hổng XSS để đánh cắp session của bác sĩ, sau đó khai thác lỗ hổng SQL Injection để truy xuất toàn bộ cơ sở dữ liệu bệnh nhân. Công ty Aisle chưa công bố chi tiết kỹ thuật để tránh việc các hacker có ý đồ xấu khai thác, nhưng đã thông báo cho nhà phát triển OpenEMR để khẩn trương vá lỗi.

Sóng thần dữ liệu và 'hiệu ứng domino' toàn cầu

Tác động của 38 lỗ hổng này không chỉ dừng lại ở việc rò rỉ thông tin cá nhân. Trong bối cảnh Việt Nam đang đẩy mạnh chuyển đổi số trong y tế, nhiều bệnh viện và phòng khám đã bắt đầu triển khai các hệ thống EMR tương tự. Theo thống kê từ Bộ Y tế, có khoảng 60% cơ sở y tế công lập đã số hóa hồ sơ bệnh án, và con số này đang tăng nhanh. Nếu các hệ thống này gặp phải lỗ hổng tương tự, hậu quả sẽ không thể lường trước được.

Chúng tôi đánh giá rằng đây có thể là khởi đầu cho một làn sóng tấn công nhắm vào ngành y tế toàn cầu. Năm 2023, các cuộc tấn công ransomware vào bệnh viện đã tăng 123% so với năm trước, và việc phát hiện 38 lỗ hổng trong OpenEMR như 'đổ thêm dầu vào lửa'. Giá trị trung bình của một hồ sơ y tế trên dark web hiện dao động từ 250-1.000 USD, cao hơn rất nhiều so với thông tin thẻ tín dụng chỉ 1-5 USD.

Phác đồ 'điều trị' khẩn cấp cho doanh nghiệp Việt

Đối với các cơ sở y tế Việt Nam đang sử dụng OpenEMR hoặc các hệ thống tương tự, chúng tôi khuyến nghị thực hiện ngay các biện pháp 'sơ cứu' sau đây. Trước tiên, kiểm tra phiên bản OpenEMR đang sử dụng và cập nhật lên phiên bản mới nhất ngay khi nhà phát triển phát hành bản vá. Thứ hai, tạm thời hạn chế quyền truy cập từ xa và chỉ cho phép truy cập từ các IP được whitelist. Cuối cùng, kích hoạt chế độ giám sát log chi tiết để phát hiện sớm các hoạt động bất thường.

Về dài hạn, các cơ sở y tế cần xây dựng một chiến lược bảo mật toàn diện. Điều này bao gồm việc thuê đội ngũ pentest (kiểm thử xâm nhập) định kỳ, triển khai hệ thống SIEM (Security Information and Event Management) để giám sát real-time, và quan trọng nhất là đào tạo nhân viên về an ninh mạng. Đối với bệnh nhân, hãy chủ động hỏi bác sĩ về các biện pháp bảo mật dữ liệu và yêu cầu được thông báo khi có sự cố bảo mật xảy ra. Trong kỷ nguyên số, việc bảo vệ thông tin sức khỏe không chỉ là trách nhiệm của bệnh viện mà còn cần sự tham gia tích cực của chính người bệnh.