Tưởng tượng bạn vừa phẫu thuật tim, thông tin y tế cá nhân của bạn bỗng xuất hiện trên dark web với giá vài dollar. Nhóm tội phạm mạng ShinyHunters vừa tuyên bố đã xâm nhập thành công vào hệ thống của Medtronic - một trong những tập đoàn thiết bị y tế lớn nhất thế giới, đánh cắp tới 9 triệu hồ sơ chứa thông tin cá nhân nhạy cảm. Con số này tương đương với dân số cả Thụy Điển, khiến sự việc trở thành một trong những vụ rò rỉ dữ liệu y tế nghiêm trọng nhất từ trước đến nay.

Khi gã khổng lồ y tế gục ngã trước tin tặc

Medtronic không phải cái tên xa lạ trong ngành y tế toàn cầu. Tập đoàn này sản xuất từ máy tạo nhịp tim, máy điều trị đái tháo đường cho tới các thiết bị phẫu thuật thần kinh phức tạp. Hàng triệu bệnh nhân trên thế giới đang sống nhờ các sản phẩm của họ. Chính vì thế, việc ShinyHunters - nhóm hacker khét tiếng từng tấn công Sony, Microsoft - nhắm vào Medtronic đặc biệt đáng lo ngại.

Theo tuyên bố của ShinyHunters trên các diễn đàn underground, 9 triệu bản ghi bị đánh cắp bao gồm thông tin cá nhân của bệnh nhân, dữ liệu nhân viên và có thể cả thông tin tài chính. Nhóm này đã đăng tải những "mẫu" dữ liệu để chứng minh tính xác thực của vụ hack, đồng thời đe dọa sẽ công khai toàn bộ nếu Medtronic không đáp ứng yêu cầu chuộc lỗi. Chúng tôi cho rằng đây là động thái quen thuộc của các nhóm ransomware (mã độc tống tiền) thế hệ mới.

Kỹ thuật nào đã "đánh gục" pháo đài Medtronic?

ShinyHunters nổi tiếng với khả năng khai thác các lỗ hổng zero-day (lỗ hổng chưa được vá) và tấn công chuỗi cung ứng (supply chain attack). Mặc dù chi tiết kỹ thuật chưa được tiết lộ, chúng tôi phân tích rằng nhóm này có thể đã lợi dụng điểm yếu trong hệ thống quản lý dữ liệu của Medtronic. Các tập đoàn y tế thường duy trì nhiều hệ thống legacy (hệ thống cũ) chứa dữ liệu quan trọng nhưng bảo mật lỏng lẻo.

Đặc biệt, ngành y tế đối mặt với thách thức lớn khi phải cân bằng giữa khả năng truy cập nhanh chóng để cứu người và bảo mật dữ liệu. Nhiều thiết bị y tế IoT (Internet of Things - Internet vạn vật) được kết nối mạng để giám sát từ xa, tạo ra những "cửa sau" mà hacker có thể khai thác. Theo thống kê của Cybersecurity and Infrastructure Security Agency (CISA - Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ), 82% các cuộc tấn công vào ngành y tế năm 2024 đều lợi dụng các thiết bị kết nối mạng kém bảo mật.

Cú sốc 9 triệu hồ sơ: ai chịu thiệt hại nặng nhất?

Con số 9 triệu hồ sơ không chỉ là thống kê khô khan. Mỗi bản ghi có thể chứa họ tên, địa chỉ, số điện thoại, thông tin bệnh án, thậm chí cả dữ liệu sinh trắc học của bệnh nhân. Trên dark web, một hồ sơ y tế có thể được bán với giá 250-1000 USD, cao gấp 10-50 lần so với thông tin thẻ tín dụng thông thường. Lý do? Thông tin y tế khó thay đổi và có thể được sử dụng để lừa đảo bảo hiểm, mua thuốc trái phép hoặc thậm chí tống tiền cá nhân.

Nạn nhân trực tiếp sẽ là bệnh nhân đã từng sử dụng thiết bị hoặc dịch vụ của Medtronic. Họ có thể nhận được những cuộc gọi lừa đảo tinh vi, email giả mạo bệnh viện, hoặc thậm chí bị kẻ xấu lợi dụng thông tin bệnh lý để đe dọa. Các bệnh viện đối tác của Medtronic cũng đối mặt với rủi ro mất lòng tin từ bệnh nhân và có thể bị kiện tụng tập thể.

Bệnh viện Việt Nam cần làm gì ngay lập tức?

Mặc dù chưa có thông tin xác nhận về việc dữ liệu bệnh nhân Việt Nam có bị ảnh hưởng hay không, các cơ sở y tế trong nước cần hành động ngay. Bước đầu tiên là kiểm tra xem đơn vị mình có sử dụng thiết bị hoặc dịch vụ nào của Medtronic không. Nếu có, hãy liên hệ ngay với nhà cung cấp để được hướng dẫn cập nhật bảo mật và thay đổi mật khẩu hệ thống.

Chúng tôi khuyến nghị các bệnh viện Việt Nam nên triển khai ngay các biện pháp: rà soát toàn bộ thiết bị y tế kết nối mạng, cập nhật firmware (phần mềm nhúng) mới nhất, thiết lập network segmentation (phân đoạn mạng) để cô lập thiết bị y tế khỏi mạng chính, và đào tạo nhân viên nhận biết email lừa đảo. Đồng thời, cần xây dựng quy trình phản ứng sự cố mạng chuyên biệt cho ngành y tế, bởi trong lĩnh vực này, mỗi phút downtime có thể có nghĩa là sinh mạng con người.