Hacker đã làm chủ dữ liệu y tế của 9 triệu bệnh nhân từ Medtronic - một trong những đế chế thiết bị y tế lớn nhất thế giới. Công ty có trụ sở tại Mỹ này vừa xác nhận bị tấn công mạng nghiêm trọng, khiến thông tin nhạy cảm của hàng triệu bệnh nhân rơi vào tay tội phạm. Đây không chỉ là một vụ rò rỉ dữ liệu thông thường mà còn là cú sốc lớn với ngành y tế toàn cầu. Medtronic sản xuất các thiết bị cấy ghép như máy tạo nhịp tim, bơm insulin và thiết bị phẫu thuật não, phục vụ hàng triệu bệnh nhân trên khắp thế giới.

Medtronic thừa nhận thất bại trong bảo mật

Tuần trước, Medtronic công bố rằng hacker đã xâm nhập thành công vào "một số hệ thống CNTT doanh nghiệp" và truy cập được dữ liệu nhạy cảm. Tuy nhiên, công ty này ban đầu không tiết lộ quy mô thực sự của vụ tấn công. Chỉ khi các hacker tuyên bố đã đánh cắp được 9 triệu hồ sơ bệnh nhân, Medtronic mới buộc phải thừa nhận mức độ nghiêm trọng của sự cố. Chúng tôi cho rằng đây là một minh chứng điển hình cho việc các công ty thường cố gắng che giấu quy mô thực sự của các vụ vi phạm bảo mật.

Theo thông tin từ các hacker, dữ liệu bị đánh cắp bao gồm thông tin cá nhân của bệnh nhân, dữ liệu y tế, thông tin nhân viên và các tài liệu nội bộ quan trọng khác. Medtronic khẳng định rằng các hệ thống sản phẩm và thiết bị y tế không bị ảnh hưởng, nhưng điều này không làm giảm đi mức độ nghiêm trọng của việc rò rỉ thông tin bệnh nhân. Công ty đang phối hợp với cơ quan chức năng và các chuyên gia an ninh mạng để điều tra vụ việc.

Kỹ thuật tấn công và điểm yếu hệ thống

Mặc dù Medtronic chưa công bố chi tiết về phương thức tấn công, nhưng dựa trên các vụ tấn công tương tự gần đây, chúng tôi đánh giá rằng đây có thể là một cuộc tấn công APT (Advanced Persistent Threat - mối đe dọa liên tục nâng cao). Loại tấn công này thường bắt đầu bằng spear phishing (tấn công lừa đảo có mục tiêu) nhắm vào nhân viên IT hoặc quản lý cấp cao. Sau khi xâm nhập thành công, hacker sẽ di chuyển ngang (lateral movement) trong mạng nội bộ để tìm và truy cập vào các cơ sở dữ liệu quan trọng nhất.

Việc một công ty công nghệ y tế hàng đầu như Medtronic bị xâm nhập cho thấy những thách thức nghiêm trọng trong việc bảo vệ dữ liệu y tế. Các công ty trong ngành này thường phải cân bằng giữa việc đảm bảo khả năng truy cập nhanh chóng cho nhân viên y tế và việc bảo mật dữ liệu. Hệ thống mạng phức tạp với nhiều điểm truy cập từ bệnh viện, phòng khám và nhân viên làm việc từ xa tạo ra nhiều lỗ hổng bảo mật tiềm ẩn mà hacker có thể khai thác.

Tác động nghiêm trọng đến bệnh nhân và ngành y tế

Con số 9 triệu hồ sơ bệnh nhân bị rò rỉ khiến vụ việc này trở thành một trong những vi phạm dữ liệu y tế lớn nhất từ trước đến nay. Để so sánh, vụ tấn công vào Anthem năm 2015 - được coi là một trong những vụ rò rỉ dữ liệu y tế nghiêm trọng nhất lịch sử - đã ảnh hưởng đến 78,8 triệu hồ sơ. Mặc dù quy mô nhỏ hơn, nhưng vụ Medtronic vẫn gây ra những hậu quả nghiêm trọng với hàng triệu bệnh nhân trên toàn cầu.

Thông tin y tế cá nhân có giá trị cực kỳ cao trên thị trường ngầm, thường cao gấp 10-50 lần so với thông tin thẻ tín dụng. Dữ liệu này có thể được sử dụng cho nhiều mục đích bất hợp pháp như lừa đảo bảo hiểm y tế, tống tiền bệnh nhân hoặc bán cho các tổ chức tội phạm khác. Các bệnh nhân có thể phải đối mặt với nguy cơ bị đánh cắp danh tính, lừa đảo tài chính hoặc thậm chí bị tống tiền dựa trên tình trạng sức khỏe nhạy cảm của họ.

Hướng dẫn bảo vệ cho bệnh nhân và cơ sở y tế

Đối với bệnh nhân có thể bị ảnh hưởng, chúng tôi khuyến cáo thực hiện ngay các bước sau: Thứ nhất, liên hệ với ngân hàng và công ty thẻ tín dụng để theo dõi chặt chẽ các giao dịch bất thường. Thứ hai, đăng ký dịch vụ cảnh báo tín dụng miễn phí để phát hiện sớm việc sử dụng trái phép thông tin cá nhân. Thứ ba, thay đổi mật khẩu cho tất cả các tài khoản y tế trực tuyến và kích hoạt xác thực hai yếu tố (2FA) nếu có thể. Cuối cùng, hãy cẩn trọng với các email hoặc cuộc gọi tự xưng từ cơ sở y tế yêu cầu cung cấp thông tin cá nhân.

Tại Việt Nam, mặc dù Medtronic có hoạt động nhưng chưa rõ số lượng bệnh nhân Việt Nam bị ảnh hưởng. Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), năm 2023 Việt Nam ghi nhận hơn 13.000 cuộc tấn công mạng, trong đó ngành y tế là một trong những mục tiêu ưu tiên của tội phạm mạng. Các bệnh viện và cơ sở y tế trong nước cần rút kinh nghiệm từ vụ Medtronic để tăng cường đầu tư vào an ninh mạng, đặc biệt là việc mã hóa dữ liệu bệnh nhân và triển khai các giải pháp giám sát mạng 24/7.