Một vụ tấn công mạng nghiêm trọng vừa được phát hiện tại Trung tâm Khoa học Sức khỏe Đại học Công nghệ Texas (Texas Tech University Health Sciences Center – TTUHSC), khiến hơn 1,4 triệu hồ sơ bệnh nhân bị xâm phạm. Sự cố được phát hiện sau khi hệ thống của trung tâm gặp gián đoạn vào tháng 9, cho thấy mức độ tổn hại nghiêm trọng và những nguy cơ tiềm ẩn mà các cơ sở y tế hiện đại đang phải đối mặt.
Dữ liệu cá nhân và y tế bị đánh cắp
Theo thông tin từ phía TTUHSC, các tin tặc đã truy cập trái phép vào hệ thống lưu trữ thông tin tại 2 cơ sở lớn của bệnh viện trung tâm. Các loại thông tin bị lộ bao gồm:
- Thông tin nhận dạng cá nhân (PII): Họ tên, ngày sinh, địa chỉ, số an sinh xã hội, số giấy phép lái xe hoặc mã định danh chính phủ.
- Thông tin tài chính: Số tài khoản ngân hàng và các dữ liệu liên quan.
- Thông tin y tế nhạy cảm: Số hồ sơ bệnh án, dữ liệu thanh toán – yêu cầu bảo hiểm, chẩn đoán và kế hoạch điều trị.
Cảnh báo và điều tra nội bộ
Vụ việc được phát hiện sau khi hệ thống và ứng dụng tại TTUHSC bị gián đoạn bất thường vào tháng 9/2024. Ngay sau đó, trung tâm đã tiến hành điều tra và thông báo tới các cá nhân có thể bị ảnh hưởng. Tuy nhiên, các chi tiết cụ thể về đối tượng tấn công và phương thức xâm nhập vẫn chưa được công bố rộng rãi.
Hệ lụy nặng nề và nguy cơ lan rộng
Vụ tấn công này không chỉ gây ảnh hưởng trực tiếp đến hàng triệu bệnh nhân, mà còn làm dấy lên những lo ngại lớn về an toàn dữ liệu trong ngành chăm sóc sức khỏe – vốn đang là mục tiêu hàng đầu của các nhóm tin tặc do lượng dữ liệu nhạy cảm khổng lồ mà ngành này lưu trữ. Các rủi ro có thể xảy ra như:
- Đánh cắp danh tính cá nhân, từ đó lừa đảo, tống tiền
- Lừa đảo tài chính qua thông tin ngân hàng
- Gian lận y tế và bảo hiểm
- …
Sự cố tại TTUHSC lần này là minh chứng để nói rằng các tổ chức y tế cần đầu tư nghiêm túc vào hệ thống phòng thủ mạng, thay vì chỉ tập trung vào vận hành khám chữa bệnh.
Bài học từ vụ việc: Cần các giải pháp bảo mật mạnh mẽ hơn
Triển khai xác thực đa yếu tố (MFA) dựa trên phần cứng
Xác thực đa yếu tố (MFA) truyền thống đã lỗi thời, việc sử dụng các công cụ bảo mật như YubiKey – thiết bị xác thực phần cứng chống phishing được xem là giải pháp hiệu quả nhất để ngăn chặn việc chiếm đoạt tài khoản và lây nhiễm ransomware. Cả nhân viên y tế và bệnh nhân khi truy cập cổng thông tin cần được xác thực qua nhiều bước để bảo vệ dữ liệu tốt hơn.
Theo định nghĩa của Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140-2 và NIST SP 800-63B, chỉ có hai công nghệ xác thực đáp ứng yêu cầu này:
- Tiêu chuẩn Xác minh danh tính cá nhân (PIV)/SmartCard của chính phủ liên bang
- Tiêu chuẩn FIDO2/WebAuthn hiện đại
Thiết lập chiến lược bảo mật toàn diện
Một hệ thống an ninh mạng hiệu quả cần bao gồm:
- Kiểm toán định kỳ và đánh giá lỗ hổng bảo mật
- Đào tạo nhân viên về nhận diện lừa đảo (phishing), ransomware và các hình thức tấn công xã hội
- Lập kế hoạch ứng phó sự cố và khôi phục hệ thống
- Mã hóa dữ liệu y tế cả khi lưu trữ lẫn truyền tải
Tuân thủ nghiêm ngặt các quy định bảo mật
Tại Mỹ, Đạo luật HIPAA quy định nghiêm ngặt về bảo mật thông tin y tế cá nhân (PHI). Việc không tuân thủ có thể dẫn đến phạt hành chính nặng hoặc kiện tụng tập thể. Những công cụ bảo mật như Yubico có thể giúp tổ chức đảm bảo xác thực mạnh mẽ và kiểm soát truy cập, hỗ trợ tuân thủ các quy định như HIPAA, GDPR và NIST.
Đã đến lúc ngành y tế thay đổi cách nhìn về an ninh mạng
Vụ việc tại TTUHSC là lời cảnh báo rõ ràng rằng hệ thống y tế không còn “miễn nhiễm” trước tội phạm mạng. Khi dữ liệu trở thành tài sản quý giá, thì việc bảo vệ nó phải là ưu tiên số một. Trong toàn bộ ngành chăm sóc sức khỏe, các tổ chức cần các giải pháp có thể cung cấp khả năng bảo mật hiện đại, giúp chuyển đổi sang MFA an toàn hơn, chống lừa đảo và quy trình làm việc không cần mật khẩu để có trải nghiệm người dùng tốt hơn và hiệu quả tổng thể.
YubiKey đa giao thức với hỗ trợ cho các giao thức xác thực SmartCard/PIV và FIDO2, cung cấp MFA chống lừa đảo và không cần mật khẩu hiện đại với trải nghiệm người dùng đặc biệt trong một dạng thức di động. Với YubiKey, các tổ chức chăm sóc sức khỏe có thể đảm bảo rằng nhân viên, nhà thầu và khách hàng cuối luôn được bảo vệ khỏi các mối đe dọa mạng hiện đại.
