Crystal Palace
Trong thời gian gần đây, các cơ sở y tế trọng điểm tại Việt Nam liên tiếp trở thành mục tiêu của các cuộc tấn công mạng tinh vi, gây gián đoạn hoạt động và làm rò rỉ lượng lớn dữ liệu cá nhân bệnh nhân. Tình trạng này không chỉ ảnh hưởng nghiêm trọng đến hệ thống quản lý thông tin y tế mà còn đe dọa quyền riêng tư và an toàn dữ liệu của người dân. Nhiều hồ sơ y tế, thông tin cá nhân cùng tài chính đã bị hacker chiếm đoạt, sau đó rao bán trên các diễn đàn bất hợp pháp, tạo ra làn sóng lo ngại trong cộng đồng và giới chức quản lý.
Tại một hội nghị chuyên ngành về an ninh mạng vừa diễn ra ở Hà Nội, các chuyên gia nhấn mạnh sự gia tăng nhanh chóng về số lượng cũng như tính chất phức tạp của các vụ tấn công mạng nhằm vào những tổ chức trọng yếu, trong đó hệ thống y tế là một trong những mục tiêu hàng đầu. Đã có những trường hợp cụ thể như Bệnh viện Đa khoa Trung tâm tỉnh An Giang bị mã hóa toàn bộ hệ thống dữ liệu do tin tặc xâm nhập máy chủ ảo hóa, dẫn tới tình trạng tê liệt toàn bộ hoạt động khám chữa bệnh tại đây.
Bên cạnh đó, tháng 3 năm 2024, một loạt địa chỉ IP giả mạo từ nước ngoài đã tiến hành tấn công vào hệ thống đăng ký khám bệnh trực tuyến của một bệnh viện chuyên khoa tim tại Thành phố Hồ Chí Minh. Hậu quả khiến bệnh viện phải ngưng sử dụng dịch vụ này để chuyển sang vận hành hệ thống dự phòng nhằm duy trì hoạt động.
Sự việc ngày càng nghiêm trọng khi vào tháng 6 năm 2024, theo thông tin rò rỉ từ các diễn đàn tội phạm mạng, hơn 112.000 hồ sơ của bệnh nhân cùng cán bộ y tế tại một bệnh viện đa khoa tư nhân lớn bị rao bán công khai. Các dữ liệu bị lộ bao gồm tên tuổi, số điện thoại liên lạc, hồ sơ điều trị và thậm chí cả thông tin tài chính cá nhân. Trước đó không lâu, một bệnh viện thuộc Đại học Y Dược tại TP.HCM cũng gặp phải sự cố tương tự với việc lộ danh sách nhân sự và hơn 50 máy chủ quan trọng trên mạng.
Một vụ việc đáng chú ý khác xảy ra vào tháng 10 năm 2024 khi hệ thống mạng của Bệnh viện Đa khoa Đức Giang bị mã hóa tổng cộng chín máy chủ chính. Kết quả là bệnh viện mất đi lượng lớn dữ liệu quan trọng và trải qua thời gian dài bị tê liệt các dịch vụ kỹ thuật số hỗ trợ khám chữa bệnh.
Đáng chú ý nhất là sự cố tại Trung tâm điều trị theo yêu cầu và quốc tế thuộc Bệnh viện Trung ương Huế vào tháng 1 năm 2025. Hacker đã mã hóa hơn 500GB dữ liệu quản lý bệnh viện HIS và đưa ra yêu cầu chuộc tiền mới giải mã được thông tin. Vụ việc này không chỉ làm gián đoạn quy trình quản lý nội bộ mà còn đặt ra dấu hỏi lớn về khả năng bảo mật của các hệ thống y tế hiện nay.
Các chuyên gia an ninh mạng phân tích rằng bên cạnh nguy cơ từ các hacker bên ngoài, những thiếu sót trong nhận thức và kỹ năng an ninh mạng của đội ngũ nhân viên y tế cũng góp phần làm tăng mức độ tổn thương cho hệ thống. Rất nhiều cơ sở khám chữa bệnh chưa thực hiện đầy đủ những biện pháp bảo vệ theo quy định về an toàn thông tin đến từ cả khía cạnh quản lý lẫn kỹ thuật.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
Thượng tá Lê Xuân Thủy – Giám đốc Trung tâm An ninh mạng Quốc gia thuộc Bộ Công an – cho biết gần đây có ít nhất một bệnh viện tại Việt Nam phải gửi lời cầu cứu do bị hacker uy hiếp sẽ công bố công khai thông tin cá nhân và lịch sử khám chữa bệnh của bệnh nhân trên Internet. Ông nhấn mạnh rằng chẳng có người bệnh nào muốn đời tư của mình bị phơi bày rộng rãi như vậy vì điều đó không chỉ làm tổn hại trực tiếp đến cá nhân mà còn ảnh hưởng xấu tới cộng đồng xã hội.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
Theo ông Thủy, vấn đề nằm ở chỗ mặc dù bệnh viện đã nhận diện được nguy cơ nhưng chưa có khuôn khổ pháp luật cụ thể nào bắt buộc họ phải chú trọng đúng mức đến an toàn dữ liệu. Trong sáu tháng đầu năm 2025, xu hướng mã hóa dữ liệu để tống tiền đã lan rộng sang nhiều lĩnh vực khác nhau như năng lượng, y tế, hành chính nhà nước và truyền thông báo chí.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
Trước thực trạng này, việc xây dựng Tiêu chuẩn quốc gia về an ninh mạng TCVN 14423:2025 được đánh giá là bước ngoặt quan trọng trong công tác quản lý nhà nước nhằm hướng dẫn và bảo vệ hiệu quả các hệ thống thông tin quan trọng. Theo chuyên gia Lê Xuân Thủy, tiêu chuẩn này không chỉ là công cụ kiểm tra mà còn mang tính định hướng chiến lược giúp tổ chức nâng cao khả năng phòng chống nguy cơ mất an toàn.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
Ông Thủy chia sẻ nhiều đơn vị vẫn còn lúng túng vì không biết bắt đầu cải thiện an ninh mạng từ đâu. Các doanh nghiệp lớn trong ngành viễn thông có thể lấy kinh nghiệm từ mô hình thế giới nhưng đối với nhiều cơ quan nhỏ hơn thì cần có một tiêu chuẩn rõ ràng phù hợp với đặc thù Việt Nam để áp dụng dần dần. Tiêu chuẩn mới được xây dựng nhằm hỗ trợ quá trình nâng cao độ trưởng thành về mặt bảo mật công nghệ thông tin một cách linh hoạt.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
Mặc dù TCVN 14423:2025 hiện chưa mang tính bắt buộc mà được ban hành dưới dạng tiêu chuẩn để tạo điều kiện cho tổ chức thích ứng từng bước nhưng ông Thủy khẳng định đối với những đơn vị lưu trữ lượng lớn dữ liệu cá nhân hoặc có ảnh hưởng xã hội sâu rộng thì việc tuân thủ sẽ sớm trở thành quy định bắt buộc đi kèm chế tài rõ ràng.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
Việc ban hành tiêu chuẩn quốc gia về an ninh mạng không chỉ nâng cao khía cạnh kỹ thuật mà còn góp phần xây dựng hành lang pháp lý vững chắc giúp các tổ chức chủ động bảo vệ hệ thống của mình. Điều này đồng thời củng cố vai trò quản lý nhà nước trong việc bảo vệ chủ quyền quốc gia trên không gian số giữa bối cảnh tội phạm mạng ngày càng tinh vi và phức tạp hơn.
Tội phạm mạng nhắm đến các cơ quan trọng yếu, trong đó có y tế.
