Việc số hóa các dịch vụ chăm sóc sức khỏe đã tạo ra những cơ hội và thách thức. Việc chăm sóc sức khỏe ngày càng phụ thuộc vào các công nghệ được kết nối với Internet: từ hồ sơ bệnh nhân,áchthứcrủiroanninhmạngđốivớingànhytếgiải đức hạng 2 kết quả xét nghiệm đến thiết bị X quang và thậm chí cả hệ thống thang máy, camera,... trong bệnh viện. Điều đó tốt cho việc chăm sóc bệnh nhân vì nó tạo điều kiện thuận lợi cho việc tích hợp dữ liệu, sự tham gia của bệnh nhân trong quá trình trị bệnh (có thể hiểu là việc bệnh nhân tích cực tham gia vào quá trình chăm sóc sức khỏe của chính họ) và hỗ trợ lâm sàng, cận lâm sàng. Mặt khác, những công nghệ đó thường dễ bị tấn công mạng, dữ liệu của bệnh nhân có thể bị lấy cắp, tấn công có chủ đích vào hệ thống thanh toán để khai thác các hình thức trả phí điện tử (qua ví điện tử, thanh toán trực tuyến) hoặc làm gián đoạn hoạt động của bệnh viện cho đến khi trả tiền chuộc cho các dữ liệu đã bị tin tặc mã hóa.

Đa số trường hợp tin tặc sẽ đánh cắp thông tin bệnh nhân và mã hóa nó để đòi tiền chuộc. Vấn đề lớn ở đây là sự kết nối lẫn nhau trên môi trường mạng, mỗi ứng dụng hoặc thiết bị chạy trên mạng đều có thể là điểm xâm nhập cho một cuộc tấn công mạng. Cho đến nay, hầu hết các tin tặc đã chọn phương pháp lây nhiễm mã độc tống tiền (ransomware) vào phần mềm bệnh viện để ngăn nhân viên truy cập hồ sơ bệnh nhân hoặc lên lịch hẹn. Thậm chí trong một số trường hợp, tin tặc có thể coi là khủng bố, không những vô hiệu hóa các thiết bị y tế đang hoạt động mà còn gây ra hậu quả nghiêm trọng đối với sức khỏe bệnh nhân.

Đã có hàng chục ngàn dữ liệu bệnh nhân đã bị xâm nhập và copy mang ra ngoài từ các cơ sở y tế

Tại Việt Nam, không có thống kê nào trong lĩnh vực này một cách chính thức. Còn về quy định, chế tài xử lý việc rò rỉ thông tin thì ngoài Luật Y tế số 40/2009/QH12, Thông tư 14/2015/TT-BYT của Bộ Y tế hay quy định của Bộ Thông tin và Truyền thông về bảo vệ dữ liệu và thông tin trên mạng thì cũng chưa có một đạo luật hay quy định nào liên quan đến bảo vệ thông tin/dữ liệu của bệnh nhân ngoại trừ nguyên tắc trong hành nghề khám chữa bệnh được quy định trong Luật khám chữa bệnh 2009 về tôn trọng bí mật riêng tư của bệnh nhân.

Vì vậy không có tiêu chuẩn hay các quy định về việc nếu vi phạm gây mất mát, rò rỉ dữ liệu bệnh nhân thì sẽ bị phạt ra sao đối với các cơ sở, đơn vị cung cấp dịch vụ chăm sóc sức khỏe trong ngành Y tế.

Chính vì vậy, rủi ro trong lĩnh vực y tế cần được nhìn nhận thực tế rằng đây là lĩnh vực sẽ luôn là mối quan tâm yêu thích hàng đầu của tin tặc. Vì vậy điều mà các đơn vị trong ngành cũng như các nhà cung cấp thứ ba trong chuỗi/mạng lưới y tế cần làm ngay bao gồm hàng loạt vấn đề như sau.

Rà soát định kỳ vấn đề bảo mật, rà quét nhằm phát hiện các lỗ hổng,… cho các thiết bị, hệ thống phần mềm, quy trình và phân quyền truy cập hệ thống (Đánh giá bảo mật Penetration Testing hoặc Pentest as a Service nhằm tối ưu hệ thống với chi phí hợp lý).

Xây dựng và tuân thủ các quy định về truy cập hệ thống chặt chẽ. Đào tạo nhận thức, rủi ro về an ninh mạng không chỉ cho bộ phận công nghệ thông tin mà là toàn bộ nhân sự trong hệ thống.

Bên cạnh đó, cần cập nhật phần mềm, sao lưu các dữ liệu quan trọng. Xây dựng ngân sách và thuê đơn vị quản trị an toàn thông tin uy tín giám sát truy cập hệ thống (SOC - Security Operation Center).

Nâng cao năng lực phòng vệ của đội ngũ công nghệ thông tin bằng các hoạt động diễn tập thực chiến. (Red Team, Incident Response).

Và điều quan trọng hơn cả là việc xây dựng một lộ trình an toàn thông tin cho toàn bộ hệ thống. Không chỉ năng lực về chuyên môn của đội ngũ khám chữa bệnh mà năng lực và tính an toàn của toàn bộ hệ thống công nghệ thông tin trong cơ sở cũng cần song hành để tạo sự yên tâm, niềm tin của bệnh nhân và đội ngũ y tế. Thay đổi về nhận thức tầm quan trọng của đội ngũ lãnh đạo sẽ tác động to lớn đến chất lượng và tính bảo mật của dữ liệu ngành Y tế.

Bảo Linh

(责任编辑：World Cup)