Liên tục trong thời gian vừa qua, nhiều bệnh viện đã bị tấn công mạng, không chỉ gây gián đoạn hoạt động mà còn dẫn đến rò rỉ dữ liệu, ảnh hưởng đến quyền riêng tư và thậm chí đe dọa tính mạng bệnh nhân.
Tội phạm mạng nhắm đến các cơ quan, tổ chức trọng yếu, trong đó có y tế.
Tại tọa đàm về nhu cầu và tổ chức đào tạo an ninh mạng tại Việt Nam do Viện An ninh phi truyền thống, Trường Quản trị và Kinh doanh - Đại học Quốc gia Hà Nội tổ chức mới đây, các chuyên gia cho rằng sử dụng không gian mạng để thực hiện các hành vi phạm tội gia tăng cả về số vụ, tính chất, mức độ nghiêm trọng và bằng nhiều phương thức, thủ đoạn tinh vi, khiến nhiều nạn nhân bị chiếm đoạt số tiền rất lớn.
Tội phạm mạng nhắm đến các cơ quan, tổ chức trọng yếu, trong đó có y tế. Theo báo cáo tại Việt Nam, các vụ tấn công mạng vào hệ thống y tế đã xảy ra tại Bệnh viện Đa khoa Trung tâm tỉnh An Giang, hệ thống máy chủ ảo hóa của bệnh viện bị tin tặc tấn công mạng làm cho toàn bộ dữ liệu bị mã hóa, hệ thống bị ngưng trệ, không thể hoạt động.
Tháng 3/2024, một số IP ảo nước ngoài tấn công vào website lấy số khám bệnh trực tuyến của Bệnh viện Tim TPHCM khiến bệnh viện phải đóng hệ thống lấy số để khắc phục và chạy hệ thống dự phòng.
Theo thông tin từ diễn đàn tội phạm mạng, tháng 6/2024 tin tặc đã rao bán thông tin 112.000 hồ sơ của bệnh nhân và nhân viên y tế của Bệnh viện Đa khoa Hồng Ngọc bao gồm tên, thông tin liên lạc, hồ sơ y tế và thông tin tài chính. Chưa dừng lại ở đó, bệnh viện Đại học Y Dược TPHCM bị lộ thông tin trên mạng về nhân sự, danh sách hơn 50 máy chủ…
Tháng 10/2024 tin tặc đã tấn công vào hệ thống mạng của Bệnh viện Đa khoa Đức Giang và mã hóa tổng cộng 9 máy chủ, khiến bệnh viện mất lượng dữ liệu lớn, hệ thống bệnh viện bị tê liệt.
Tháng 1/2025, hệ thống quản lý bệnh viện HIS tại Trung tâm điều trị theo yêu cầu và quốc tế Bệnh viện Trung ương Huế bị tấn công mã hóa hơn 500GB dữ liệu và yêu cầu trả tiền để được giải mã dữ liệu.
Theo phân tích của các chuyên gia, những rủi ro này không chỉ đến từ bên ngoài mà còn từ nhận thức hạn chế của nhân viên y tế về an ninh mạng.
Nhiều cơ sở khám, chữa bệnh chưa triển khai đầy đủ các biện pháp bảo đảm an toàn thông tin theo quy định gồm các biện pháp quản lý và biện pháp kỹ thuật quy định.
Thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng Quốc gia (A05), Bộ Công an cho hay, mới đây, một bệnh viện tại Việt Nam đã phải 'cầu cứu' vì bị hacker tấn công, đe dọa công khai dữ liệu bệnh nhân và lịch sử khám chữa bệnh trên mạng Internet.
“Không bệnh nhân nào muốn đời tư của mình bị tung lên mạng. Điều này ảnh hưởng trực tiếp đến cộng đồng. Vấn đề là không phải bệnh viện không nhìn thấy rủi ro đó, mà là chưa có quy phạm pháp luật nào điều chỉnh để họ phải quan tâm một cách đúng mực”, ông Lê Xuân Thủy cho hay.
Theo ông Thủy, trong 6 tháng đầu năm 2025, nổi lên xu hướng tấn công mã hóa tống tiền vào các hệ thống thuộc ngành năng lượng, y tế, cơ quan Chính phủ và gần đây là cả các cơ quan thông tấn báo chí.
Từ thực tế này, ông cho rằng việc xây dựng tiêu chuẩn quốc gia về an ninh mạng TCVN 14423:2025 là một bước đi mang tính cốt lõi trong quản lý nhà nước, để vừa định hướng, vừa bảo vệ các hệ thống thông tin quan trọng.
“Tiêu chuẩn không phải chỉ để kiểm tra. Quan trọng hơn, nó định hướng, hướng dẫn và giúp các tổ chức bảo vệ hạ tầng của mình an toàn”, ông Thủy nhấn mạnh.
Theo ông, nhiều tổ chức dù nhận thức được nguy cơ an ninh mạng nhưng lại lúng túng trong việc không biết bắt đầu từ đâu.
Các doanh nghiệp công nghệ lớn như VNPT, MobiFone có thể tham khảo các doanh nghiệp trên toàn cầu để làm. Nhưng với các doanh nghiệp, tổ chức không biết bắt đầu từ đâu thì cần có một tiêu chuẩn rõ ràng, phù hợp với thực tiễn Việt Nam để làm căn cứ áp dụng.
“Chúng tôi đưa ra những quy chuẩn dựa trên những thông tin đảm bảo an toàn nhất, nhưng cũng hiểu rằng không phải tổ chức nào ngay lập tức có thể tuân thủ tất cả những tiêu chuẩn này được. Giống như câu chuyện không phải ai mỗi ngày cũng chạy được 5km để tốt cho sức khỏe. Hy vọng tiêu chuẩn này sẽ là yếu tố giúp các đơn vị tăng mức độ trưởng thành, đảm bảo an ninh mạng”, ông Thủy cho hay.
TCVN 14423:2025 là tiêu chuẩn đầu tiên trong hệ thống các tiêu chuẩn quốc gia về an ninh mạng mà Trung tâm An ninh mạng Quốc gia xây dựng nhằm tiếp tục giúp các cơ quan, tổ chức triển khai toàn diện các biện pháp bảo đảm an ninh mạng.
Trong đó, A05 lựa chọn ban hành dưới dạng “tiêu chuẩn” thay vì “quy chuẩn”, tức chưa mang tính bắt buộc nhằm tạo điều kiện cho tổ chức, doanh nghiệp dần thích nghi, nâng cao năng lực bảo vệ hạ tầng của mình.
Tuy nhiên, với những đơn vị có dữ liệu cá nhân lớn, mức độ ảnh hưởng lớn trong cộng đồng, ông Thủy khẳng định cần có những chế tài mang tính bắt buộc.
“Khi tổ chức được xếp vào mức ảnh hưởng nghiêm trọng hay rất nghiêm trọng, việc áp dụng các tiêu chuẩn sẽ là bắt buộc và có văn bản pháp lý quy định cụ thể”, ông Thủy cho biết.
Việc đưa ra TCVN 14423:2025 không chỉ là một bước tiến về mặt kỹ thuật mà còn thể hiện vai trò của quản lý nhà nước trong việc tạo lập một hành lang pháp lý, giúp các cơ quan, tổ chức chủ động bảo vệ hệ thống, góp phần bảo vệ chủ quyền quốc gia trên không gian mạng.