Chuyển đổi số

Thách thức trong bảo vệ dữ liệu cá nhân ngành y tế

DNVN - Ngành y tế đang đối mặt với nguy cơ tấn công mạng ngày càng gia tăng, đe dọa trực tiếp đến dữ liệu cá nhân nhạy cảm của bệnh nhân và toàn bộ hoạt động khám chữa bệnh. Trước hành lang pháp lý ngày một hoàn thiện, việc tuân thủ quy định an toàn và thiết lập hệ thống phòng thủ vững chắc là yêu cầu bắt buộc của các cơ sở y tế trong kỷ nguyên số.

Khoe “thẻ xanh COVID” lên mạng xã hội: Nguy cơ bị đánh cắp dữ liệu cá nhân / Dữ liệu cá nhân trong trường hợp nào được xử lý mà không cần sự đồng ý của chủ thể?

Chia sẻ tại hội thảo trực tuyến mang chủ đề "An toàn thông tin ngành y tế từ tuân thủ pháp lý đến nâng cao năng lực ứng cứu sự cố" do Viettel Cyber Security tổ chức, các chuyên gia cho biết tội phạm mạng đang hoạt động chuyên nghiệp như những doanh nghiệp thực thụ, với quy mô lớn và thậm chí sử dụng trí tuệ nhân tạo (AI) để tự động hóa các chiến dịch lừa đảo.

Việc bảo vệ dữ liệu cá nhân tại các cơ sở y tế là vô cùng quan trọng. Ảnh minh họa.

Việc bảo vệ dữ liệu cá nhân tại các cơ sở y tế là vô cùng quan trọng. Ảnh minh họa.

Ngành y tế đã chứng kiến những hậu quả tàn khốc từ thực trạng này, điển hình là vụ rò rỉ 7 triệu hồ sơ vào năm 2023 của công ty 23andMe. Hacker đã khai thác thông tin khách hàng thông qua tính năng kết nối người thân của công ty xét nghiệm gen nổi tiếng này. Dữ liệu bị đánh cắp bao gồm thông tin cá nhân, tổ tiên, chủng tộc và các dấu hiệu sức khỏe nhạy cảm. Hay cuộc tấn công mã độc tống tiền vào tổ chức Change Healthcare tại Mỹ gây thiệt hại ước tính lên đến 1 tỷ USD, ảnh hưởng đến dữ liệu của khoảng 100 triệu người.

Đối với ngành y tế, mỗi sự cố an ninh mạng không chỉ gây thất thoát dữ liệu mà còn ảnh hưởng đến hoạt động khám, chữa bệnh và đặc biệt là có thể gây ảnh hưởng tới sự an toàn của mỗi bệnh nhân. Chưa kể, việc bị lộ lọt dữ liệu sẽ khiến các cơ sở y tế tốn chi phí, mất thời gian để khôi phục lại hệ thống, kéo theo là nguy cơ khủng hoảng truyền thông, gây mất uy tín cho cơ sở y tế.

Trước bối cảnh đó, hệ thống pháp luật Việt Nam đang ngày càng hoàn thiện và siết chặt các quy định nhằm bảo vệ dữ liệu như Luật Bảo vệ dữ liệu cá nhân, Luật Dữ liệu, Nghị định số 13/2023/NĐ-CP, Luật Khám bệnh, chữa bệnh… Dữ liệu y tế liên quan tới cá nhân gồm hồ sơ bệnh án và thông tin di truyền, hồ sơ lịch sử khám chữa bệnh… được pháp luật xếp vào nhóm dữ liệu cá nhân nhạy cảm. Luật Bảo vệ dữ liệu cá nhân yêu cầu các cơ sở y tế buộc phải thông báo và lấy sự đồng ý của bệnh nhân trước khi xử lý dữ liệu. Đồng thời, các đơn vị xử lý dữ liệu y tế của cá nhân phải thiết lập, lưu trữ và nộp hồ sơ đánh giá tác động xử lý dữ liệu lên cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ khi bắt đầu xử lý.

Chế tài xử phạt đối với các vi phạm là vô cùng nghiêm khắc, có thể lên tới 5% doanh thu của năm trước liền kề đối với hành vi chuyển dữ liệu xuyên biên giới trái phép, hoặc mức tối đa 3 tỷ đồng đối với các vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân.

 

Bất chấp các quy định nghiêm ngặt, nhiều bệnh viện vẫn gặp khó khăn do phải vận hành những hệ thống cũ lâu năm, khó cập nhật bảo mật và thiếu hụt nhân sự chuyên môn cao về an toàn thông tin.

Để giải quyết bài toán này, các chuyên gia đề xuất một loạt biện pháp toàn diện. Đối với những hệ thống không thể thay thế ngay, cần nâng cấp, bệnh viện cần quy hoạch, phân vùng mạng riêng biệt để cách ly hệ thống cũ, kết hợp sử dụng tường lửa nhằm kiểm soát chặt chẽ mọi truy cập. Bên cạnh đó, việc chủ động thực hiện sao lưu dự phòng dữ liệu theo quy tắc là vô cùng cần thiết để đảm bảo khả năng khôi phục hệ thống nhanh chóng, duy trì hoạt động khám chữa bệnh ngay cả khi xảy ra sự cố mạng.

Song song với hạ tầng, các cơ sở y tế cũng cần chú trọng thực hiện kiểm tra, đánh giá an toàn thông tin định kỳ để nhận diện và quản lý các lỗ hổng đang tồn tại. Đặc biệt, vì con người luôn là điểm yếu dễ bị khai thác nhất, việc đào tạo nâng cao nhận thức bảo mật cho đội ngũ y bác sĩ được xem là lớp phòng thủ đầu tiên và cần được ưu tiên hàng đầu.

 

Cuối cùng, thay vì tự xây dựng lực lượng chuyên trách vô cùng tốn kém, các cơ sở y tế có thể hợp tác với các đối tác chuyên nghiệp để triển khai dịch vụ giám sát an toàn thông tin 24/7 (Trung tâm điều hành an toàn thông tin SOC), giúp phát hiện và ngăn chặn sớm các mối đe dọa ngay khi chúng mới xâm nhập vào hệ thống.

Hiền Thảo
 

End of content

Không có tin nào tiếp theo

Cột tin quảng cáo

Có thể bạn quan tâm