- Hai cuộc tấn công bằng ransomware gần đây đã làm tê liệt hệ thống máy tính của hai bệnh viện chăm sóc sức khỏe lớn của Mỹ, làm gián đoạn quá trình chăm sóc bệnh nhân và bộc lộ những điểm yếu cơ bản trong “hàng rào” bảo vệ hệ thống chăm sóc sức khỏe của Mỹ trước tin tặc.
Trong cả hai vụ tấn công, các quan chức liên bang và các chuyên gia mạng tư nhân đều cố gắng hạn chế thiệt hại và đưa hệ thống máy tính kết nối mạng trở lại. Nhưng tác động lan rộng từ các vụ hack, với việc xe cấp cứu phải chuyển hướng khỏi bệnh viện và nhà thuốc không thể xử lý bảo hiểm, đã khiến một số nhà lập pháp Mỹ, các quan chức cấp cao trong chính quyền của Tổng thống Joe Biden và các chuyên gia chính sách nhấn mạnh rằng hệ thống chăm sóc sức khỏe chưa được chuẩn bị tốt cho những ảnh hưởng lan rộng của một cuộc tấn công mạng và cần có các quy định an ninh mới. Theo một số chuyên gia, khi nói đến vấn đề an ninh, bảo mật công nghệ thông tin, hệ thống chăm sóc sức khỏe y tế đang tụt hậu so với các ngành khác như các tổ chức tài chính lớn và các nhà cung cấp năng lượng.
Ông Joshua Corman, một chuyên gia an ninh mạng chuyên về lĩnh vực y tế trong nhiều năm, đã nói với CNN rằng: “Ngành y tế đã đòi hỏi thành công việc có được hệ thống an ninh mạng miễn phí trong nhiều năm – và đây là những gì chúng ta nhận được”.
Thượng nghị sĩ Ron Wyden - Đảng viên Đảng Dân chủ Oregon đồng thời cũng là Chủ tịch Ủy ban Tài chính của Thượng viện, đã nói với CNN rằng “tất cả các vụ hack gây tổn hại đều đặt ra nhu cầu về các tiêu chuẩn an ninh mạng bắt buộc trong lĩnh vực chăm sóc sức khỏe, đặc biệt là khi nói đến các bệnh viện lớn nhất mà hàng triệu bệnh nhân phụ thuộc vào để được chăm sóc y tế và cấp thuốc.”
Thượng nghị sĩ Wyden nhấn mạnh, nếu không có hành động, “quyền tiếp cận của bệnh nhân với dịch vụ chăm sóc và thông tin sức khỏe cá nhân của họ sẽ bị tin tặc xâm phạm và đòi tiền chuộc hết lần này đến lần khác”.
Theo một thống kê từ công ty an ninh mạng Emsisoft, vào năm 2023, 46 hệ thống bệnh viện ở Mỹ, bao gồm 141 bệnh viện, đã bị ảnh hưởng bởi mã độc tống tiền ransomware. Công ty Emsisoft cho hay, con số này tăng từ 25 hệ thống bệnh viện bị mã độc ransomware tấn công vào năm 2022.
Hai cuộc tấn công bằng mã độc tống tiền ransomware đã nhằm vào các nhánh khác nhau của hệ thống chăm sóc sức khỏe. Vào tháng 2, tội phạm mạng đã đột nhập vào một máy chủ không được bảo mật được sử dụng bởi Change Healthcare, một gã khổng lồ về thanh toán bảo hiểm xử lý khoảng 15 tỷ giao dịch chăm sóc sức khỏe hàng năm. Vụ hack đã cắt đứt nguồn doanh thu hàng tỷ USD của các nhà cung cấp dịch vụ chăm sóc sức khỏe, làm gián đoạn dịch vụ tại các hiệu thuốc trên khắp nước Mỹ và có thể đã xâm phạm dữ liệu cá nhân của 1/3 người Mỹ.
Vào đầu tháng 5, tội phạm mạng đã sử dụng một loại mã độc ransomware khác trong cuộc tấn công vào Ascension, một mạng lưới y tế phi lợi nhuận có trụ sở tại St. Louis, bao gồm 140 bệnh viện và 40 cơ sở sinh hoạt dành cho người cao tuổi ở 19 tiểu bang. Vụ hack buộc mạng lưới y tế phải chuyển hướng xe cứu thương khỏi một số bệnh viện.
Chính quyền Tổng thống Biden đang chuẩn bị ban hành các yêu cầu an ninh mạng tối thiểu đối với các bệnh viện của Mỹ, giới chức mạng cấp cao của Nhà Trắng Anne Neuberger vừa xác nhận trong tháng này. Các chi tiết của đề xuất đó vẫn chưa được hoàn thiện. Tuy nhiên, Hiệp hội Bệnh viện Mỹ - đại diện cho các bệnh viện trên khắp nước Mỹ, phản đối đề xuất này, cho rằng nó sẽ khiến nạn nhân của các cuộc tấn công mạng trên thực tế tiếp tục trở thành nạn nhân khi phải hứng chịu các hình phạt sau khi họ bị tấn công.
Các quan chức của Bộ Y tế và Dịch vụ Nhân sinh trước đây cho biết họ sẵn sàng sử dụng một số biện pháp, bao gồm cả việc phạt tiền, để buộc và khuyến khích các tổ chức chăm sóc sức khỏe bảo mật hệ thống của họ tốt hơn.
Động lực cũng đang gia tăng ở Quốc hội Mỹ (Capitol Hill) để buộc các tổ chức chăm sóc sức khỏe phải đáp ứng các tiêu chuẩn an ninh mạng cơ bản.