Ít nhất 5 bệnh viện tại Bỉ đã bị rò rỉ dữ liệu cá nhân sau một vụ tấn công mạng nhằm vào nhà cung cấp phần mềm đăng ký bệnh nhân trực tuyến.

Theo báo cáo do công ty an ninh mạng Secutec công bố, sự cố này đã khiến thông tin của khoảng 71.000 bệnh nhân và nhân viên y tế bị phát tán trên mạng, làm dấy lên lo ngại nghiêm trọng về mức độ an toàn của dữ liệu y tế.

Vụ việc được phát hiện sau khi bệnh viện AZ Monica, tại thành phố Antwerp, hứng chịu một cuộc tấn công mạng hôm 13/1. Sự cố đã khiến hệ thống công nghệ thông tin của bệnh viện bị tê liệt trong nhiều giờ, buộc ban lãnh đạo phải hoãn một loạt ca phẫu thuật và tạm thời ngắt kết nối các máy chủ tại hai cơ sở Deurne và Antwerp để hạn chế thiệt hại.

Qua điều tra, Secutec xác định rằng không chỉ riêng AZ Monica bị ảnh hưởng. Ít nhất 4 bệnh viện khác, cùng sử dụng phần mềm của nhà cung cấp nói trên, cũng rơi vào tình trạng rò rỉ dữ liệu tương tự.

Các thông tin bị lộ bao gồm họ tên, địa chỉ và số định danh quốc gia - những dữ liệu đặc biệt nhạy cảm có thể bị lợi dụng cho nhiều mục đích trái phép. Dù chưa xác định được thời điểm chính xác dữ liệu bị đánh cắp, các chuyên gia nhận định đây là vụ rò rỉ mới xảy ra. Danh tính các bệnh viện liên quan hiện chưa được công bố.

Đáng chú ý, trong quá trình mở rộng điều tra, Secutec còn phát hiện thêm một vụ rò rỉ dữ liệu khác tại một nhà cung cấp dịch vụ công nghệ thông tin lớn, làm lộ khoảng 1.000 thông tin đăng nhập của các cơ quan nhà nước và doanh nghiệp tại Bỉ.

Theo ông Geert Baudewijns, đại diện Secutec, sự cố lần này cho thấy các bệnh viện dù đã đầu tư mạnh cho an ninh mạng nội bộ vẫn có thể trở thành nạn nhân nếu các đối tác công nghệ không đảm bảo tiêu chuẩn an toàn.

Ông Baudewijns cảnh báo rằng các nhà cung cấp dịch vụ bên thứ ba cũng có thể bị tin tặc tấn công hoặc mắc sai sót trong quản lý, từ đó trở thành mắt xích yếu gây rủi ro lớn cho toàn bộ hệ thống.

Ông nhấn mạnh đây chính là lý do Liên minh châu Âu (EU) ban hành Chỉ thị NIS2, yêu cầu các tổ chức thiết yếu, trong đó có bệnh viện, phải tiến hành kiểm toán an ninh mạng nghiêm ngặt đối với các đối tác công nghệ. Tuy nhiên, trên thực tế, một số cơ sở y tế tại Bỉ vẫn chưa thực hiện đầy đủ các yêu cầu này.

Các chuyên gia an ninh mạng cũng đặc biệt nhấn mạnh vai trò của xác thực hai yếu tố (2FA) - phương thức yêu cầu người dùng xác nhận đăng nhập qua một thiết bị hoặc kênh thứ hai. Biện pháp này có thể ngăn chặn hiệu quả việc truy cập trái phép, ngay cả khi mật khẩu bị đánh cắp.

Hiện Secutec đã chuyển toàn bộ kết quả điều tra cho Trung tâm An ninh mạng quốc gia Bỉ để phối hợp xử lý và đánh giá mức độ ảnh hưởng của vụ việc.

Sự cố lần này được xem là lời cảnh báo nghiêm khắc đối với hệ thống y tế, trong bối cảnh các bệnh viện ngày càng phụ thuộc vào công nghệ số, còn tin tặc thì không ngừng tìm kiếm những lỗ hổng từ chính các đối tác bên ngoài./.

