Bảo mật bệnh án điện tử: Hội thảo an ninh mạng y tế và những cảnh báo không thể bỏ qua

Không chỉ dừng lại ở việc chia sẻ công nghệ, hội thảo đặt ra một câu hỏi lớn cho toàn ngành: khi hệ thống y tế đang số hóa mạnh mẽ, liệu chúng ta đã thực sự sẵn sàng bảo vệ dữ liệu bệnh nhân – một trong những loại dữ liệu nhạy cảm nhất?

NHỮNG CUỘC TẤN CÔNG KHIẾN NGÀNH Y TẾ “THỨC TỈNH”

Phần trình bày mở đầu từ VietSunshine không đi theo hướng lý thuyết, mà bắt đầu bằng những con số và sự kiện thực tế khiến nhiều người phải giật mình. Trong vài năm gần đây, ngành y tế Việt Nam liên tục trở thành mục tiêu của các cuộc tấn công mạng, đặc biệt là ransomware.

Một trong những trường hợp điển hình là sự cố tại Bệnh viện Trung ương Huế vào đầu năm 2025, khi hệ thống HIS bị tấn công, hơn 500GB dữ liệu bị mã hóa và toàn bộ hoạt động phải tạm dừng để xử lý. Không lâu sau đó, Bệnh viện Đa khoa Trung tâm An Giang cũng rơi vào tình trạng tương tự khi toàn bộ hệ thống máy chủ bị khóa, buộc phải quay lại quy trình vận hành thủ công.

Đọc thêm: Phòng chống ransomware với Fortinet

Đến tháng 9/2025, sự cố “sập mạng” tại Bệnh viện Nhân dân Gia Định tiếp tục cho thấy mức độ nghiêm trọng của vấn đề, khi các hoạt động khám chữa bệnh bị gián đoạn diện rộng. Ngay cả những hệ thống tưởng chừng đơn giản như website đặt lịch khám của Bệnh viện Tim TP.HCM cũng không nằm ngoài tầm ngắm của tin tặc.

Điểm chung của những sự cố này không chỉ nằm ở thiệt hại về dữ liệu, mà còn ở tác động trực tiếp đến bệnh nhân – những người chịu ảnh hưởng rõ ràng nhất khi hệ thống y tế bị gián đoạn. Đây chính là lý do khiến bảo mật bệnh án điện tử không còn là vấn đề của riêng IT, mà trở thành ưu tiên chiến lược của toàn bộ bệnh viện.

KHI BẢO MẬT TRỞ THÀNH YÊU CẦU BẮT BUỘC

Bên cạnh các mối đe dọa ngày càng gia tăng, các bệnh viện còn phải đối mặt với áp lực từ hành lang pháp lý. Những quy định mới như Luật An ninh mạng 2025, Thông tư 13 (Thông tư 13/2025/TT-BYT) về bệnh án điện tử hay các quy chuẩn về an toàn hệ thống thông tin đang dần siết chặt yêu cầu đối với hạ tầng CNTT trong y tế.

Theo lộ trình được chia sẻ tại hội thảo, toàn bộ bệnh viện trên cả nước phải hoàn thành triển khai bệnh án điện tử trước cuối năm 2025, và đến năm 2026 sẽ mở rộng ra toàn bộ cơ sở y tế. Xa hơn, giai đoạn 2026–2030 hướng tới việc liên thông dữ liệu y tế trên toàn quốc.

Điều này đồng nghĩa với việc các hệ thống không chỉ cần vận hành ổn định, mà còn phải đảm bảo khả năng bảo mật, lưu trữ, sao lưu và phục hồi dữ liệu một cách toàn diện. Việc tích hợp chữ ký số, kết nối với sổ sức khỏe điện tử và tuân thủ các tiêu chuẩn bảo mật không còn là khuyến nghị, mà là điều kiện bắt buộc.

Đọc thêm: Bảo vệ hệ thống lưu trữ cho lĩnh vực y tế với OPSWAT

TỪ HẠ TẦNG ĐẾN DỮ LIỆU: BÀI TOÁN ĐƯỢC CÁC HÃNG CÔNG NGHỆ GIẢI NHƯ THẾ NÀO?

Một điểm đáng chú ý của hội thảo là sự góp mặt của ba hãng công nghệ lớn, mỗi đơn vị mang đến một góc nhìn khác nhau nhưng cùng hướng tới mục tiêu chung: bảo vệ hệ sinh thái y tế số một cách toàn diện.

Everpure: Khi dữ liệu trở thành trung tâm

Trong phần trình bày của mình, ông Kim Ling Yew - Senior Systems Engineer của Everpure tập trung vào một thực tế ít được chú ý: dữ liệu y tế đang tăng trưởng với tốc độ vượt xa khả năng quản lý của nhiều hệ thống hiện tại. Không chỉ là hồ sơ bệnh án, dữ liệu còn đến từ hình ảnh y khoa, thiết bị IoT và đặc biệt là các ứng dụng AI.

Sự bùng nổ này kéo theo hàng loạt thách thức: dữ liệu phân mảnh, thiếu chuẩn hóa, khó mở rộng và tốn kém chi phí vận hành. Đặc biệt, khi AI được đưa vào sử dụng, các workflow như thu thập dữ liệu, huấn luyện và suy luận càng khiến hạ tầng trở nên phức tạp hơn.

Giải pháp được Everpure đưa ra là một nền tảng dữ liệu hợp nhất, cho phép quản lý đồng thời nhiều loại dữ liệu (block, file, object) trên cùng một hệ thống. Điểm nổi bật nằm ở khả năng tạo snapshot bất biến – một yếu tố quan trọng giúp bảo vệ dữ liệu trước các cuộc tấn công ransomware, đồng thời đảm bảo khả năng khôi phục nhanh khi có sự cố xảy ra.

Fortinet: Bức tranh bảo mật toàn diện cho bệnh viện số

Nếu Everpure giải bài toán dữ liệu, thì ông Lê Hồng Công - Systems Engineer từ Fortinet mang đến một góc nhìn tổng thể hơn về bảo mật trong bệnh viện. Theo đó, môi trường y tế không chỉ có một mà tồn tại đồng thời nhiều “vùng rủi ro” khác nhau, từ thiết bị y tế, hệ thống CNTT đến ứng dụng web và hạ tầng cloud.

Thách thức lớn nhất là phần lớn các bệnh viện chỉ tập trung bảo vệ một phần, trong khi tin tặc lại khai thác những điểm yếu còn lại. Để giải quyết vấn đề này, Fortinet đề xuất mô hình Security Fabric – một kiến trúc bảo mật hợp nhất cho phép quản lý và giám sát toàn bộ hệ thống từ một nền tảng duy nhất.

Một tình huống thực tế được đưa ra đã minh họa rõ điều này: một tài khoản bác sĩ truy cập hàng trăm hồ sơ bệnh án trong thời gian ngắn vào ban đêm – một hành vi bất thường nhưng dễ bị bỏ qua nếu chỉ sử dụng các công cụ truyền thống. Với hệ thống phân tích hành vi, sự cố có thể được phát hiện và xử lý trong vòng vài phút, giảm thiểu rủi ro đáng kể.

Đọc thêm: Fortinet Security Fabric giúp doanh nghiệp vận hành toàn cầu và tăng 20% năng suất

Trellix: Khi phát hiện và phản ứng trở thành yếu tố sống còn

Khép lại phần chia sẻ chuyên môn, ông Trần Đăng Thông - Trưởng phòng Tư vấn của VietSunshine tập trung vào giải pháp phát hiện và phản ứng trước các mối đe dọa của Trellix. Nền tảng XDR mà hãng giới thiệu không chỉ đơn thuần là một công cụ bảo mật, mà là một hệ sinh thái có khả năng kết nối và phân tích dữ liệu từ nhiều nguồn khác nhau.

Điểm mạnh của Trellix nằm ở việc sử dụng AI và machine learning để phát hiện các hành vi bất thường, từ đó đưa ra phản ứng kịp thời. Trong môi trường y tế – nơi dữ liệu di chuyển liên tục giữa nhiều hệ thống – khả năng này trở nên đặc biệt quan trọng.

Ngoài ra, các giải pháp về bảo vệ dữ liệu (DLP) cũng giúp kiểm soát chặt chẽ việc sử dụng thông tin nhạy cảm, ngăn chặn rò rỉ qua các kênh như email, USB hay cloud. Đây là một lớp bảo vệ cần thiết khi dữ liệu bệnh án ngày càng được chia sẻ rộng rãi hơn.

Đọc thêm: Báo cáo an ninh dữ liệu 2025 của Fortinet tiết lộ lỗ hổng của DLP truyền thống

KẾT NỐI VÀ LAN TỎA

Sau những phần trình bày chuyên sâu, không khí hội thảo trở nên nhẹ nhàng hơn với phần giao lưu, trao đổi trực tiếp giữa khách mời và các chuyên gia. Đây là lúc những câu hỏi thực tế được đặt ra và những kinh nghiệm được chia sẻ.

Chương trình khép lại bằng tiệc tối thân mật và hoạt động quay số may mắn, tạo nên một không gian kết nối đúng nghĩa – nơi công nghệ không chỉ được trình bày, mà còn được hiểu và áp dụng.

LỜI KẾT

Hội thảo đã khép lại, nhưng những vấn đề được đặt ra vẫn còn đó. Khi ngành y tế tiếp tục chuyển mình trong kỷ nguyên số, bảo mật bệnh án điện tử sẽ không còn là một dự án ngắn hạn, mà là một hành trình dài đòi hỏi sự đầu tư liên tục. Từ hạ tầng, dữ liệu đến con người, mọi yếu tố đều cần được đồng bộ để xây dựng một hệ thống y tế an toàn, bền vững và đáng tin cậy.

VietSunshine xin gửi lời cảm ơn chân thành đến tất cả khách mời, đối tác và diễn giả đã góp phần tạo nên một sự kiện ý nghĩa. Hẹn gặp lại trong những chương trình tiếp theo, nơi những câu chuyện về công nghệ sẽ tiếp tục được kể, theo cách thiết thực và gần gũi nhất.