Vụ rò rỉ dữ liệu 192,7 triệu hồ sơ của Change Healthcare: Ý nghĩa đối với quyền riêng tư của bệnh nhân

Vụ rò rỉ dữ liệu 192,7 triệu hồ sơ của Change Healthcare: Ý nghĩa đối với quyền riêng tư của bệnh nhân

Những con số này thật khó để hình dung. Năm 2024, một cuộc tấn công ransomware vào Change Healthcare, một trung tâm thanh toán bù trừ xử lý các giao dịch thanh toán và bảo hiểm cho một phần đáng kể của hệ thống y tế Hoa Kỳ, đã dẫn đến việc đánh cắp thông tin cá nhân và sức khỏe của 192,7 triệu người. Vụ rò rỉ dữ liệu y tế duy nhất này hiện là vụ lớn nhất trong lịch sử được ghi nhận, vượt xa mọi sự cố trước đó với một khoảng cách khổng lồ.

Để hình dung, con số đó chiếm hơn một nửa dân số Hoa Kỳ. Nó không đến từ hàng chục sự cố riêng lẻ trong suốt một năm. Nó đến từ một cuộc tấn công, vào một công ty, nằm ở trung tâm của một mạng lưới kết nối chằng chịt các nhà cung cấp dịch vụ y tế, công ty bảo hiểm và bệnh nhân.

Làm thế nào một cuộc tấn công lan tới 192,7 triệu người

Vai trò của Change Healthcare trong hệ thống y tế Hoa Kỳ khiến nó trở thành mục tiêu có giá trị đặc biệt cao. Là một trung tâm thanh toán bù trừ, nó xử lý các yêu cầu bồi thường và giao dịch kết nối hàng ngàn bệnh viện, phòng khám, nhà thuốc và công ty bảo hiểm. Khi kẻ tấn công xâm nhập mạng lưới của họ, chúng không chỉ truy cập dữ liệu của một tổ chức. Chúng đã truy cập vào một kho lưu trữ trung tâm chạm tới một bộ phận khổng lồ của toàn bộ ngành y tế.

Vụ rò rỉ dữ liệu này theo một mô hình phổ biến trong các sự cố ransomware quy mô lớn: kẻ tấn công giành được quyền truy cập ban đầu, di chuyển ngang qua các hệ thống nội bộ, xác định và lấy cắp dữ liệu nhạy cảm, sau đó triển khai ransomware để phá hoại hoạt động. Riêng sự gián đoạn hoạt động đã gây ra các vấn đề dây chuyền trên toàn ngành y tế, khi các nhà cung cấp không thể xử lý yêu cầu bồi thường trong nhiều tuần. Nhưng thiệt hại lâu dài hơn là việc lộ hồ sơ sức khỏe, thông tin bảo hiểm và mã định danh cá nhân của gần 193 triệu người.

Loại rủi ro từ nhà cung cấp bên thứ ba này không chỉ có ở Change Healthcare. Vụ rò rỉ dữ liệu của TriZetto, làm lộ 3,4 triệu hồ sơ bệnh nhân, theo một mô hình tương tự, khi kẻ tấn công nhắm vào một bên trung gian công nghệ y tế thay vì trực tiếp một bệnh viện. Khi một nhà cung cấp duy nhất phục vụ hàng trăm khách hàng y tế, một vụ xâm nhập thành công có thể lan rộng ra ảnh hưởng đến hàng triệu người chưa từng tương tác trực tiếp với công ty bị rò rỉ dữ liệu.

Tại sao ngành y tế là mục tiêu dai dẳng

Các tổ chức y tế đã trở thành một trong những lĩnh vực bị rò rỉ dữ liệu thường xuyên nhất vì một số lý do liên quan đến nhau. Hồ sơ sức khỏe chứa một sự kết hợp dày đặc độc đáo giữa thông tin cá nhân, tài chính và y tế, khiến chúng có giá trị đối với tội phạm hơn so với hồ sơ tài chính thông thường. Đồng thời, nhiều tổ chức y tế hoạt động với lợi nhuận eo hẹp, phụ thuộc vào cơ sở hạ tầng cũ kỹ, và đối mặt với áp lực về quy định và vận hành có thể làm chậm quá trình cải thiện an ninh.

Quy mô của vụ rò rỉ dữ liệu Change Healthcare là cực đoan, nhưng tần suất rò rỉ dữ liệu y tế không phải là bất thường. Các sự cố ảnh hưởng đến số lượng lớn bệnh nhân đã được ghi nhận liên tục trong những năm gần đây, từ các hệ thống y tế công lớn đến các nhà cung cấp chuyên khoa nhỏ hơn. Vụ rò rỉ dữ liệu của NYC Health and Hospitals, làm lộ 1,8 triệu dấu vân tay, minh họa cách ngay cả dữ liệu sinh trắc học do các tổ chức công nắm giữ cũng có thể bị xâm phạm khi mạng lưới của nhà cung cấp bên thứ ba không được bảo mật đầy đủ.

Mô hình qua các sự cố này là nhất quán: kẻ tấn công tìm ra điểm yếu, thường thông qua thông tin đăng nhập bị xâm phạm, hệ thống chưa vá lỗi, hoặc truy cập từ xa không được bảo mật đầy đủ, sau đó di chuyển qua các mạng không được xây dựng để ngăn chặn một kẻ xâm nhập quyết tâm.

Điều này có ý nghĩa gì đối với bạn

Nếu bạn đã nhận dịch vụ chăm sóc y tế tại Hoa Kỳ vào bất kỳ thời điểm nào trước hoặc trong năm 2024, có một khả năng đáng kể rằng thông tin của bạn nằm trong số các hồ sơ bị lộ trong vụ rò rỉ dữ liệu Change Healthcare. Dữ liệu bị ảnh hưởng được báo cáo bao gồm tên, địa chỉ, số an sinh xã hội, thông tin bảo hiểm, và trong nhiều trường hợp là hồ sơ y tế chi tiết.

Đối với bệnh nhân, điều đó có nghĩa là rủi ro không chỉ là trộm cắp danh tính. Nó bao gồm khả năng gian lận bảo hiểm, các cuộc tấn công lừa đảo có chủ đích sử dụng chi tiết sức khỏe cá nhân, và sự lộ diện lâu dài của lịch sử y tế nhạy cảm. Thông tin sức khỏe, không giống như số thẻ tín dụng, không thể thay đổi được.

Đối với nhân viên y tế và quản trị viên, vụ rò rỉ dữ liệu là một lời nhắc nhở rõ ràng rằng an ninh dữ liệu bệnh nhân không chỉ phụ thuộc vào hệ thống phòng thủ của tổ chức của họ mà còn vào mọi nhà cung cấp và đối tác kết nối với hệ thống của họ. Các vụ rò rỉ dữ liệu liên quan đến nhà cung cấp bên thứ ba tiếp tục chiếm một tỷ trọng đáng kể trong các sự cố y tế, và trường hợp của Change Healthcare đặt ra những câu hỏi cấp bách về mức độ thẩm định và giám sát kỹ lưỡng những mối quan hệ đó.

Đối với các tổ chức y tế nói riêng, vụ rò rỉ dữ liệu làm nổi bật một số lĩnh vực cụ thể đáng xem xét:

• Kiểm soát truy cập của bên thứ ba: Các nhà cung cấp có quyền truy cập vào hệ thống nội bộ phải chịu sự giám sát tương tự như người dùng nội bộ, bao gồm chính sách thông tin đăng nhập nghiêm ngặt và phân đoạn mạng để giới hạn phạm vi mà bất kỳ điểm truy cập đơn lẻ nào có thể vươn tới.
• An ninh truy cập từ xa: VPN với xác thực đa yếu tố được thực thi là một biện pháp bảo vệ cơ bản cho truy cập từ xa vào hệ thống nội bộ. Vụ rò rỉ dữ liệu Change Healthcare minh họa rằng thông tin đăng nhập bị xâm phạm có thể là điểm vào, nhưng chỉ VPN không phải là một phòng thủ hoàn chỉnh. Nó cần được kết hợp với phân đoạn, giám sát và khả năng phản ứng.
• Tối thiểu hóa dữ liệu: Các tổ chức nên kiểm tra dữ liệu họ chia sẻ với các nhà cung cấp bên thứ ba, chỉ giữ lại và truyền đi những gì cần thiết cho hoạt động.

Cần rõ ràng về những gì các công cụ an ninh như VPN có thể và không thể làm. VPN bảo vệ kênh mà dữ liệu di chuyển qua đó, đặc biệt đối với nhân viên y tế làm việc từ xa truy cập hệ thống lâm sàng hoặc các cuộc giao tiếp y tế từ xa cần phải riêng tư. Chúng là một lớp bảo vệ có ý nghĩa cho nhân viên y tế hoạt động bên ngoài mạng lưới lâm sàng. Nhưng vụ rò rỉ dữ liệu Change Healthcare chủ yếu không phải là một thất bại về an ninh truy cập từ xa. Nó liên quan đến các vấn đề hệ thống sâu hơn về kiến trúc mạng và di chuyển ngang, những vấn đề đòi hỏi các lớp phòng thủ vượt xa bất kỳ công cụ đơn lẻ nào.

Các hành động cụ thể có thể thực hiện

Nếu bạn tin rằng dữ liệu của mình có thể đã bị ảnh hưởng bởi vụ rò rỉ dữ liệu Change Healthcare hoặc bất kỳ sự cố tương tự nào, có những bước cụ thể đáng thực hiện. Giám sát các bản kê bảo hiểm y tế của bạn để tìm các yêu cầu bồi thường mà bạn không nhận ra. Đặt cảnh báo gian lận hoặc đóng băng tín dụng với các văn phòng tín dụng lớn. Cảnh giác với các nỗ lực lừa đảo sử dụng chi tiết sức khỏe cá nhân để tỏ vẻ hợp pháp.

Đối với các chuyên gia và quản trị viên y tế, bài học từ vụ rò rỉ dữ liệu kỷ lục năm 2024 là mối quan hệ với nhà cung cấp chính là mối quan hệ về an ninh. Mỗi kết nối của bên thứ ba đến mạng lưới lâm sàng là một điểm vào tiềm năng đáng được đánh giá nghiêm ngặt và liên tục. Quy mô của những gì đã xảy ra tại Change Healthcare phản ánh không chỉ lỗ hổng của một công ty, mà còn là những rủi ro đến từ việc xây dựng một ngành công nghiệp trên cơ sở hạ tầng kết nối chặt chẽ nhưng không được củng cố đầy đủ. Giải quyết những rủi ro đó đòi hỏi đầu tư vào an ninh tại mọi mắt xích trong chuỗi, không chỉ ở những nơi dễ thấy nhất.