Vụ rò rỉ dữ liệu iRhythm tháng 6 năm 2024: Điều bệnh nhân tim mạch cần biết

Vụ rò rỉ dữ liệu iRhythm tháng 6 năm 2024: Điều bệnh nhân tim mạch cần biết

iRhythm Technologies, công ty thiết bị y tế nổi tiếng với miếng dán theo dõi tim Zio, đã tiết lộ một sự cố an ninh mạng liên quan đến vụ tấn công tháng 6 năm 2024. Vụ vi phạm liên quan đến truy cập trái phép vào dữ liệu được lưu trữ trên một số ứng dụng kinh doanh do bên thứ ba quản lý, đặt ra những câu hỏi nghiêm túc về cách bảo mật thông tin sức khỏe nhạy cảm trong các hệ sinh thái kỹ thuật số hỗ trợ thiết bị y tế hiện đại.

Tiết lộ này đưa iRhythm vào danh sách ngày càng dài các công ty chăm sóc sức khỏe đối mặt với xâm nhập trái phép không qua hệ thống lâm sàng cốt lõi, mà thông qua mạng lưới nhà cung cấp và nền tảng đám mây bao quanh họ.

Điều gì đã xảy ra trong sự cố tháng 6 năm 2024

Theo tiết lộ, iRhythm đã xác định hoạt động trái phép ảnh hưởng đến dữ liệu được duy trì trên các ứng dụng kinh doanh do bên thứ ba quản lý. Công ty đã kích hoạt kế hoạch ứng phó an ninh mạng ngay khi phát hiện vụ xâm phạm. Báo cáo công khai cho biết cuộc tấn công được xác định vào ngày 8 tháng 6 năm 2024, sau đó là tiết lộ chính thức ngay sau đó.

Thông tin có khả năng bị lộ trong vụ vi phạm bao gồm dữ liệu cá nhân và y tế nhạy cảm: số An sinh Xã hội, số hồ sơ y tế, thông tin chẩn đoán và chi tiết bảo hiểm y tế. Đối với bệnh nhân tim mạch, đây không chỉ là vấn đề riêng tư. Đây là rủi ro về tài chính và danh tính y tế. Hồ sơ y tế bị đánh cắp có thể được dùng để gian lận hóa đơn bảo hiểm, mua thuốc theo đơn hoặc mở hạn mức tín dụng.

Đây không phải lần đầu iRhythm đối mặt với các tác nhân đe dọa nhắm vào dữ liệu bệnh nhân của mình. Sau đó, công ty còn bị tấn công riêng biệt bằng ransomware vào năm 2025 liên quan đến kỹ thuật xã hội và yêu cầu tiền chuộc, cho thấy công ty vẫn là mục tiêu dai dẳng của tội phạm mạng coi dữ liệu bệnh nhân tim mạch là đặc biệt có giá trị.

Vì sao thiết bị y tế IoT tạo ra rủi ro riêng tư độc đáo

Miếng dán Zio là một thiết bị theo dõi ECG từ xa truyền dữ liệu lâm sàng qua hạ tầng kết nối. Chính khả năng kết nối đó khiến nó hữu ích với bác sĩ lâm sàng, đồng thời tạo ra rủi ro lộ lọt cho bệnh nhân. Bản thân thiết bị có thể không phải điểm yếu; các nền tảng bên thứ ba lưu trữ, truyền tải hoặc xử lý dữ liệu do thiết bị tạo ra có thể mang đến lỗ hổng mà cả bệnh nhân lẫn bác sĩ đều không kiểm soát hoàn toàn.

Mô hình này phổ biến ở các thiết bị y tế kết nối. Càng nhiều điểm chạm giữa dữ liệu sức khỏe thô của bệnh nhân và báo cáo lâm sàng cuối cùng, thì càng có nhiều cơ hội cho bên trái phép chặn hoặc đánh cắp thông tin đó. Các khung pháp lý như HIPAA yêu cầu các tổ chức được bảo vệ và đối tác kinh doanh của họ duy trì biện pháp bảo vệ, nhưng tuân thủ không đồng nghĩa với bảo mật, và các cuộc kiểm toán thường chậm hơn so với phương thức tấn công thực tế.

Các tổ chức y tế đã phải đối mặt với áp lực ngày càng tăng từ tội phạm mạng ít nhất kể từ vụ gián đoạn lớn tại Change Healthcare đầu năm 2024, cho thấy chuỗi cung ứng y tế thực sự liên kết với nhau đến mức nào. Các nhà cung cấp dịch vụ theo dõi tim mạch như iRhythm nằm trong chính hệ sinh thái đó.

Điều này có ý nghĩa gì với bạn

Nếu bạn là bệnh nhân hiện tại hoặc trước đây của iRhythm, thông tin của bạn có thể đã bị lộ trong sự cố này. Ngay cả khi chưa nhận được thông báo chính thức, bạn nên thực hiện các bước phòng ngừa ngay bây giờ thay vì chờ đợi.

Trước tiên, hãy rà soát bản kê Giải trình Quyền lợi từ bảo hiểm y tế của bạn để tìm dịch vụ hoặc đơn thuốc nào bạn không nhận. Đánh cắp danh tính y tế thường không bị phát hiện trong nhiều tháng vì nạn nhân hiếm khi xem xét kỹ hồ sơ bảo hiểm như cách họ kiểm tra sao kê ngân hàng.

Thứ hai, cân nhắc đóng băng tín dụng tại các văn phòng tín dụng lớn. Số An sinh Xã hội kết hợp với dữ liệu hồ sơ y tế đủ để mở hạn mức tín dụng mới dưới tên bạn.

Thứ ba, thận trọng khi truy cập hồ sơ sức khỏe cá nhân trực tuyến. Đăng nhập vào cổng bệnh nhân qua mạng Wi-Fi công cộng không bảo mật khiến phiên truy cập của bạn bị chặn. Sử dụng VPN khi truy cập bất kỳ cổng chăm sóc sức khỏe nào sẽ thêm một lớp mã hóa giữa thiết bị của bạn và mạng, giảm nguy cơ bên thứ ba trên cùng mạng quan sát hoạt động hoặc đánh cắp thông tin đăng nhập của bạn.

Cuối cùng, cảnh giác trước các nỗ lực lừa đảo. Sau một vụ vi phạm, kẻ tấn công thường dùng dữ liệu bị đánh cắp để tạo ra các trò lừa đảo tiếp theo đầy thuyết phục. Email đề cập đến nhà cung cấp y tế hoặc công ty bảo hiểm thực sự của bạn không hẳn là hợp pháp.

Các bước hành động cụ thể

• Kiểm tra hồ sơ bảo hiểm của bạn để phát hiện khiếu nại gian lận từ giữa năm 2024.
• Đóng băng tín dụng tại Equifax, Experian và TransUnion nếu số An sinh Xã hội của bạn có thể đã bị lộ.
• Sử dụng VPN bất cứ khi nào bạn đăng nhập vào cổng bệnh nhân hoặc nền tảng hồ sơ sức khỏe, đặc biệt trên mạng di động hoặc công cộng.
• Bật xác thực đa yếu tố cho tất cả tài khoản y tế và bảo hiểm có hỗ trợ.
• Hoài nghi với mọi liên lạc đề cập đến iRhythm, chăm sóc tim mạch hay bảo hiểm y tế của bạn trong những tuần tới.

Vụ vi phạm iRhythm tháng 6 năm 2024 là lời nhắc nhở rõ ràng rằng dữ liệu cá nhân do thiết bị y tế kết nối tạo ra không nằm gọn gàng bên trong các thiết bị đó. Bệnh nhân sử dụng công cụ theo dõi từ xa có quyền biết dữ liệu của họ được lưu trữ thế nào, ai có thể truy cập và biện pháp bảo vệ nào được áp dụng khi các hệ thống đó bị xâm phạm. Luôn cập nhật thông tin và thực hiện các bước chủ động vẫn là biện pháp phòng vệ hiệu quả nhất dành cho những cá nhân vướng vào các vụ vi phạm mà họ không thể ngăn chặn.