Ba Giám đốc Thông tin Y tế (CMIO) tại các hệ thống chăm sóc sức khỏe khác nhau đã cùng chia sẻ một điểm chung: sự cố an ninh mạng gần đây nhất của họ không đến từ nội bộ. Thay vào đó, tất cả đều đang đối mặt với hậu quả từ các vụ tấn công vào nhà cung cấp dịch vụ bên thứ ba – những đối tác nằm ngoài phạm vi kiểm soát trực tiếp của họ.

Đây không còn là sự trùng hợp – mà là thực tế mới trong an ninh mạng y tế hiện nay.

VẤN ĐỀ “NHÀ CUNG CẤP CỦA NHÀ CUNG CẤP”

Một CMIO chia sẻ:
“Chúng tôi có đội ngũ chuyên gia an ninh mạng rất giỏi để tự bảo vệ mình. Nhưng điều tôi lo là – chúng tôi không thể đảm bảo các đối tác của mình cũng làm được điều đó.”

Ngày nay, các tổ chức y tế đã rất chuyên nghiệp trong việc đánh giá bảo mật của nhà cung cấp trực tiếp: quy trình hợp đồng nghiêm ngặt, kiểm tra tuân thủ chặt chẽ.
Nhưng rủi ro lại đến từ những mối quan hệ gián tiếp – khi nhà cung cấp của bạn ký hợp đồng với một bên khác mà bạn chưa từng biết đến.

Một lãnh đạo an ninh mạng nói:
“Tôi có thể ký hợp đồng với Vendor X để thực hiện một dịch vụ. Nhưng Vendor X lại hợp tác với Vendor Y để hoàn thành công việc. Nếu Vendor Y gặp sự cố, tôi cũng bị ảnh hưởng – dù không hề có hợp đồng trực tiếp với họ.”

KHI HỆ SINH THÁI ĐỔ VỠ

Sự cố Change Healthcare là ví dụ điển hình. Khi hệ thống của họ bị tấn công và ngừng hoạt động, hàng loạt bệnh viện và phòng khám phụ thuộc vào dịch vụ xử lý đơn thuốc của họ đều bị tê liệt.

Một CMIO chia sẻ:
“Chúng tôi không thể gửi hay nhận đơn thuốc, không rõ dữ liệu nào đã được xử lý, ai đã nhận thuốc và ai chưa.”

Hệ quả là bệnh nhân không thể nhận thuốc kịp thời, nhân viên y tế phải chạy đua để xác định ai bị ảnh hưởng – một vấn đề an toàn sức khỏe nghiêm trọng bắt nguồn từ sự cố bên thứ ba.

CẠM BẪY TUÂN THỦ: KHI LỖI CỦA NHÀ CUNG CẤP TRỞ THÀNH TRÁCH NHIỆM CỦA BẠN

Dù lỗi đến từ nhà cung cấp, tổ chức y tế vẫn phải chịu trách nhiệm tuân thủ.

Theo HIPAA, các bên phải ký Thỏa thuận Liên kết Kinh doanh (BAA) khi chia sẻ dữ liệu y tế. Nhưng thực tế, khi bên thứ ba bị tấn công, bệnh viện vẫn phải báo cáo, chịu kiểm tra và có thể bị phạt.

Nhiều quy định mới, như yêu cầu báo cáo trong 72 giờ, khiến áp lực càng lớn – đặc biệt khi tổ chức phải báo cáo sự cố do bên khác gây ra mà họ không kiểm soát được.

Một CMIO nói:
“Ngay giữa sự cố, chúng tôi vẫn phải báo cáo lên cơ quan nhà nước, Bộ Y tế và các cơ quan bảo hiểm – trong khi đội ngũ kỹ thuật đang nỗ lực khôi phục hệ thống.”

BÀI HỌC TỪ SỰ CỐ CROWDSTRIKE

Vụ sự cố CrowdStrike cho thấy khi nhà cung cấp hạ tầng trọng yếu sụp đổ, cả hệ sinh thái y tế cùng ngã theo.

Một lãnh đạo chia sẻ:
“Trước đây chúng tôi chỉ giả định tấn công sẽ ảnh hưởng cục bộ. Nhưng sự cố này tác động toàn hệ thống – khiến chúng tôi nhận ra cần xây dựng khả năng phục hồi cấp hệ sinh thái.”

Khi toàn ngành cùng gặp sự cố, kế hoạch dự phòng truyền thống không còn hiệu quả. Không thể gọi hỗ trợ, không thể chuyển sang nhà cung cấp khác – tất cả đều bị ảnh hưởng.

VƯỢT RA KHỎI CÁCH ĐÁNH GIÁ RỦI RO TRUYỀN THỐNG

Việc chỉ gửi bảng câu hỏi và xem chứng nhận bảo mật không còn đủ.
Các tổ chức y tế hiện nay đòi hỏi bằng chứng thực tế: kiểm tra thử nghiệm khôi phục, quyền xem xét mối quan hệ giữa các nhà cung cấp phụ, và điều khoản bồi thường thiệt hại rõ ràng trong hợp đồng.

MÔ HÌNH QUAN HỆ NHÀ CUNG CẤP MỚI

Các tổ chức tiên phong đang áp dụng những bước tiến cụ thể:

• Chủ quyền dữ liệu (Data sovereignty): Giữ bản sao dữ liệu của mình thay vì để toàn quyền cho nhà cung cấp. Điều này giúp khôi phục nhanh hơn nếu sự cố xảy ra và đảm bảo tuân thủ yêu cầu về vị trí lưu trữ dữ liệu.

• Hợp đồng thông minh hơn: Ràng buộc rõ thời hạn thông báo sự cố, cam kết khôi phục, và bồi thường chi phí khi lỗi do bên thứ ba gây ra.

• Quản lý cập nhật an toàn: Sau vụ CrowdStrike, nhiều đơn vị đã áp dụng chính sách “chậm 2 phiên bản” để tránh rủi ro do cập nhật lỗi.

• Tích hợp quy định vào quy trình quản lý: Đảm bảo mọi nhà cung cấp đáp ứng cùng tiêu chuẩn báo cáo, dữ liệu và tuân thủ pháp lý.

GÓC NHÌN TỪ NGÀNH BẢO HIỂM

Một chuyên gia bảo hiểm nhận định:
“Rủi ro số một hiện nay không còn là ransomware – mà là sự cố hệ thống quy mô lớn khiến cả ngành bị gián đoạn.”

Điều này phản ánh sự thay đổi tư duy: an ninh mạng không chỉ là ngăn chặn hacker, mà còn là đảm bảo khả năng tồn tại khi nhà cung cấp gặp sự cố.

THỬ THÁCH “TỐI THIỂU KHẢ DỤNG” TRONG THẾ GIỚI KẾT NỐI

Thay vì chỉ đặt mục tiêu khôi phục toàn bộ, các tổ chức cần xác định mức tối thiểu cần thiết để duy trì hoạt động chăm sóc bệnh nhân khi toàn hệ thống bị tê liệt – còn gọi là Minimum Viable Recovery (MVR).

MVR giúp đảm bảo rằng ngay cả khi nhà cung cấp và đối tác dự phòng cùng gặp sự cố, bệnh viện vẫn có thể vận hành độc lập trong thời gian ngắn.

HƯỚNG ĐI TIẾP THEO

An ninh mạng y tế không chỉ là bảo vệ tường lửa nội bộ. Các tổ chức cần hiểu rõ mạng lưới phụ thuộc của mình, lên kế hoạch cho tình huống nhiều nhà cung cấp cùng sụp đổ, và chủ động kiểm soát dữ liệu.

Các lãnh đạo y tế hiểu rằng rủi ro là không thể tránh khỏi – vấn đề là làm sao để quản lý và phục hồi nhanh nhất khi sự cố xảy ra.

KIỂM TRA KHẢ NĂNG PHỤC HỒI CỦA HỆ SINH THÁI

Hiểu rủi ro mới chỉ là bước đầu. Câu hỏi thực sự là: Tổ chức của bạn có đủ khả năng phục hồi khi toàn bộ hệ sinh thái gặp sự cố không?

Commvault cung cấp nền tảng bảo vệ và phục hồi dữ liệu thống nhất giúp các tổ chức y tế duy trì khả năng hoạt động ngay cả khi nhà cung cấp bên ngoài gặp sự cố. Với khả năng sao lưu độc lập, dữ liệu bất biến (immutable) và phục hồi linh hoạt theo mô hình Minimum Viable Recovery, Commvault giúp đảm bảo tính liên tục và chủ quyền dữ liệu trong toàn hệ sinh thái y tế.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.