Bảo mật Hệ thống dữ liệu y tế điện tử Australia bị đe dọa nghiêm trọng

(BKTO) - Cơ quan Kiểm toán tối cao Australia (ANAO) hôm 25/11 đã công khai Báo cáo kiểm toán về an ninh thông tin y tế, trong đó đặc biệt cảnh báo những rủi ro về bảo mật dữ liệu của Hệ thống My Health Record – một hệ thống lưu trữ hồ sơ y tế thông minh của người dân Australia vốn được Chính phủ đề cao tính bảo mật nghiêm ngặt.



Cảnh báo rủi ro thông tin y tế của người dân

Báo cáo của ANAO cho biết, việc thực hiện Hệ thống My Health Record trị giá 1,5 tỷ Đôla Australia này đã không đảm bảo quản lý rủi ro bảo mật một cách phù hợp và nhận định rằng Hệ thống đang hoạt động “không hiệu quả”. ANAO chỉ trích Cơ quan Y tế kỹ thuật số Australia (ADHA) - cơ quan chịu trách nhiệm giám sát các hồ sơ y tế điện tử quốc gia và điều hành Hệ thống - đã không xây dựng các chức năng bảo mật đầy đủ trên Hệ thống khiến dữ liệu đối mặt với rủi ro bị tấn công từ các ứng dụng và các trang bên thứ ba, cũng như các tổ chức cung cấp dịch vụ y tế.

Theo ANAO, công tác đánh giá tác động về quyền riêng tư gần nhất mà ADHA tiến hành là vào năm 2017, sau đó có 4 cuộc đánh giá tác động nữa được tiến hành trong giai đoạn từ tháng 10/2017 - 6/2019, với chi phí lên tới 3,6 triệu Đôla Australia, song đến nay, công tác này vẫn chưa hoàn thành.

Kể từ năm 2018, Chính phủ Australia đã tạo một tài khoản My Health Record cho mỗi người dân. My Health Record là một bản tổng kết trực tuyến gồm các thông tin chính về tình hình sức khoẻ của các bệnh nhân. Khi bệnh nhân có tài khoản My Health Record, thông tin sức khỏe của họ có thể được xem trực tuyến một cách an toàn, từ bất cứ đâu, tại bất kỳ thời điểm nào, ngay cả khi bệnh nhân chuyển chỗ ở hay đi du lịch sang bang khác, từ bất kỳ máy tính hay thiết bị nào có kết nối với mạng. Song những người tham gia có quyền chọn rút khỏi hệ thống trước ngày 15/11/2019.

Những đơn vị cung cấp dịch vụ chăm sóc sức khỏe đã đăng ký và các bên tham gia khác có thể sử dụng chức năng “tiếp cận thông tin khẩn cấp” để truy cập hồ sơ song chỉ trong những trường hợp “đe dọa nghiêm trọng đến tính mạng, sức khỏe hoặc sự an toàn của một cá nhân, hoặc đe dọa nghiêm trọng đến sức khỏe hoặc an toàn y tế của cộng đồng”.

ANAO cho biết, trên thực tế, chức năng này đã bị lạm dụng truy cập trái phép khiến thông tin riêng tư trên tài khoản của bệnh nhân bị can thiệp bất hợp pháp. Tình trạng truy cập bất hợp pháp này đặc biệt gia tăng từ 80 trường hợp trong tháng 7/2018 lên 205 trong tháng 3/2019. Theo báo cáo, chỉ có 8,2% các yêu cầu của bên thứ ba khi tiếp cận thông tin khẩn cấp của hồ sơ bệnh nhân là đáp ứng các chỉ dẫn.

Hàng trăm người lo ngại, rút khỏi chương trình

Theo đánh giá của ANAO, lĩnh vực y tế và chăm sóc sức khỏe là lĩnh vực tiềm ẩn nhiều rủi ro về vi phạm an ninh dữ liệu lớn nhất ở Australia trong năm 2018. Theo cơ quan kiểm toán, có tới hơn 40% các vụ việc được báo cáo liên quan đến các cuộc tấn công mạng có yếu tố hình sự.

ANAO hiện đang khuyến nghị Cơ quan điều hành Hệ thống My Health Record cần thực hiện các biện pháp giám sát mạnh mẽ hơn và thường xuyên cập nhật Kế hoạch chiến lược giai đoạn 5 năm về an ninh phần mềm được xây dựng cuối năm 2018. ANAO cho rằng, vai trò của Ủy ban Cố vấn các vấn đề về an ninh và quyền riêng tư còn chưa được thể hiện rõ ràng. Bên cạnh đó, ANAO cũng khuyến nghị ADHA cần xây dựng các biện pháp để kiểm soát tính tuân thủ của các bên thứ ba khi sử dụng My Health Record.

Giám đốc Điều hành ADHA - ông Tim Kelsey - cho biết, tính đến nay, đã có 3% người đủ điều kiện được mã số hóa hồ sơ đã tự chọn rút khỏi chương trình này, tương đương hơn 900.000 người. Con số này do ADHA tiết lộ trước Tiểu ban Điều tra của Thượng viện Australia. Hầu hết các đơn rút khỏi Hệ thống đều lo ngại về rủi ro quyền riêng tư cũng như những vấn đề về bảo mật dữ liệu.

Bộ trưởng Bộ Y tế Liên bang Greg Hunt trước đó đã nói rằng, mục tiêu của Chính phủ là chưa đến 10% người dân không tham gia vào Hệ thống My Health Record. Theo ADHA, số người thực sự không tham gia vào Hệ thống có thể cao hơn một chút vì con số trên mới chỉ được tính dựa trên các cuộc thăm dò được thực hiện qua điện thoại và trực tuyến. Các đơn xin không tham gia vào Hệ thống, được cung cấp tại các vùng xa xôi hẻo lánh, bao gồm các cộng đồng người thổ dân, hiện vẫn chưa được kiểm đếm.

NGỌC QUỲNH
Cùng chuyên mục
Bảo mật Hệ thống dữ liệu y tế điện tử Australia bị đe dọa nghiêm trọng