Trong kỷ nguyên số, dữ liệu y tế được ví như “mỏ vàng” đen đối với tội phạm mạng, nhưng đồng thời cũng là “tử huyệt” của các cơ sở y tế nếu không được bảo vệ đúng cách. Chúng ta đã chứng kiến không ít vụ tấn công mã độc tống tiền (Ransomware) nhắm vào các bệnh viện lớn trên thế giới, khiến toàn bộ hệ thống tê liệt, thông tin hàng triệu bệnh nhân bị rao bán trên chợ đen. Tại Việt Nam, rủi ro này đang hiện hữu từng ngày, từng giờ. Chính vì vậy, Công văn số 365/TTYQG-GPQLCL không chỉ dừng lại ở việc hướng dẫn triển khai phần mềm, mà còn dựng lên một hàng rào pháp lý và kỹ thuật kiên cố để bảo vệ tài sản vô giá này. Tại Mục III.4 và III.6, Bộ Y tế đã gửi đi một thông điệp đanh thép: Triển khai Bệnh án điện tử phải đi đôi với việc đảm bảo An toàn thông tin và Tuân thủ tuyệt đối các quy định về bảo vệ dữ liệu cá nhân. Đây không phải là những lựa chọn “có thì tốt”, mà là những điều kiện tiên quyết “buộc phải có” để hệ thống được phép vận hành.
Điểm nhấn đầu tiên trong bức tường lửa này là yêu cầu về Cấp độ an toàn hệ thống thông tin. Công văn 365 quy định rõ ràng: Hệ thống thông tin của cơ sở khám bệnh, chữa bệnh tối thiểu phải đạt Cấp độ 2 theo quy định tại Nghị định 85/2016/NĐ-CP. Điều này có nghĩa là gì đối với một Giám đốc bệnh viện? Nó có nghĩa là Quý vị không thể chỉ cài một phần mềm diệt virus miễn phí lên máy chủ rồi yên tâm kê cao gối ngủ. An toàn cấp độ 2 đòi hỏi một sự đầu tư bài bản về cả biện pháp quản lý và kỹ thuật. Về mặt kỹ thuật, hệ thống phải có tường lửa, có cơ chế phát hiện xâm nhập, có quy trình sao lưu dự phòng và phục hồi sau thảm họa. Về mặt quản lý, bệnh viện phải xây dựng Hồ sơ đề xuất cấp độ và Phương án bảo đảm an toàn thông tin tuân thủ nghiêm ngặt Thông tư 12/2022/TT-BTTTT và Tiêu chuẩn Quốc gia TCVN 11930:2017. Đây là một khối lượng công việc khổng lồ, đòi hỏi sự tham gia của các chuyên gia an ninh mạng thực thụ chứ không chỉ là nhân viên IT đơn thuần.
Nhưng thách thức lớn nhất, và cũng là “cơn đau đầu” mới nhất của ngành y tế, chính là Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Công văn 365 tại Mục III.6 đã dẫn chiếu trực tiếp đến văn bản này, yêu cầu các cơ sở y tế phải tuân thủ tuyệt đối. Dữ liệu y tế (tiền sử bệnh, kết quả xét nghiệm, gen di truyền…) được xếp vào loại “Dữ liệu cá nhân nhạy cảm”. Mọi hành vi thu thập, xử lý, lưu trữ hay chia sẻ dữ liệu này đều phải được sự đồng ý của người bệnh và phải được bảo vệ bằng các biện pháp an ninh nghiêm ngặt nhất. Nếu bệnh viện để lộ lọt thông tin bệnh nhân, dù là do sơ suất hay do bị tấn công, hậu quả pháp lý sẽ vô cùng nặng nề, chưa kể đến sự sụp đổ về uy tín thương hiệu mà đơn vị đã dày công xây dựng. Vì vậy, phần mềm EMR không chỉ cần chạy mượt, mà còn phải được thiết kế với tư duy “Privacy by Design” (Bảo mật ngay từ khâu thiết kế).
Để cụ thể hóa các yêu cầu bảo mật này, Công văn 365 đưa ra những quy định chi tiết về kiểm soát truy cập tại Mục III.1.1.g. Hệ thống phải đảm bảo khả năng xác thực người dùng mạnh mẽ và cấp quyền truy cập theo nguyên tắc “cần mới biết” (Need-to-know). Không thể có chuyện một điều dưỡng khoa Nội lại có thể tò mò xem hồ sơ bệnh án của một bệnh nhân khoa Sản. Mọi quyền hạn phải được phân chia chi tiết theo từng vai trò công việc. Đặc biệt, tính năng “Truy vết” (Log System) được nhấn mạnh như một camera giám sát vô hình: Hệ thống phải ghi lại tất cả các giao dịch, tương tác của người dùng. Ai đã xem hồ sơ? Ai đã sửa y lệnh? Ai đã in kết quả? Mọi dấu vết đều được lưu lại, giúp nhà quản lý dễ dàng phát hiện các hành vi bất thường và quy trách nhiệm khi có sự cố xảy ra. Thậm chí, hệ thống còn cho phép thiết lập khoảng thời gian giới hạn cho phép truy cập, ngăn chặn việc đăng nhập vào hệ thống ngoài giờ làm việc trái phép.
Một điểm yếu chí mạng khác thường bị bỏ qua là khâu truyền tải dữ liệu. Khi dữ liệu di chuyển từ máy tính bác sĩ đến máy chủ, hoặc từ bệnh viện lên Cổng Bảo hiểm xã hội, nó rất dễ bị kẻ xấu “nghe lén” và đánh cắp. Công văn 365 yêu cầu phần mềm phải có cơ chế mã hóa và giải mã thông tin người bệnh khi thực hiện truyền/nhận dữ liệu. Điều này giống như việc chúng ta gửi một bức thư mật được khóa trong két sắt, chỉ người có chìa khóa (mã giải mã) mới có thể mở ra xem được nội dung. Ngay cả khi tin tặc chặn được đường truyền, thứ chúng nhận được chỉ là những ký tự vô nghĩa. Bên cạnh đó, các phần mềm nền tảng như hệ điều hành, hệ quản trị cơ sở dữ liệu cũng được yêu cầu phải thường xuyên cập nhật các bản vá lỗi bảo mật, bịt kín mọi lỗ hổng mà hacker có thể lợi dụng.
Đặc biệt, đối với các bệnh viện lựa chọn phương án thuê phần mềm hoặc thuê hạ tầng, Công văn 365 đặt ra một chốt chặn an toàn tại Mục III.2.đ và III.4.c. Đó là yêu cầu phải có bản thỏa thuận cam kết bảo mật với đơn vị cung cấp dịch vụ. Quan trọng hơn, khi kết thúc hợp đồng, nhà cung cấp phải có trách nhiệm bàn giao toàn bộ dữ liệu và cơ sở dữ liệu cho bệnh viện. Đây là quy định bảo vệ quyền sở hữu dữ liệu của bệnh viện, tránh tình trạng bị nhà cung cấp “bắt cóc” dữ liệu hoặc gây khó dễ khi muốn chuyển đổi đối tác. Dữ liệu sau khi bàn giao phải được hủy bỏ an toàn trên thiết bị của nhà cung cấp, đảm bảo không còn bất kỳ bản sao nào trôi nổi bên ngoài.
Tại Meditech, chúng tôi hiểu rằng An toàn thông tin không phải là một tính năng cộng thêm, mà là nền tảng sống còn. Giải pháp Bệnh án điện tử của Meditech được xây dựng tuân thủ nghiêm ngặt các tiêu chuẩn an toàn cấp độ 2 và Nghị định 13 ngay từ những dòng code đầu tiên. Chúng tôi cung cấp các công cụ kiểm soát truy cập đa lớp, xác thực 2 yếu tố, mã hóa dữ liệu chuẩn AES-256 và hệ thống giám sát an ninh mạng 24/7. Hơn thế nữa, đội ngũ chuyên gia của Meditech sẵn sàng tư vấn và hỗ trợ bệnh viện hoàn thiện bộ hồ sơ đề xuất cấp độ an toàn thông tin – một thủ tục hành chính phức tạp mà nhiều đơn vị đang lúng túng.
Đầu tư cho an toàn thông tin là khoản đầu tư cho sự bền vững. Một hệ thống bảo mật tốt chính là lời cam kết mạnh mẽ nhất của bệnh viện đối với người bệnh: “Tại đây, sức khỏe và sự riêng tư của bạn đều được trân trọng và bảo vệ tuyệt đối”. Đừng để những lỗ hổng bảo mật trở thành cơn ác mộng phá hủy uy tín của Quý vị. Hãy để Meditech giúp Quý vị xây dựng một “bức tường lửa” vững chắc, tuân thủ Công văn 365 và Nghị định 13, để an tâm vững bước trên hành trình chuyển đổi số.