Tháng 6 năm 2024, một bệnh viện lớn tại Việt Nam bị tấn công mã hóa: 7 trong 9 hệ thống bị mã hóa hoàn toàn, 21 dịch vụ ngừng hoạt động, 10% dữ liệu cloud — 35TB — mã hóa hoàn toàn. Khả năng phục hồi chỉ còn 6 trong 9 hệ thống nhờ backup còn nguyên. Nếu backup cũng bị mã hóa, kết quả sẽ khác hoàn toàn. Không giống như tấn công vào doanh nghiệp thông thường — tấn công vào bệnh viện không chỉ là thiệt hại tài chính. Đó là thiệt hại về tính mạng. Với Luật An ninh mạng 2025 (Luật số 116/2025/QH15) có hiệu lực từ ngày 1 tháng 7 năm 2026, và Quyết định 326/QĐ-BYT của Bộ Y tế ban hành từ tháng 2 năm 2024, hệ thống bệnh viện tại Việt Nam chịu áp lực kép từ cả khung pháp lý y tế lẫn an ninh mạng quốc gia.

Tại sao bệnh viện là mục tiêu đặc biệt hấp dẫn

Theo Health-ISAC, ngành y tế ghi nhận 458 vụ ransomware trong năm qua. LockBit 3.0 — nhóm ransomware khét tiếng nhất — đứng sau 52 cuộc tấn công vào tổ chức chăm sóc sức khỏe trên toàn cầu. INC Ransomware và RansomHub cũng hoạt động tích cực trong lĩnh vực này. Lý do rất đơn giản: bệnh viện không thể dừng hoạt động. Khi hệ thống lên phòng mổ, hệ thống theo dõi bệnh nhân, hoặc hệ thống cấp cứu bị mã hóa — bệnh viện không có lựa chọn ngồi chờ thanh toán tiền chuộc. Tính mạng con người đang bị đe dọa. Chính áp lực này khiến các tổ chức y tế sẵn sàng trả tiền chuộc — biến họ thành mục tiêu lý tưởng. Tại Ireland, năm 2021, cuộc tấn công vào Cơ quan Điều hành Dịch vụ Y tế (HSE) gây gián đoạn hơn 80% hệ thống CNTT, buộc hơn 100.000 nhân viên phải ngừng làm việc, và — quan trọng nhất — gây nguy hiểm trực tiếp đến tính mạng hàng nghìn bệnh nhân. Tin tặc sử dụng Cobalt Strike — công cụ tấn công mạng chuyên nghiệp — để đào hầm trong mạng lưới bệnh viện trong nhiều tuần.

Môi trường OT bệnh viện — những lỗ hổng đặc thù

Không giống nhà máy sản xuất, môi trường OT của bệnh viện mang tính đặc thù riêng. Thiết bị y tế — máy MRI, máy CT, máy theo dõi bệnh nhân, bơm tiêm điện tử — được thiết kế để hoạt động liên tục, không có downtime để cập nhật bản vá. Nhiều thiết bị chạy hệ điều hành cũ — Windows 7, Windows XP — mà nhà sản xuất không còn hỗ trợ bảo mật. Việc cập nhật firmware hoặc hệ điều hành đòi hỏi validation lâm sàng theo quy định FDA hoặc tương đương — quy trình mất hàng tuần hoặc hàng tháng. Theo nghiên cứu của CyberMDX và Philips: 52% bệnh viện không được bảo vệ trước lỗ hổng BlueKeep, 64% trước WannaCry, 75% trước NotPetya — những lỗ hổng đã có từ 2017–2019. Và 15% các bệnh viện quy mô trung bình không có cách nào để xác định số lượng thiết bị đang hoạt động trong mạng lưới. Đây là điều kiện lý tưởng cho tin tặc: hệ thống không được bảo vệ, không được theo dõi, và không thể tắt để vá.

Giao điểm giữa IT, OT và IoT trong bệnh viện

Ngày nay, ranh giędzy IT và OT trong bệnh viện đã bị xóa nhòa. Hệ thống quản lý bệnh viện (HIS), hệ thống lưu trữ hình ảnh y khoa (PACS), hệ thống thông tin phòng mạch (LIS) — tất cả kết nối vào cùng một mạng nội bộ với các thiết bị y tế. Camera an ninh IP, hệ thống điều hòa thông minh, hệ thống kiểm soát vào ra — cũng kết nối vào đó. Mỗi điểm kết nối mới là một bề mặt tấn công mới. Một kịch bản tấn công điển hình: tin tặc gửi email lừa đảo đến nhân viên y tế → chiếm máy tính đầu tiên → di chuyển ngang (lateral movement) trong mạng nội bộ → đến vùng mạng chứa thiết bị y tế → khai thác lỗ hổng trên thiết bị chưa vá → mã hóa toàn bộ hệ thống. Tin tặc đã sử dụng chính kịch bản này để tấn công bệnh viện tại Việt Nam trong năm 2024.

Quyết định 326/QĐ-BYT của Bộ Y tế — yêu cầu gì

Quyết định 326/QĐ-BYT ban hành tháng 2 năm 2024 quy định về bảo đảm an toàn thông tin, an ninh mạng của Bộ Y tế — áp dụng cho toàn bộ hệ thống bệnh viện và cơ sở y tế trên toàn quốc. Các yêu cầu chính bao gồm:
  • Xây dựng nội quy, quy chế quản lý vận hành, bảo đảm an toàn thông tin cho trung tâm dữ liệu và phòng máy chủ
  • Bố trí nhân sự sẵn sàng xử lý sự cố an toàn thông tin 24/7
  • Phân định rõ trách nhiệm giữa đơn vị quản lý vận hành hệ thống và đơn vị sử dụng
  • Nghiêm cấm kết nối đồng thời mạng nội bộ và Internet trên cùng thiết bị
  • Bảo vệ thiết bị CNTT — không tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin trên thiết bị
Quyết định này là bước đầu tiên — nhưng chưa đủ. Điều mà nhiều cơ sở y tế chưa có là đánh giá bảo mật toàn diện, bao gồm cả kiểm thử xâm nhập cho hệ thống OT.

Luật An ninh mạng 2025 — tầm vóc mới cho an ninh bệnh viện

Luật 116/2025/QH15 thiết lập hệ thống phân loại 5 cấp độ cho hệ thống thông tin. Cấp độ 3 trở lên — hệ thống có thể gây “thiệt hại đặc biệt nghiêm trọng” — sẽ chịu các nghĩa vụ cao hơn, bao gồm kiểm thử xâm nhập bắt buộc. Đối với bệnh viện: hệ thống quản lý bệnh nhân, hệ thống cấp cứu, hệ thống phòng mổ — đây là những hệ thống mà nếu bị tấn công, hậu quả trực tiếp đến tính mạng con người. Rất có thể đây là ứng viên cấp độ 3. Thời hạn chuyển tiếp 12 tháng kể từ ngày 1/7/2026. Với bệnh viện đang vận hành hệ thống OT y tế chưa được đánh giá bảo mật — đây là lúc bắt đầu.

Bệnh viện cần làm gì — ưu tiên trước mắt

Bước 1: Kiểm kê thiết bị OT y tế Bắt đầu từ điều cơ bản nhất — biết trong mạng lưới bệnh viện có những thiết bị nào, chạy hệ điều hành gì, kết nối vào đâu. Nhiều bệnh viện không có danh sách đầy đủ thiết bị OT y tế — và đây là điểm yếu đầu tiên. Bước 2: Phân đoạn mạng (Network Segmentation) Nguyên tắc cơ bản nhất của bảo mật OT y tế: thiết bị y tế không cần kết nối trực tiếp ra Internet, không cần truy cập vào mạng văn phòng chung. Tách biệt vùng mạng OT y tế khỏi vùng mạng IT là biện pháp giảm thiểu rủi ro hiệu quả nhất — và cũng là yêu cầu trong Quyết định 326/QĐ-BYT. Bước 3: Đánh giá bảo mật cho hệ thống OT Đây là nơi mà hầu hết bệnh viện Việt Nam cần hỗ trợ chuyên môn. Kiểm thử xâm nhập hệ thống OT y tế đòi hỏi hiểu biết đặc thù — giao thức DICOM (hình ảnh y khoa), HL7 (truyền dữ liệu bệnh viện), IEC 62304 (tiêu chuẩn phần mềm thiết bị y tế) — và cần thực hiện mà không gây gián đoạn hệ thống đang chạy. Bước 4: Xây dựng quy trình ứng phó sự cố Khi sự cố xảy ra — và với bệnh viện, câu hỏi không phải “nếu” mà là “khi nào” — quy trình ứng phó phải sẵn sàng. Nghị định hướng dẫn Luật An ninh mạng 2025 quy định thông báo sự cố cho cơ quan chức năng trong vòng 24 giờ. Đối với bệnh viện, quy trình này cần bao gồm cả phối hợp với Bộ Y tế — không chỉ Bộ Công an.

Evvo Labs — đánh giá bảo mật cho hệ thống y tế tại Việt Nam

Tại Evvo Labs, chúng tôi đã thực hiện đánh giá an ninh mạng cho nhiều tổ chức y tế và hệ thống OT tại Việt Nam. Chúng tôi hiểu môi trường đặc thù của bệnh viện — nơi mà bảo mật không chỉ là bảo vệ dữ liệu mà còn là bảo vệ tính mạng. Chúng tôi cung cấp:
  • Đánh giá bảo mật hệ thống OT y tế — giao thức DICOM, HL7, kết nối thiết bị y tế
  • Kiểm thử xâm nhập hệ thống IT/OT kết hợp — đánh giá từ góc độ tin tặc
  • Đánh giá tuân thủ Quyết định 326/QĐ-BYT và Luật An ninh mạng 2025
  • Hỗ trợ xây dựng quy trình ứng phó sự cố cho cơ sở y tế
Còn chưa đến 3 tháng trước thời hạn. Đối với bệnh viện và cơ sở y tế — đây không chỉ là nghĩa vụ pháp lý. Đây là trách nhiệm với bệnh nhân.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001