Một bệnh viện Việt Nam cầu cứu do bị đe dọa

Thông tin này được Thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng Quốc gia (A05) – Bộ Công an chia sẻ trong khuôn khổ tọa đàm “TCVN 14423:2025 - Tiêu chuẩn quốc gia về an ninh mạng với các hệ thống thông tin quan trọng”, tổ chức ngày 19/6 tại Hà Nội.

Theo Thượng tá Thủy, vấn đề bảo mật dữ liệu cá nhân, đặc biệt là thông tin y tế đang đặt ra thách thức lớn trong bối cảnh chưa có khung pháp lý điều chỉnh rõ ràng. Ông lấy dẫn chứng về vụ việc xảy ra tại một bệnh viện ở Việt Nam khi đơn vị này đã phải cầu cứu do bị hacker tấn công, đe dọa công khai dữ liệu bệnh nhân và lịch sử khám chữa bệnh trên mạng Internet.

“Không bệnh nhân nào muốn đời tư của mình bị tung lên mạng. Điều này ảnh hưởng trực tiếp đến cộng đồng. Vấn đề là không phải bệnh viện không nhìn thấy rủi ro đó, mà là chưa có quy phạm pháp luật nào điều chỉnh để họ phải quan tâm một cách đúng mực”, Thượng tá Lê Xuân Thủy nhận định.

Việc xây dựng tiêu chuẩn TCVN 14423:2025 là một bước đi mang tính nền tảng nhằm thiết lập khuôn khổ bảo vệ cho các hệ thống thông tin trọng yếu. Đây là tiêu chuẩn đầu tiên do Trung tâm An ninh mạng Quốc gia xây dựng trong hệ thống tiêu chuẩn về an ninh mạng, nhằm hỗ trợ cơ quan, tổ chức triển khai đồng bộ các biện pháp bảo đảm an toàn thông tin.

Thượng tá Lê Xuân Thủy phát biểu tại tọa đàm. Ảnh: Tạp chí Thông tin & Truyền thông

Ông Thủy cho biết, trong 6 tháng đầu năm 2025, các cuộc tấn công mạng bằng mã hóa tống tiền gia tăng đáng kể, nhắm vào nhiều lĩnh vực trọng yếu như năng lượng, y tế, các cơ quan chính phủ và gần đây là cả lĩnh vực báo chí. Nếu trước đây các cơ quan báo chí chỉ bị tấn công nhỏ lẻ thì hiện nay đã trở thành mục tiêu rõ ràng trong những chiến dịch có tổ chức.

Trong bối cảnh đó, việc ban hành TCVN 14423:2025 được xem là động thái cần thiết để định hướng và bảo vệ các hệ thống thông tin quan trọng. Các tiêu chuẩn mới không chỉ góp phần định hình hành vi an toàn trên không gian mạng, mà còn nâng cao năng lực ứng phó, giảm thiểu thiệt hại từ các cuộc tấn công mạng. Thượng tá Thủy khẳng định, các tiêu chuẩn này sẽ tạo ra những chuẩn mực mới, là cơ sở để các đơn vị, tổ chức, doanh nghiệp triển khai hiệu quả các biện pháp bảo mật.

TCVN 14423:2025 được xây dựng trên nền tảng kế thừa và phát triển các nội dung từ TCVN 11930:2017 do Bộ Thông tin và Truyền thông ban hành, đồng thời bổ sung và hoàn thiện theo yêu cầu thực tiễn. “Các tiêu chuẩn mới sẽ góp phần đảm bảo an ninh mạng cho các hệ thống chưa được đầu tư đúng và thiếu tiêu chí quốc gia rõ ràng”, Thượng tá Lê Xuân Thủy nhấn mạnh.

Tiêu chuẩn mới tham khảo từ chuẩn quốc tế CIS Control V8, áp dụng cho hệ thống thông tin của cơ quan nhà nước và những hệ thống thông tin giữ vai trò quan trọng với an ninh quốc gia. Điểm nổi bật là sự kết hợp giữa yêu cầu kỹ thuật và yêu cầu quản lý, có tính thực tiễn cao, dễ triển khai.

Hình ảnh buổi tọa đàm. Ảnh: Tạp chí Thông tin & Truyền thông

Với hệ thống thông tin của cơ quan nhà nước, tiêu chuẩn mới đảm bảo tuân thủ 15 yêu cầu tương ứng cấp độ 2 theo TCVN 11930:2017. Trong khi đó, với các hệ thống thông tin quan trọng về an ninh quốc gia, tiêu chuẩn đặt ra 18 yêu cầu, bao gồm 2 yêu cầu chính và 1 yêu cầu cụ thể bổ sung so với hệ thống thông tin của cơ quan nhà nước.

Việc triển khai tiêu chuẩn này sẽ giúp cơ quan nhà nước chủ động hơn trong quản trị rủi ro an ninh mạng, lên kế hoạch ứng phó sự cố, kiểm soát tài sản phần cứng và phần mềm, xác định rõ tài sản cần ưu tiên bảo vệ.

“Đặc biệt, quản lý tài sản thông tin, lưu trữ, loại bỏ tài sản thông tin không an toàn; thiết lập, duy trì quy trình phân quyền, quản lý quyền truy cập tài khoản người dùng, đảm bảo người dùng chỉ truy cập vào dữ liệu và tài sản phù hợp; quản lý lỗ hổng bảo mật; quản lý nhật ký an ninh mạng; bảo vệ ứng dụng web, dịch vụ thư điện tử…”, Thượng tá Lê Xuân Thủy nhấn mạnh.

Tổng hợp

>> Thượng tướng Bộ Công an hé lộ ‘tài sản đặc biệt’, mục tiêu của các vụ lừa đảo quy mô lớn