Dữ liệu y tế của Úc cần thêm nhiều biện pháp bảo vệ mạnh mẽ hơn. Ảnh: Getty / JuSun
AUSTRALIA - Các chuyên gia y tế cho biết, cần thực hiện nhiều bước hơn để bảo vệ dữ liệu về sức khỏe của người Úc sau vụ xâm nhập dữ kiện của Medibank. Khuyến cáo được đưa ra khi luật mới được Quốc hội thông qua, tăng mức phạt tối đa đối với các vi phạm dữ liệu nghiêm trọng lên 50 triệu đô-la.
Sau khi vụ xâm nhập Medibank làm lộ thông tin chi tiết về sức khỏe của 9,7 triệu người Úc, các chuyên gia về quyền riêng tư và an ninh mạng đang cảnh báo rằng, dữ liệu y tế vẫn là mục tiêu chính của tin tặc.
Khoảng 40 phần trăm dân số, bị ảnh hưởng bởi vụ xâm nhập Medibank.
Vụ nầy làm dấy lên lo ngại về một cơ sở dữ liệu sức khỏe khác, đó là ‘Dữ kiện Y tế của Tôi’ hay ‘My Health Record’.
Ông David Vaile, chủ tịch của Hiệp hội Quyền Riêng tư Úc Châu nói rằng,‘My Health Record’ của chính phủ liên bang, có thể là đối tượng bị ‘xâm nhập dữ liệu lớn lao’.
Ông David Vaile nói “Mô hình bảo mật cho ‘Hồ sơ Y tế của tôi’ thật kinh khủng, tôi đã theo dõi nó và cố gắng tham gia vào cuộc thảo luận này và đã đã đội các mũ nhiều lần trong khoảng 10 hoặc 15 năm".
"Họ đã kết thúc với một thứ mà có một loại quyền truy cập mặc định, đó không phải là hàng chục ngàn người, mà có thể là hàng trăm ngàn người”.
Được biết hệ thống được thiết kế, để cho phép các bác sĩ có thể truy cập thông tin bệnh nhân, thế nhưng ông Vaile nói rằng, đó cũng là mắt xích yếu kém.
Ông David Vaile nói “Tại một giai đoạn trong cuộc tranh luận khi lần đầu tiên, hoặc những lần lặp lại ‘Hồ sơ Y tế của tôi’ mà họ thiết lập gây ra mọi ồn ào, với ước tính nằm trong khoảng từ 700 ngàn đến 1,1 triệu người Úc, có khả năng tiếp cận Hồ sơ sức khỏe của tôi".
"Hầu như tất cả họ không phải là bác sĩ điều trị thực sự của bạn và hầu như tất cả bọn họ, bạn không hề có mối quan hệ nào”.
Được biết Cơ sở dữ liệu trực tuyến, được chính phủ liên bang thành lập vào năm 2012.
Nó chứa hồ sơ của hơn 23,4 triệu người Úc, với các thông tin như báo cáo chuyên khoa, kết quả xét nghiệm, đơn thuốc, hồ sơ nha khoa, chi tiết thanh toán và ghi chú về các triệu chứng cùng chẩn đoán.
Trong khi đó Cơ quan Y tế Kỹ thuật số Úc là đơn vị quản lý nền tảng này cho biết, 90% người Úc có hồ sơ ‘My Health Record’ và đã có sự gia tăng lớn về số lượng trong đại dịch, khi mọi người cần giấy chứng nhận tiêm chủng COVID-19.
Trong khi đó Tiến sĩ David Glance là giám đốc Trung tâm Thực hành Phần mềm tại Đại học Tây Úc.
Ông cho biết, cơ sở hạ tầng bảo mật cho ‘My Health Record’ khá mạnh, nhưng có lẽ là do chứa ít thông tin hơn so với Medibank.
Tiến sĩ David Glance nói “My Health Record vẫn không được sử dụng nhiều, bất chấp mọi nỗ lực của chính phủ để làm cho nó trở nên hữu ích".
"Vì vậy thực sự lượng thông tin trong đó có phần hạn chế và chắc chắn sẽ ít rắc rối hơn Medibank, ví dụ như những người có các dữ liệu về khiếu nại và về sức khỏe tâm thần, thủ tục phá thai và những thứ khác nữa”.
Vì vậy, những tác động sẽ là gì trong trường hợp bị xâm nhập ?
Các chuyên gia an ninh mạng cho biết, tiềm năng là tống tiền.
Tiến sĩ Suelette Dreyfus, một chuyên gia về quyền riêng tư và bảo mật kỹ thuật số tại Đại học Melbourne chỉ ra rằng, cuộc tấn công mạng vào tháng 7 năm 2018 nhằm vào tập đoàn chăm sóc sức khỏe lớn nhất Singapore, đó là SingHealth.
Nó làm lộ dữ liệu của 1,5 triệu bệnh nhân, bao gồm cả Thủ tướng Lý Hiển Long.
Tiến sĩ Dreyfus nói rằng tin tặc nhắm mục tiêu cụ thể vào các chính trị gia và hàng Bộ trưởng.
Tiến sĩ Suelette Dreyfus nói “Hãy tưởng tượng nếu bạn biết rằng, một Thủ tướng mắc bệnh nan y và có lẽ sẽ không sống quá 2 hoặc 3 năm, hoặc nếu bạn biết rằng họ mắc bệnh thoái hóa hoặc nếu họ mắc bệnh đa xơ cứng".
"Những thông tin này không được công khai, điều này sẽ có giá trị lớn lao đối với cả các nhà lãnh đạo của các quốc gia khác khi biết thông tin này, nhưng cũng có khả năng tiếp thị cho các công ty có thể đưa ra quyết định về đầu tư”.
Bà nói rằng, Úc nên lấy tín hiệu từ Đạo luật về quyền riêng tư của người tiêu dùng California, Hoa Kỳ.
Bà nói “Về căn bản, trong luật mang tính bước ngoặt này quy định rằng, người tiêu dùng California có quyền biết về thông tin cá nhân mà một doanh nghiệp thu thập về họ, cách thông tin được sử dụng, việc chia sẻ, quyền xóa thông tin cá nhân đã thu thập từ họ".
"Thế nhưng có một số ngoại lệ, đó là quyền từ chối bán thông tin cá nhân và quyền không bị phân biệt đối xử, khi thực hiện tất cả các quyền đó”.
Chỉ vài ngày trước, chính phủ liên bang đã tăng hình phạt đối với các vi phạm dữ liệu nghiêm trọng từ 2,2 triệu đô la lên 50 triệu đô la.
Các luật mới cũng tăng quyền hạn thực thi của Ủy viên Thông tin Úc và tăng cường nghĩa vụ tiết lộ thông tin của các tổ chức, bị vi phạm dữ liệu nghiêm trọng.
Các cuộc tấn công mạng xảy ra thường xuyên trên toàn cầu, Tiến sĩ Glance thậm chí còn nói rằng có đến ‘hàng triệu cuộc tấn công trong mỗi giây’.
Thế nhưng không phải tất cả những sự kiện này đều được thông báo, cho những người bị ảnh hưởng.
Tiến sĩ Glance nói rằng, có một lý do tại sao bây giờ chúng ta đang nghe nhiều hơn về chúng.
Tiến sĩ Glance nói “Các công ty đã quyết định rằng, tốt hơn hết là nên đưa ra vấn đề sớm hơn là đợi cho đến khi nó bị rò rỉ, hoặc lộ ra muộn hơn nhiều. Đó là lý do tại sao chúng tôi nghe về những vi phạm này”.
Được biết có lẽ vụ vi phạm dữ liệu lớn nhất đối với ‘dữ liệu y tế của chính phủ’, đã xảy ra vào tháng 8 năm 2016.
Việc nầy liên quan đến việc phát hành cái gọi là ‘dữ liệu không xác định được" từ Chương trình Phúc lợi Medicare và Chương trình Phúc lợi Dược phẩm, ảnh hưởng đến 2,9 triệu người Úc.
Phó giáo sư Vanessa Teague, là nhà mật mã học tại Đại học Quốc gia Úc Châu.
Bà nói rằng, mối nguy hiểm thực sự nằm ở việc tham chiếu chéo các bộ dữ liệu. từ nhiều lần rò rỉ khác nhau.
"Vì vậy, ví dụ là kẻ tấn công có quyền truy cập vào thông tin chi tiết về Medibank của bạn, nếu họ có quyền truy cập vào dữ liệu ‘Hồ sơ Y tế của tôi' đã hủy nhận dạng, họ có khả năng có thể sử dụng hồ sơ Medibank của bạn để xác định lại dữ liệu ‘Hồ sơ Y tế của tôi’.
"Do đó, hãy tìm hiểu hay nói cách khác, tìm ra hồ sơ nào là của bạn và có thể tìm hiểu thêm về hồ sơ y tế của bạn, mà họ không nhận được từ Medibank”.
Trong khi đó Cơ quan Y tế Kỹ thuật số Úc là cơ quan quản lý ‘Hồ sơ Y tế của tôi’ cho biết, một đánh giá mới về các rủi ro an ninh mạng đã được tiến hành, sau vụ xâm nhập Medibank gần đây, vụ vi phạm Optus vào tháng 9 và sự phơi bày của Medicare vào năm 2020.
Trong một tuyên bố, cơ quan nầy nói rằng, ‘Trước những vi phạm này, cơ quan đã xem xét các quy trình nhận dạng có liên quan, để tiếp tục bảo đảm rằng chỉ những người được ủy quyền, mới có thể truy cập Hồ sơ sức khỏe của tôi’.
Cơ quan này cho biết thêm rằng, tiến trình đã được thực hiện để liên tục cải thiện các lỗ hổng an ninh mạng, được Văn phòng Kiểm toán Quốc gia Úc nhấn mạnh, trong một báo cáo năm 2019.
Văn phòng Tổng trưởng Tư Pháp Mark Dreyfus cũng đang trong tiến trình ‘hoàn tất việc xem xét Đạo luật Quyền riêng tư’.
Trước những vi phạm quyền riêng tư gần đây, Tổng trưởng Tư Pháp Mark Dreyfus đã gọi các biện pháp bảo vệ hiện có, là ‘lỗi thời và không thỏa đáng’.
Ông cho biết, ‘hình phạt cho một vi phạm dữ liệu lớn, không còn được coi là chi phí kinh doanh’.