Bộ trưởng Y tế Simeon Brown đã chỉ đạo Bộ Y tế tiến hành một cuộc rà soát về cách ứng phó trước vụ vi phạm an ninh mạng liên quan đến dữ liệu bệnh nhân trên nền tảng ManageMyHealth.
Tin tặc đã đe dọa sẽ công bố 400.000 tài liệu bị đánh cắp từ hồ sơ bệnh nhân nếu ManageMyHealth không trả tiền trước hạn vào thứ Ba.
Trong một tuyên bố, ông Brown cho biết dữ liệu bệnh nhân mang tính cá nhân vô cùng nhạy cảm và dù được lưu trữ bởi cơ quan nhà nước hay công ty tư nhân, thì cũng phải được bảo vệ ở mức tiêu chuẩn cao nhất.
“Tôi đã quyết định giao cho Bộ Y tế chủ trì việc rà soát phản ứng của ManageMyHealth và Health New Zealand đối với sự việc này.”
Vị bộ trưởng đã gửi thư tới Tổng Giám đốc Y tế, đề nghị cuộc rà soát phải được khởi động trước khi kết thúc tháng này.
Mục đích của cuộc rà soát được nêu rõ trong thư của ông Brown, bao gồm:
- đánh giá nguyên nhân của sự cố
- xem xét mức độ đầy đủ của các biện pháp bảo vệ dữ liệu hiện có, cũng như cách ứng phó với sự cố
- đề xuất các cải thiện cần thiết nhằm ngăn chặn những sự việc tương tự trong tương lai
Lá thư nêu rõ cuộc rà soát cần được tiến hành sớm nhất có thể, nhưng cũng lưu ý rằng “điều quan trọng là việc rà soát không được làm ảnh hưởng đến các biện pháp ứng phó tức thời đối với sự cố”.
Ông Brown cho biết Health NZ đã được thông báo rằng các hệ thống của họ không bị ảnh hưởng, và cơ quan này đang làm việc với các bác sĩ gia đình (GP) để xác định mức độ ảnh hưởng đối với bệnh nhân.
Việc xác nhận sẽ tiến hành rà soát được đưa ra sau 5 ngày kể từ khi ManageMyHealth tuyên bố vào đêm Giao thừa rằng vụ xâm nhập trái phép vào hệ thống của họ đã được “khống chế”.
Công ty này, đơn vị vận hành cổng thông tin dữ liệu bệnh nhân lớn nhất New Zealand, cho biết vào ngày hôm sau rằng có tới 7% trong khoảng 1,8 triệu người dùng đăng ký có thể đã bị ảnh hưởng — tương đương khoảng 126.000 người.
Hôm Chủ nhật, tin tặc đe dọa sẽ rò rỉ hơn 400.000 tệp dữ liệu nếu công ty không trả cho họ 60.000 USD.
Chúng đã truy cập vào mục tài liệu y tế của ứng dụng ManageMyHealth, và các mẫu tài liệu được đưa ra cho những “người mua” tiềm năng bao gồm ghi chú lâm sàng, kết quả xét nghiệm, thông tin hộ chiếu và hình ảnh cơ thể của người dùng.
Ông Brown cho biết một nhóm đã họp hằng ngày để điều phối tư vấn và hỗ trợ giữa các cơ quan chính phủ, và ông đã nhận được báo cáo cập nhật mỗi ngày kể từ ngày 1/1.
“Tôi biết vụ rò rỉ này sẽ khiến rất nhiều người dân New Zealand sử dụng ManageMyHealth vô cùng lo ngại, và chúng ta cần có những cam kết rõ ràng về việc bảo vệ và an ninh dữ liệu sức khỏe của người dân,” ông Brown nói.
“Chúng ta phải rút ra bài học từ sự cố này để tránh lặp lại những sự việc tương tự trong tương lai.”
Trước đó, ông từng nói với RNZ rằng đây là một “tình huống cực kỳ nghiêm trọng” và là một “hồi chuông cảnh tỉnh lớn”.
Ông cho biết hiện vẫn chưa rõ nhóm tin tặc tự xưng là Kazu đang hoạt động từ đâu.
Trong khi đó, ManageMyHealth cho biết họ đã xác định được toàn bộ các bệnh nhân có hồ sơ y tế bị đánh cắp — nhưng hiện vẫn chưa thể cho biết khi nào tất cả những người này sẽ được thông báo.
Người phát ngôn của ManageMyHealth cho biết công ty hy vọng sẽ có cập nhật vào cuối tuần này, sau khi hoàn tất việc phối hợp truyền thông với các bác sĩ gia đình và bệnh nhân bị ảnh hưởng, cùng với Bộ Y tế, Health NZ, Ủy viên Quyền riêng tư và GPNZ.
“Chúng tôi không cần chờ để xác định ai bị ảnh hưởng — chúng tôi đã biết.”
Công ty đang làm việc để đưa ra “mốc thời gian thông báo” trước thứ Ba.
Do các tài liệu y tế có nguồn gốc từ nhiều đơn vị khác nhau, nên có nhiều cơ quan cùng chịu nghĩa vụ theo Đạo luật Quyền riêng tư và Bộ Quy tắc Quyền riêng tư Thông tin Y tế trong việc thông báo cho những người bị ảnh hưởng.
“Điều này đòi hỏi sự phối hợp để đảm bảo chúng tôi đáp ứng đầy đủ các nghĩa vụ pháp lý, đồng thời tránh gây nhầm lẫn cho bệnh nhân khi nhiều tổ chức khác nhau cùng liên hệ với họ về cùng một sự cố.”
Người phát ngôn cho biết hiện “chưa phù hợp để bình luận” về các vấn đề kỹ thuật cụ thể khi cuộc rà soát vẫn đang diễn ra.
“Điều chúng tôi có thể xác nhận là chúng tôi đã biết về sự cố này vào ngày 30/12 khi được một đối tác thông báo, và chúng tôi đã báo cho các cơ quan chức năng liên quan ngay trong ngày hôm đó. Lỗ hổng cụ thể cho phép truy cập trái phép đã được xác định, vá lại và được các chuyên gia an ninh mạng độc lập bên ngoài xác minh.”
Theo rnz.co.nz - Hani Dang