Trong báo cáo công bố ngày 3 tháng 1 năm 2025, Tòa Kiểm toán đã lập đánh giá về các cuộc tấn công mạng nhắm vào các bệnh viện của Pháp trong giai đoạn từ năm 2019 đến năm 2023. Trong bốn năm này, các cơ sở chăm sóc sức khỏe tại Pháp đã phải hứng chịu một làn sóng tấn công máy tính chưa từng có.
Vào năm 2023, 10% nạn nhân của các cuộc tấn công mạng là bệnh viện, Tòa Kiểm toán nhấn mạnh, trích dẫn kết luận của Cơ quan An ninh Hệ thống Thông tin Quốc gia (Anssi). Thông thường, các cuộc tấn công được dàn dựng bởi những tin tặc chuyên về phần mềm tống tiền. Những kẻ này đã tấn công hơn 30 cơ sở trong hai năm. Các cuộc tấn công mạng "chủ yếu dưới hình thức
"xâm phạm" hệ thống thông tin, tức là vi phạm cơ sở dữ liệu và mã bí mật", Tòa án giải thích.
Để giải thích sự bùng nổ của các cuộc tấn công mạng vào bệnh viện, Tòa án Kiểm toán trước tiên chỉ ra "điểm yếu của hệ thống thông tin", được coi là mong manh, quá phức tạp và lỗi thời. Theo báo cáo, 20% thiết bị đã lỗi thời. Điểm yếu này về cơ bản bắt nguồn từ “sự thiếu đầu tư kinh niên vào công nghệ số”. Phản ánh cộng đồng người Pháp, các bệnh viện không đầu tư đủ tiền vào cơ sở hạ tầng để bảo vệ mình khỏi tin tặc.
Như báo cáo nêu bật, các cuộc tấn công mạng gây ra hậu quả nghiêm trọng "đối với hoạt động của các cơ sở chăm sóc sức khỏe và việc chăm sóc bệnh nhân". Không phải là hiếm khi một cuộc tấn công mạng buộc bệnh viện phải gián đoạn hoạt động, hủy bỏ hoạt động hoặc chuyển bệnh nhân đến các cơ sở khác. Đây rõ ràng là mối nguy hiểm đối với sức khỏe của bệnh nhân.
Báo cáo lấy ví dụ về cuộc tấn công mạng vào bệnh viện Armentières vào đầu năm 2024. Được tin tặc Lockbit nhận trách nhiệm, cuộc tấn công đã buộc cơ sở này phải chuyển hướng bệnh nhân đến các cơ sở khác, trong khi phòng cấp cứu vẫn đóng cửa trong ba ngày để "đảm bảo an toàn cho bệnh nhân" và cho phép sửa chữa các hệ thống bị hư hỏng.
Là một phần trong hành động xâm nhập của mình, tội phạm mạng đã đánh cắp dữ liệu y tế nhạy cảm của 230.000 bệnh nhân bằng phần mềm tống tiền của chúng. Chúng ta cũng sẽ nhớ đến cuộc tấn công của Lockbit vào bệnh viện Cannes-Simone Veil vào tháng 4 năm ngoái, buộc ban quản lý phải hoãn "hoạt động theo lịch trình không khẩn cấp" và "các buổi tư vấn không khẩn cấp". Một lần nữa, dữ liệu y tế đã bị đánh cắp.
Báo cáo cũng đề cập đến một cuộc tấn công mạng đã làm tê liệt một bệnh viện ở Pháp và làm giảm 20% hoạt động phẫu thuật và sản khoa của bệnh viện này. Phòng khám mất 18 tháng để xây dựng lại hệ thống thông tin. Trong khi đó, việc quản lý chăm sóc thủ công đã gây ra sự chậm trễ và sai sót nghiêm trọng.
Hơn nữa, khu vực tài chính cho biết sự gia tăng các cuộc tấn công mạng đã làm thiệt hại rất lớn cho hệ thống chăm sóc sức khỏe của Pháp. Việc xâm nhập máy tính, thường đi kèm với hành vi đánh cắp dữ liệu hoặc chặn cơ sở hạ tầng, khiến các bệnh viện bị ảnh hưởng mất rất nhiều tiền.
Một trong những khoản chi phí lớn nhất đối với các cơ sở nằm trong tầm ngắm của tin tặc là "tái thiết hệ thống thông tin". Các bệnh viện đang phải chi một khoản tiền lớn để khởi động lại cơ sở hạ tầng CNTT của mình sau khi bị tê liệt vì virus. Những khoản chi phí này dùng để "tái thiết mạng lưới, tái đưa tất cả các nhà xuất bản và phần mềm liên quan vào hoạt động hoặc thậm chí là chi phí thầu phụ cho một số hoạt động đã dừng lại." Ví dụ, bệnh viện Armentières chịu thiệt hại ước tính khoảng hai triệu euro. Số tiền này bao gồm tất cả chi phí liên quan đến quản lý khủng hoảng, các biện pháp khắc phục và giảm doanh thu bệnh viện. Về phần mình, trung tâm bệnh viện Dax đã bơm 2,3 triệu euro để phục hồi sau vụ xâm nhập xảy ra vào năm 2021. Cuối cùng, trung tâm bệnh viện Versailles, nạn nhân của một cuộc tấn công mạng vào năm 2022, báo cáo mất 20 triệu euro doanh thu.
Tòa Kiểm toán rất tiếc vì các cơ quan công quyền đã phản ứng chậm trễ đáng kể trước vấn đề do các cuộc tấn công mạng gây ra. Một chương trình phòng ngừa và bảo vệ, được tài trợ lên tới 750 triệu euro, đã được triển khai vào năm 2023 để tăng cường tính bảo mật của hệ thống thông tin bệnh viện. Mặc dù hơi muộn, nhưng tòa án tin rằng chương trình này phải được duy trì.
Ngoài ra, Tòa án khuyến nghị thành lập một nhóm chuyên gia quốc gia để đánh giá tổn thất tài chính trong trường hợp xảy ra các cuộc tấn công mạng lớn và đề xuất, nếu cần thiết, các biện pháp mạnh mẽ, chẳng hạn như xóa bỏ một số nghĩa vụ hành chính đối với các bệnh viện bị ảnh hưởng nhiều nhất. Báo cáo cũng kêu gọi ban hành các biện pháp tài chính bổ sung.
Nguồn: Cour des Comptes
Vào năm 2023, 10% nạn nhân của các cuộc tấn công mạng là bệnh viện, Tòa Kiểm toán nhấn mạnh, trích dẫn kết luận của Cơ quan An ninh Hệ thống Thông tin Quốc gia (Anssi). Thông thường, các cuộc tấn công được dàn dựng bởi những tin tặc chuyên về phần mềm tống tiền. Những kẻ này đã tấn công hơn 30 cơ sở trong hai năm. Các cuộc tấn công mạng "chủ yếu dưới hình thức
"xâm phạm" hệ thống thông tin, tức là vi phạm cơ sở dữ liệu và mã bí mật", Tòa án giải thích.
Thiết bị lỗi thời và ngân sách hạn chế
Để giải thích sự bùng nổ của các cuộc tấn công mạng vào bệnh viện, Tòa án Kiểm toán trước tiên chỉ ra "điểm yếu của hệ thống thông tin", được coi là mong manh, quá phức tạp và lỗi thời. Theo báo cáo, 20% thiết bị đã lỗi thời. Điểm yếu này về cơ bản bắt nguồn từ “sự thiếu đầu tư kinh niên vào công nghệ số”. Phản ánh cộng đồng người Pháp, các bệnh viện không đầu tư đủ tiền vào cơ sở hạ tầng để bảo vệ mình khỏi tin tặc.
Như báo cáo nêu bật, các cuộc tấn công mạng gây ra hậu quả nghiêm trọng "đối với hoạt động của các cơ sở chăm sóc sức khỏe và việc chăm sóc bệnh nhân". Không phải là hiếm khi một cuộc tấn công mạng buộc bệnh viện phải gián đoạn hoạt động, hủy bỏ hoạt động hoặc chuyển bệnh nhân đến các cơ sở khác. Đây rõ ràng là mối nguy hiểm đối với sức khỏe của bệnh nhân.
Báo cáo lấy ví dụ về cuộc tấn công mạng vào bệnh viện Armentières vào đầu năm 2024. Được tin tặc Lockbit nhận trách nhiệm, cuộc tấn công đã buộc cơ sở này phải chuyển hướng bệnh nhân đến các cơ sở khác, trong khi phòng cấp cứu vẫn đóng cửa trong ba ngày để "đảm bảo an toàn cho bệnh nhân" và cho phép sửa chữa các hệ thống bị hư hỏng.
Là một phần trong hành động xâm nhập của mình, tội phạm mạng đã đánh cắp dữ liệu y tế nhạy cảm của 230.000 bệnh nhân bằng phần mềm tống tiền của chúng. Chúng ta cũng sẽ nhớ đến cuộc tấn công của Lockbit vào bệnh viện Cannes-Simone Veil vào tháng 4 năm ngoái, buộc ban quản lý phải hoãn "hoạt động theo lịch trình không khẩn cấp" và "các buổi tư vấn không khẩn cấp". Một lần nữa, dữ liệu y tế đã bị đánh cắp.
Báo cáo cũng đề cập đến một cuộc tấn công mạng đã làm tê liệt một bệnh viện ở Pháp và làm giảm 20% hoạt động phẫu thuật và sản khoa của bệnh viện này. Phòng khám mất 18 tháng để xây dựng lại hệ thống thông tin. Trong khi đó, việc quản lý chăm sóc thủ công đã gây ra sự chậm trễ và sai sót nghiêm trọng.
Chi phí khổng lồ của tội phạm mạng
Hơn nữa, khu vực tài chính cho biết sự gia tăng các cuộc tấn công mạng đã làm thiệt hại rất lớn cho hệ thống chăm sóc sức khỏe của Pháp. Việc xâm nhập máy tính, thường đi kèm với hành vi đánh cắp dữ liệu hoặc chặn cơ sở hạ tầng, khiến các bệnh viện bị ảnh hưởng mất rất nhiều tiền.
Một trong những khoản chi phí lớn nhất đối với các cơ sở nằm trong tầm ngắm của tin tặc là "tái thiết hệ thống thông tin". Các bệnh viện đang phải chi một khoản tiền lớn để khởi động lại cơ sở hạ tầng CNTT của mình sau khi bị tê liệt vì virus. Những khoản chi phí này dùng để "tái thiết mạng lưới, tái đưa tất cả các nhà xuất bản và phần mềm liên quan vào hoạt động hoặc thậm chí là chi phí thầu phụ cho một số hoạt động đã dừng lại." Ví dụ, bệnh viện Armentières chịu thiệt hại ước tính khoảng hai triệu euro. Số tiền này bao gồm tất cả chi phí liên quan đến quản lý khủng hoảng, các biện pháp khắc phục và giảm doanh thu bệnh viện. Về phần mình, trung tâm bệnh viện Dax đã bơm 2,3 triệu euro để phục hồi sau vụ xâm nhập xảy ra vào năm 2021. Cuối cùng, trung tâm bệnh viện Versailles, nạn nhân của một cuộc tấn công mạng vào năm 2022, báo cáo mất 20 triệu euro doanh thu.
Phản ứng muộn
Tòa Kiểm toán rất tiếc vì các cơ quan công quyền đã phản ứng chậm trễ đáng kể trước vấn đề do các cuộc tấn công mạng gây ra. Một chương trình phòng ngừa và bảo vệ, được tài trợ lên tới 750 triệu euro, đã được triển khai vào năm 2023 để tăng cường tính bảo mật của hệ thống thông tin bệnh viện. Mặc dù hơi muộn, nhưng tòa án tin rằng chương trình này phải được duy trì.
Ngoài ra, Tòa án khuyến nghị thành lập một nhóm chuyên gia quốc gia để đánh giá tổn thất tài chính trong trường hợp xảy ra các cuộc tấn công mạng lớn và đề xuất, nếu cần thiết, các biện pháp mạnh mẽ, chẳng hạn như xóa bỏ một số nghĩa vụ hành chính đối với các bệnh viện bị ảnh hưởng nhiều nhất. Báo cáo cũng kêu gọi ban hành các biện pháp tài chính bổ sung.
Nguồn: Cour des Comptes
