Rò rỉ dữ liệu cá nhân của quân nhân Anh

UnitedHealth thừa nhận dữ liệu của khoảng 30% người dân Mỹ có thể bị đánh cắp

Ngày 1/5, Giám đốc điều hành Tập đoàn bảo hiểm y tế UnitedHealth, ông Andrew Witty, đã ra điều trần trước các ủy ban của Hạ viện và Thượng viện Mỹ liên quan vụ tấn công mạng hồi tháng 2 năm nay nhằm vào Change Healthcare - đơn vị chịu trách nhiệm xử lý khoảng 50% tổng số yêu cầu bồi thường y tế tại Mỹ.

Tin tặc đã truy cập hệ thống của Change Healthcare - có khả năng đánh cắp khoảng 33% dữ liệu cá nhân và sức khỏe của người dân Mỹ. Ảnh minh họa: bloomberg.com

Trong các cuộc điều trần, các nghị sĩ đã đồng loạt chỉ trích mạnh mẽ UnitedHealth, nhấn mạnh rằng cách thức tập đoàn này xử lý một cuộc tấn công mạng đã làm tổn hại đến hệ thống y tế Mỹ, đe dọa sự ổn định tài chính của các bệnh viện và bác sĩ cũng như khiến dữ liệu của hàng chục triệu bệnh nhân bị ảnh hưởng. Hạ nghị sĩ Cathy McMorris Rodgers, Chủ tịch Ủy ban Thương mại và Năng lượng Hạ viện Mỹ, cho rằng cách xử lý tình huống của UnitedHealth có thể sẽ là "một nghiên cứu tình huống điển hình về việc quản lý khủng hoảng yếu kém trong nhiều thập kỷ tới".

Đối mặt với hai viện của Quốc hội, CEO Witty đã liên tục xin lỗi về vụ tấn công mạng nhằm vào công ty con Chang Healthcare, cam kết công ty sẽ nỗ lực khắc phục vấn đề.

Theo ông Witty, tin tặc có khả năng đã đánh cắp khoảng 33% dữ liệu cá nhân và sức khỏe của người dân Mỹ. Ông cũng thừa nhận rằng tin tặc đã truy cập hệ thống của Change Healthcare thông qua một cổng thông tin điện tử không được bảo vệ bằng các biện pháp xác thực đa yếu tố, một tính năng bảo mật yêu cầu thông tin bổ sung để đăng nhập. Vị CEO này cam kết rằng UnitedHealth sẽ áp dụng biện pháp yêu cầu xác thực đa yếu tố trên các hệ thống của mình trên toàn công ty trong vòng 6 tháng. Ông cho biết công ty đã cung cấp hơn 6,5 tỷ USD cho các khoản vay miễn lãi suất cho các bệnh viện và bác sĩ bị ảnh hưởng, cũng như giám sát tín dụng miễn phí cho các bệnh nhân bị đánh cắp thông tin. Ông Witty cũng xác nhận rằng UnitedHealth đã trả khoản tiền chuộc 22 triệu USD cho tin tặc bằng tiền kỹ thuật số bitcoin.

Lời xin lỗi của ông Witty đã bị các nghị sĩ bác bỏ khi chỉ ra các giao thức an ninh mạng còn thiếu sót của UnitedHealth. Các nghị sĩ cũng chỉ trích việc UnitedHealth trả tiền chuộc cho tin tặc trong khi không ngăn chặn được thông tin của bệnh nhân bị rò rỉ trên Internet. Thượng nghị sĩ Ron Wyden tại Ủy ban Tài chính Thượng viện Mỹ mô tả vụ tấn công mạng nhằm vào Change Healthcare là một cảnh báo nghiêm trọng về hậu quả của việc các tập đoàn khổng lồ chiếm thị phần ngày càng lớn hơn trong hệ thống chăm sóc sức khỏe.

Các ủy ban của Quốc hội Mỹ cũng bày tỏ lo ngại về hậu quả nghiêm trọng của hành vi vi phạm, bao gồm cả tổn thất tài chính cho bệnh viện và bác sĩ. Trong thư gửi hai ủy ban trên, Hiệp hội Bệnh viện Mỹ cho biết kết quả khảo sát nội bộ các thành viên hiệp hội cho thấy 94% số bệnh viện báo cáo thiệt hại về dòng tiền, trong khi đó hơn 50% báo cáo thiệt hại tài chính "đáng kể hoặc nghiêm trọng" do Change Healthcare không thể xử lý yêu cầu bồi thường. Ngoài ra, 90% các bác sĩ được hỏi cho biết họ tiếp tục mất doanh thu vì vụ tấn công.

Vụ tấn công mạng nghiêm trọng nhằm vào Change Healthcare xảy ra ngày 21/2. UnitedHealth mô tả đây là một trong những sự cố tồi tệ nhất ảnh hưởng đến hệ thống y tế của Mỹ, dẫn đến gián đoạn lớn trong quy trình thanh toán, cùng những tác động tiềm tàng đối với bệnh nhân, bác sĩ và các nhà cung cấp dịch vụ chăm sóc sức khỏe.

Vụ việc cho thấy vẫn còn những lỗ hổng trong cơ sở hạ tầng an ninh mạng của ngành chăm sóc sức khỏe. Tin tặc thường tìm kiếm dữ liệu nhạy cảm như hồ sơ bệnh nhân, lịch sử y tế hoặc kế hoạch điều trị để tống tiền hoặc thực hiện các hành vi phạm tội tiếp theo.