BẢO HIỂM XÃ HỘI VIỆT NAM ------- | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc --------------- |
Số: 3200/BHXH-CNTT V/v bảo mật thông tin tài khoản truy cập Hệ thống thông tin giám định BHYT | Hà Nội, ngày 03 tháng 09 năm 2019 |
Kính gửi: Bảo hiểm xã hội các tỉnh, thành phố trực thuộc Trung ương.
Qua theo dõi trên hệ thống giám sát điều hành của ngành Bảo hiểm xã hội (BHXH), hiện nay có một số cơ sở khám chữa bệnh bảo hiểm y tế (CSKCB) để lộ tài khoản và mật khẩu truy cập Cổng tiếp nhận dữ liệu Hệ thống thông tin giám định bảo hiểm y tế (Hệ thống) dẫn đến việc có một số cá nhân, tổ chức lợi dụng để khai thác thông tin, trong đó có tài khoản của Bệnh viện Than - Khoáng sản (01087_BV) trên địa bàn thành phố Hà Nội có số lượng truy cập để khai thác thông tin với hơn một triệu lượt/ngày (Chi tiết theo tỉnh, TP trong Phụ lục kèm theo), sự việc trên làm ảnh hưởng không nhỏ đến vận hành Hệ thống. Nguyên nhân ban đầu được xác định do một số CSKCB sử dụng các phần mềm miễn phí hoặc có trả phí nhưng không có bản quyền trôi nổi trên Internet để thực hiện việc kiểm tra các file dữ liệu của CSKCB (file XML) trước khi gửi lên Hệ thống dẫn đến việc mật khẩu bị lộ lọt ra bên ngoài và phát sinh số lượng tra cứu thông tin thẻ BHYT một cách bất thường. Việc lộ lọt mật khẩu này có thể giúp cho kẻ xấu có thể khai thác thông tin thẻ BHYT và thông tin khám chữa bệnh của người tham gia BHYT trên toàn quốc.
Nhằm tăng cường tính bảo mật và an toàn thông tin cho Hệ thống, BHXH Việt Nam yêu cầu BHXH các tỉnh, thành phố thực hiện các nội dung sau:
Rà soát tài khoản của các CSKCB đã được cơ quan BHXH Việt Nam cấp, khóa tài khoản truy cập Hệ thống khi CSKCB không tiếp tục hoặc tạm dừng ký hợp đồng khám chữa bệnh với cơ quan BHXH kịp thời.
Yêu cầu các CSKCB cam kết bằng văn bản việc bảo đảm an toàn, bảo mật thông tin của các tài khoản, không để lộ lọt mật khẩu. Định kỳ thay đổi mật khẩu theo Quy chế quản lý, khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành BHXH ban hành tại Quyết định số 2366/QĐ-BHXH ngày 28/11/2018 của Tổng Giám đốc BHXH Việt Nam.
Thông báo tới các CSKCB việc Hệ thống tự động dừng cấp quyền sử dụng các hàm tra cứu tự động (API) khi phát hiện số lượng tra cứu bất thường từ các CSKCB. Để có thể phục hồi tài khoản sử dụng đối với các hàm tra cứu tự động, các CSKCB phải thực hiện đổi mật khẩu và có văn bản giải trình về số lượng tra cứu bất thường này gửi về cơ quan BHXH ký hợp đồng. Sau khi tiếp nhận văn bản từ CSKCB, BHXH tỉnh thực hiện việc kiểm tra và gửi văn bản kèm theo văn bản của CSKCB về Trung tâm CNTT để mở khóa tài khoản tra cứu. Việc khóa và mở khóa
quyền sử dụng các hàm tra cứu sẽ được Hệ thống tự động gửi tin nhắn về số điện thoại người đại diện của CSKCB đã được khai báo đăng ký nhận thông tin hàng tháng trên Hệ thống.
Trong quá trình triển khai thực hiện, nếu có khó khăn, vướng mắc, báo cáo về BHXH Việt Nam (Trung tâm Công nghệ thông tin) để kịp thời xem xét, giải quyết./.
Nơi nhận:
Như trên;
Bộ Y tế (để b/c);
Tổng Giám đốc (để b/c);
Các Phó Tổng Giám đốc;
Các đơn vị: CSYT, GĐB, GĐN;
Lưu: VT, CNTT.