Trụ sở tập đoàn Cognizant Technology Solutions ở bang New Jersey. Ảnh New Jersey Business

Cognizant có trụ sở chính tại bang New Jersey, được niêm yết trên sàn Nasdaq (mã CTSH) và là thành viên của chỉ số Nasdaq-100. Doanh nghiệp này hiện cung cấp dịch vụ cho hàng nghìn khách hàng toàn cầu trong các lĩnh vực then chốt như tài chính, bảo hiểm, bán lẻ và đặc biệt là chăm sóc sức khỏe, với quy mô nhân sự lên tới hơn 330.000 người trên toàn thế giới. Trong bối cảnh các mối đe dọa mạng ngày càng gia tăng, sự cố tại TriZetto đang gây ảnh hưởng đáng kể tới uy tín và năng lực quản lý rủi ro của tập đoàn.

Theo hồ sơ tòa án, Cognizant hiện phải tự bảo vệ trước ít nhất ba vụ kiện tập thể được đệ trình tại các tòa án liên bang ở bang New Jersey và Missouri. Các nguyên đơn cáo buộc công ty thiếu trách nhiệm trong việc bảo vệ dữ liệu cá nhân, đồng thời chậm trễ trong việc thông báo sự cố an ninh mạng cho các bên bị ảnh hưởng.

Lỗ hổng an ninh mạng kéo dài gần một năm

Các tài liệu pháp lý cho thấy dòng thời gian đáng lo ngại của vụ việc. Tin tặc được cho là đã xâm nhập trái phép vào hệ thống của TriZetto từ tháng 11/2024, nhưng đến ngày 2/10/2025, Cognizant mới phát hiện ra sự cố, tương đương 11 tháng hệ thống bị xâm nhập mà không bị phát hiện.

Trong khoảng thời gian này, các đối tượng tấn công đã có thể tiếp cận nhiều dữ liệu nhạy cảm trong lĩnh vực y tế, bao gồm số An sinh xã hội, thông tin tài khoản tài chính và địa chỉ cư trú.

Khoảng trống kéo dài trong khâu phát hiện sự cố đang đặt ra câu hỏi lớn về năng lực giám sát an ninh mạng và quy trình ứng phó sự cố của Cognizant, đặc biệt khi tập đoàn này đóng vai trò là nhà cung cấp hạ tầng CNTT cho nhiều tổ chức y tế và bảo hiểm lớn tại Mỹ.

Cognizant bị cáo buộc vi phạm nghĩa vụ bảo vệ và thông báo dữ liệu

Các nguyên đơn đến từ Arizona, California và nhiều bang khác cáo buộc Cognizant và TriZetto không triển khai các biện pháp bảo mật đạt chuẩn ngành để bảo vệ thông tin cá nhân. Đồng thời, hai công ty này bị cáo buộc vi phạm nghĩa vụ thông báo kịp thời cho các cá nhân bị ảnh hưởng sau khi phát hiện sự cố.

Theo nội dung đơn kiện, việc thông báo chậm trễ đã khiến nạn nhân không kịp thực hiện các biện pháp phòng ngừa, làm gia tăng nguy cơ bị đánh cắp danh tính và gian lận tài chính.

Ngoài ra, các đơn kiện cũng nhấn mạnh rằng các thông tin công bố công khai của Cognizant thiếu chi tiết, không làm rõ nguyên nhân gốc rễ của vụ tấn công cũng như các biện pháp khắc phục đã được triển khai.

Nguy cơ gia tăng với lĩnh vực hạ tầng công nghệ thông tin ngành y

Trước áp lực dư luận và pháp lý, Cognizant và TriZetto khẳng định an ninh dữ liệu vẫn là ưu tiên hàng đầu. Người phát ngôn của TriZetto cho biết công ty “coi trọng nghiêm túc việc bảo vệ thông tin và lấy làm tiếc về những bất tiện mà sự cố gây ra”, song từ chối bình luận thêm do các vụ kiện đang trong quá trình xét xử.

Vụ việc tiếp tục làm nổi bật những rủi ro ngày càng gia tăng trong lĩnh vực hạ tầng CNTT ngành y, khi các nhà cung cấp dịch vụ công nghệ quản lý khối lượng lớn dữ liệu bệnh nhân và thông tin bảo hiểm nhạy cảm. Khi các vụ kiện được đưa ra xét xử, tòa án nhiều khả năng sẽ xem xét, liệu cách thức ứng phó của Cognizant có đáp ứng các chuẩn mực pháp lý và đạo đức hay không, qua đó có thể đưa ra những khái niệm mới về yêu cầu bảo vệ dữ liệu y tế đối với toàn ngành.

An Lâm (Theo Cyber Press)