ช่วงไม่กี่เดือนที่ผ่านมา Ransomware ส่งผลกระทบอย่างรุนแรงต่อการให้บริการของโรงพยาบาลหลายแห่งในสหรัฐอเมริกา ขณะที่โรงพยาบาลในประเทศไทยหลายแห่งก็ได้รับผลกระทบเช่นกัน และเชื่อว่าภัยคุกคามนี้น่าจะทวีความรุนแรงมากขึ้น สมาคมเวชสารสนเทศไทย (TMI) จึงจัดทำข้อเสนอแนะเชิงนโยบาย เพื่อผลักดันให้ภาครัฐจัดการกับปัญหาดังกล่าว
ภัยคุกคามด้านความมั่นคงปลอดภัยของระบบสารสนเทศมีอยู่หลายรูปแบบ ทั้งการระบาดของไวรัสคอมพิวเตอร์และมัลแวร์ต่าง ๆ การเจาะระบบของแฮกเกอร์ การลักลอบขโมยข้อมูลของบุคลากรภายในองค์กร (Insiders) การโจรกรรมตัวตน (Identity Thefts) โดยการสวมรอยเป็นบุคคลอื่นโดยใช้ข้อมูลส่วนบุคคลของผู้นั้นเพื่อประโยชน์ต่าง ๆ ตลอดจนถึงการขาดความตระหนักของผู้ใช้งานเอง ทำให้ข้อมูลรั่วไหลหรือถูกเปิดเผยโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล
แต่เมื่อเร็ว ๆ นี้ ได้เกิดภัยคุกคามประเภทใหม่ คือ มัลแวร์เรียกค่าไถ่ (Ransomware) ซึ่งเป็นโปรแกรมมัลแวร์ประเภทหนึ่งที่ปิดกั้นและขัดขวางไม่ให้ผู้ใช้งานสามารถเข้าถึงระบบหรือข้อมูลในระบบได้ โดยจะบังคับให้เหยื่อจ่ายค่าไถ่ผ่านช่องทางธุรกรรมออนไลน์แลกกับการที่จะกลับมาเข้าถึงระบบหรือข้อมูล
สถานพยาบาลที่เผชิญกับภัยจาก Ransomware อาจทำให้ระบบสารสนเทศไม่สามารถใช้งานได้ หรือผู้ใช้งานไม่สามารถเข้าถึงข้อมูลผู้ป่วยและข้อมูลอื่น ๆ ในระบบ ทำให้การบริการผู้ป่วยหยุดชะงัก หรือเครื่องมือแพทย์ที่ทำงานแบบอัตโนมัติทำงานผิดพลาด ซึ่งเป็นอันตรายต่อสุขภาพและชีวิตของผู้ป่วย
ข้อมูลจากการสำรวจโดย Healthcare IT News ของ HIMSS ซึ่งเป็นสมาคมด้านเวชสารสนเทศระดับโลก พบว่า สถานพยาบาลกว่าครึ่งหนึ่งถูกโจมตีจาก Ransomware มาก่อน ทำให้หน่วยงาน U.S. Computer Emergency Readiness Team (US-CERT) ของ U.S. Department of Homeland Security และ Canadian Cyber Incident Response Centre ตลอดจน FBI ต้องออกประกาศเตือนภัยต่อผู้เกี่ยวข้อง ขณะที่บทวิเคราะห์หลายแห่งรายงานว่า Ransomware กำลังพุ่งเป้าโจมตีระบบของโรงพยาบาล เนื่องจากโรงพยาบาลมักมีการรักษาความมั่นคงปลอดภัยที่อ่อนกว่าองค์กรอื่น ๆ
ในไทยเอง ข้อมูลอย่างไม่เป็นทางการระบุว่า โรงพยาบาลบางแห่งและราชวิทยาลัยแพทย์บางสาขา ได้รับผลกระทบจาก Ransomware เช่นกัน และเชื่อว่าภักคุมคามดังกล่าวจะรุนแรงขึ้น เนื่องจากหน่วยงานและสถานพยาบาลของไทยส่วนใหญ่ยังขาดความตระหนักและความพร้อมในการรับมือกับภัยคุกคาม
สมาคมเวชสารสนเทศไทย ในฐานะองค์กรวิชาชีพที่มีวัตถุประสงค์ในการดำเนินการให้เกิดการแลกเปลี่ยน พัฒนา และเผยแพร่องค์ความรู้ด้านเวชสารสนเทศแก่สมาชิกผู้ปฏิบัติงานด้านเวชสารสนเทศ จึงจัดทำข้อเสนอเชิงนโยบายไปยังภาครัฐ เพื่อให้เกิดการดำเนินการป้องกันและบรรเทาผลกระทบอย่างเป็นระบบ
ในระดับประเทศ ควรจัดให้มีหน่วยงานที่ทำหน้าที่กำกับดูแลมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ในระบบบริการสุขภาพ (Healthcare Sector Computer Emergency Readiness Team หรือ Healthcare CERT) โดยทำงานร่วมกับ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และจัดทำมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศของเครื่องมือแพทย์ เพื่อให้ผลิตภัณฑ์เครื่องมือแพทย์มีมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เพียงพอ และการติดตั้งอุปกรณ์เหล่านี้ในสถานพยาบาลเป็นไปอย่างเหมาะสมและมั่นคงปลอดภัย โดยอาจศึกษาจากมาตรฐานและแนวทางของต่างประเทศ เช่น Medical Device Isolation Architecture
ผู้บริหารสถานพยาบาลและองค์กรต่าง ๆ ในระบบบริการสุขภาพควรตระหนักและให้ความสำคัญกับการป้องกันความเสี่ยงและการเตรียมพร้อมรับมือจากภัยคุกคามสารสนเทศทุกรูปแบบ โดยยึดมาตรฐาน ISO/IEC 27001, ISO/IEC 27799 และ ISO/IEC 27002 และมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศในระดับเคร่งครัด
ผู้บริหารสูงสุด ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง และผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ควรดำเนินการต่อไปนี้เพื่อลดความเสี่ยงจากภัยคุกคามของ Ransomware
– จัดให้มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Professionals) เพื่อบริหารจัดการความเสี่ยงและเตรียมพร้อมรับมือกับภัยคุกคาม
– ดำเนินการให้มีระบบสำรองข้อมูล (Data Backup) ที่ใช้งานได้จริงแยกจากระบบที่ใช้งานปกติ และมีการสำรองข้อมูลอย่างสม่ำเสมอ เช่น ทุก ๆ 1 วันหรือถี่กว่า
– มีแผนสำรองฉุกเฉินที่รองรับการกู้ระบบจากเหตุขัดข้องต่าง ๆ (Disaster Recovery Plan) และการแก้ปัญหาเฉพาะหน้าเพื่อให้สามารถให้บริการต่อได้ระหว่างเกิดเหตุขัดข้องของระบบ (Business Continuity Plan)
– เตรียมกลไกประสานงานกับหน่วยงาน ผู้เชี่ยวชาญ หรือบริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้สามารถช่วยแก้ไขสถานการณ์ได้ขณะที่เกิดปัญหาขึ้น ซึ่งควรรวมถึงการมีช่องทางประสานงานกับ ThaiCERT ด้วย
– จัดให้มีการปรับปรุงระบบปฏิบัติการ และซอฟต์แวร์ต่าง ๆ ของทั้ง Server และ PC ให้เป็นปัจจุบันอยู่เสมอ
– จัดให้มีการใช้โปรแกรม Antivirus Software ที่ถูกลิขสิทธิ์และอัพเดตอยู่เสมอ
– ออกแบบระบบเครือข่ายให้มีความปลอดภัยและลดความเสี่ยง เช่น แยกวง LAN สำหรับการให้บริการผู้ป่วยไม่ให้สามารถเข้าถึงอินเทอร์เน็ตได้ และติดตั้ง Firewall และอุปกรณ์ป้องกันการเจาะระบบในตำแหน่งที่เหมาะสม
– จัดให้มีการรักษาความมั่นคงปลอดภัยของเครื่องมือแพทย์ที่เป็นอุปกรณ์อิเล็กทรอนิกส์ เช่น ติดตั้ง Firewall ในตำแหน่งที่เหมาะสม มีการปรับปรุง Firmware ให้เป็นปัจจุบันอยู่เสมอ
– จัดให้มีการสร้างความตระหนักและฝึกอบรมผู้ใช้งานเกี่ยวกับพฤติกรรมเพื่อลดความเสี่ยงจากภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศ ที่ครอบคลุม ทั่วถึง และได้ผล
– ติดตามข่าวสารเกี่ยวกับภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศอยู่เสมอ เช่น จาก
US-CERT และ ThaiCERT
บุคลากรทางการแพทย์และผู้ใช้งานทุกระดับในสถานพยาบาล ควรให้ความสำคัญกับการดำเนินการต่อไปนี้เป็นพิเศษ
– ไม่เปิดไฟล์แนบ (Attachment) ในอีเมล หากไม่แน่ใจว่าเป็นไฟล์อะไร
– หากเปิดไฟล์ประเภทเอกสารต่าง ๆ เช่น ไฟล์ของ Microsoft Office ไม่คลิก “Enable Content” เพื่ออนุญาตให้ Run มาโครดังกล่าว
– ไม่คลิก Link ในอีเมลหรือเว็บไซต์ที่ไม่แน่ใจว่าปลอดภัย
– ปรับปรุงระบบปฏิบัติการและซอฟต์แวร์ต่าง ๆ ของตนให้เป็นปัจจุบันอยู่เสมอ
– ใช้โปรแกรม Antivirus Software ที่ถูกลิขสิทธิ์และอัพเดตอยู่เสมอ
– ใช้รหัสผ่านหรือวิธีการยืนยันตัวตนที่มีความปลอดภัยสูงเพียงพอ เช่น มีความยาว 8 ตัวอักษรขึ้นไป
ข้อเสนอเชิงนโยบายจะเป็นแนวทางปฏิบัติของผู้เกี่ยวข้องแต่ละกลุ่ม เพื่อป้องกันระบบเทคโนโลยีสารสนเทศจากภัยคุกคามในสถานพยาบาลที่คาดว่าจะเป็นภัยคุกคามที่รุนแรงขึ้นตามแนวโน้มที่ปรากฏในต่างประเทศ ผู้ที่เกี่ยวข้องทุกฝ่ายจึงต้องให้ความสำคัญและปฏิบัติตามข้อเสนอแนะอย่างเคร่งครัด
