ภัยคุกคามทางไซเบอร์ในระบบบริการด้านสุขภาพ

ระบบบริการด้านสุขภาพเป็นบริการที่สำคัญต่อชีวิตคน พร้อมทั้งมีการพัฒนาการรักษา และการดูแลผู้ป่วยโดยนำเทคโนโลยีใหม่ ๆ มาใช้งานอย่างต่อเนื่อง แต่ในขณะเดียวกัน ผู้ไม่ประสงค์ดีทางไซเบอร์หรือที่เรียกว่า Hacker ก็สามารถใช้ช่องโหว่ที่เกิดขึ้นบนระบบต่าง ๆ เพื่อสร้างความเสียหายต่อข้อมูลส่วนตัวของผู้ป่วยได้จากข้อมูลของระบบภายในของโรงพยาบาล เช่น ระบบบันทึกข้อมูลสุขภาพของผู้ป่วยในรูปแบบดิจิทัล (EHR System) ระบบที่แพทย์สั่งยาโดยใช้คอมพิวเตอร์ (CPOE System) หรือแม้กระทั่งชีวิตของผู้ป่วย โดยขอยกตัวอย่างการโจมตีที่เกิดขึ้น ดังนี้

1. Phishing Attacks

คือการที่ผู้ไม่ประสงค์ดีส่งอีเมลที่มีหน้าตาที่น่าเชื่อถือ หรือลิงก์ที่นำไปสู่การหลอกลวง เพื่อให้ผู้ใช้งาน (หรือเหยื่อ) กรอกข้อมูลส่วนตัว รหัสผ่าน หรือคำสั่งต่าง ๆ ลงไป ไปให้ผู้รับที่ทำงานอยู่ภายในของโรงพยาบาล ซึ่งการโจมตีนี้ยังสามารถนำไปสู่การโจมตีในรูปแบบอื่น ๆ อย่างเช่น Malware Attack ที่ถูกส่งมาพร้อมกับอีเมลต่อไปได้

2. Malware Attack

คือ ซอฟต์แวร์ที่ถูกสร้างขึ้นเพื่อที่จะก่อกวน ทำลาย หรือระงับการใช้งานระบบภายในของโรงพยาบาล โดยส่วนใหญ่มีเป้าหมายเพื่อเรียกค่าไถ่ โดยการโจมตีนี้มักมีผลกระทบร้ายแรงต่อความการเข้าถึง และความน่าเชื่อถือในระบบบริการด้านสุขภาพ

3. Data Breaches

เป็นเหตุการณ์ที่ข้อมูลส่วนตัว หรือข้อมูลทางการแพทย์ของผู้ใช้บริการด้านสุขภาพถูกเข้าถึง รั่วไหล หรือถูกนำไปใช้ไม่ถูกต้องโดยไม่ได้รับอนุญาต ซึ่งมีผลกระทบต่อความเป็นส่วนตัว ความลับ และความปลอดภัยของข้อมูลทางการแพทย์ของบุคคล เช่น ประวัติการรักษา ที่อยู่ และข้อมูลส่วนตัวของผู้ป่วย

4. DDoS (Distributed Denial of Service) attacks

เป็นการโจมตีทางอินเทอร์เน็ตที่จะทำให้ระบบหรือเซิร์ฟเวอร์ไม่สามารถให้บริการแก่ผู้ใช้งานได้ ด้วยการโจมตีด้วยการส่งปริมาณข้อมูลจำนวนมากไปยังที่เป้าหมายในระยะเวลาที่สั้น ๆ

ต่อไปเราลองมาดูเหตุการณ์ที่ระบบบริการด้านสุขภาพภายในประเทศที่โดนโจมตีโดยภัยคุกคามทางไซเบอร์กันครับ…

จากสำนักข่าวไทยรัฐได้ลงข่าวว่า

วันที่ 7 ก.ย. 2564 โรงพยาบาลเพชรบูรณ์ ออกประกาศ ฉบับที่ 1 เรื่องเหตุภัยคุกคามทางไซเบอร์โรงพยาบาลเพชรบูรณ์ ระบุว่า โรงพยาบาลเพชรบูรณ์ได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลในอินเทอร์เน็ต เมื่อวันที่ 5 กันยายน 2554 โดยมีข้อมูลขนาด 3.75 GB จำนวน 16 ล้าน records จาก 146 ฐานข้อมูล ในราคา 500 เหรียญสหรัฐอเมริกา

ข้อมูลที่ถูกขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่ได้รับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล ตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน-เวลาที่รับบริการ สิทธิการรักษา เลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัย และรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบ ต่อการดูแลรักษา

สำหรับการแก้ไขปัญหาเบื้องต้น โรงพยาบาลได้ประเมินความเสียหาย ตรวจสอบความเสี่ยง และปลอดภัยของคอมพิวเตอร์ทั้งหมด และมีการสำรองข้อมูลทุก 1 ชั่วโมง ต่อมาโรงพยาบาลหารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสารกระทรวงสาธารณสุข และขอคำปรึกษาจากสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เพื่อปรับปรุงระบบคอมพิวเตอร์ของโรงพยาบาลเพื่อความปลอดภัยและความมั่นใจในการให้บริการต่อไป

Ref: https://www.thairath.co.th/news/society/2187423

ต่อไป เรามาดูเหตุการณ์จากต่างประเทศที่ส่งผลให้มีข้อมูลผู้ป่วยรั่วไหลกว่า 1.6 ล้านคนกันครับ…

เกิดเหตุข้อมูลรั่วไหลที่เกี่ยวข้องกับโรงพยาบาลสองแห่งในรัฐ Texas ประเทศสหรัฐอเมริกา ซึ่งทั้งสองแห่งเป็นส่วนหนึ่งของระบบสุขภาพ Baptist Health System ตามรายงานของกระทรวงสาธารณสุข ซึ่งได้รับการแจ้งเมื่อวันที่ 15 มิถุนายน 2022 ว่ามีเหตุการณ์การถูกเจาะส่งผลกระทบต่อข้อมมูลป่วยในระบบ 1.6 ล้านคน

กลุ่มผู้ไม่ประสงค์ดีได้เข้าถึงระบบบางระบบที่มีข้อมูลส่วนบุคคล และได้ข้อมูลไประหว่างวันที่ 31 มีนาคม ถึง 24 เมษายน 2022 ตามคำแถลงของโรงพยาบาล ข้อมูลนี้อาจรวมถึงวันเกิด หมายเลขประกันสังคม ข้อมูลประกันสุขภาพ ข้อมูลทางการแพทย์อื่น ๆ และข้อมูลการเรียกเก็บเงิน

ต่อมา โรงพยาบาลกล่าวว่าพวกเขากำลังเสริมการป้องกันระบบ และทำงานร่วมกับหน่วยงานรัฐเพื่อบังคับใช้กฎหมาย และบุคคลต่าง ๆ ที่เกี่ยวข้อง ได้รับการเสนอบริการ การตรวจสอบการขโมยข้อมูลประจำตัว

https://www.ksat.com/news/local/2022/06/16/baptist-medical-center-resolute-health-hospital-report-cybersecurity-breach-involving-patient-information/

จากเหตุการณ์ทั้งสองแสดงให้เห็นว่า ผลกระทบจากภัยคุกคามทางไซเบอร์สามารถสร้างความเสียหายต่อความเป็นส่วนตัวของข้อมูลส่วนตัวผู้ป่วย และยังส่งผลกระทบต่อชื่อเสียงของระบบบริการด้านสุขภาพของโรงพยาบาลอย่างรุนแรงอีกด้วย ดังนั้นเพื่อเป็นการลดความเสี่ยงที่จะเกิดเหตุการณ์แบบนี้ ผมจะอธิบายถึงวิธีการป้องกันการถูกโจมตีครับ

วิธีป้องกันภัยคุกคามทางไซเบอร์ในระบบบริการด้านสุขภาพเบื้องต้น

1. การอัปเดตระบบและโปรแกรมคอมพิวเตอร์

ทำการอัปเดตระบบปฏิบัติการ เช่น Windows, macOS, หรือ Linux และโปรแกรมคอมพิวเตอร์ ทั้งในระบบและที่ใช้งานบนเครื่องคอมพิวเตอร์ เช่น โปรแกรม Office, เว็บเบราว์เซอร์, และโปรแกรมรักษาความปลอดภัย อย่างสม่ำเสมอในทุก ๆ ครั้งที่ระบบมีการแจ้งเตือน เพื่อรับการป้องกันล่าสุด

2. การใช้เทคโนโลยีการรักษาความปลอดภัย

ใช้เทคโนโลยีการรักษาความปลอดภัย เช่น Behavioral Analytics ที่จะวิเคราะห์พฤติกรรมของผู้ใช้และระบบเพื่อตรวจจับความผิดปกติที่อาจเป็นสัญญาณของการโจมตี, หรือ Blockchain ที่ใช้โครงสร้างของบล็อกที่เชื่อมต่อกัน แต่ละบล็อกมีข้อมูลและรหัสตรวจสอบที่เชื่อมโยงกับบล็อกก่อนหน้า เพื่อใช้ในการจัดเก็บข้อมูล เพื่อป้องกันการแก้ไขข้อมูลที่ไม่ถูกต้อง การละเมิดความปลอดภัย และเพิ่มความน่าเชื่อถือในการแลกเปลี่ยนข้อมูล

3. การเข้ารหัส

ใช้การเข้ารหัสบนเครือข่าย เช่น SSL/TLS เพื่อป้องกันการดักข้อมูลที่อาจถูกนำไปใช้ในทางที่ไม่เหมาะสม และถ้าเป็นไปได้ให้เข้ารหัสไฟล์ข้อมูลส่วนตัวของบุคคลภายในระบบ และข้อมูลเกี่ยวกับการรักษา ด้วยการใช้งานอัลกอริธึมการเข้ารหัสอย่างถูกวิธี ด้วยอัลกอริธึมที่มีความปลอดภัยสูง เช่น AES-256 , RSA-768 และมีการเก็บ Secret Key และ Private Key อย่างปลอดภัย

4. การฝึกอบรมพนักงาน

การฝึกอบรมพนักงานเป็นขั้นตอนสำคัญในการเพิ่มความปลอดภัยทางไซเบอร์และความเข้าใจทางความปลอดภัยของพนักงานที่มีการเข้าถึงข้อมูลทางการแพทย์

5. การจำกัดการเข้าถึง

จำกัดสิทธิ์การเข้าถึงข้อมูลทางการแพทย์เฉพาะกับบุคลากรที่จำเป็น เช่น Role-Based Access Control (RBAC) model ซึ่งเป็นวิธีที่มีประสิทธิภาพในการบริหารจัดการสิทธิ์และการเข้าถึงในระบบ เนื่องจาก RBAC ทำให้ง่ายต่อการกำหนดสิทธิ์ของผู้ใช้ตามบทบาทหรือตำแหน่งได้อย่างง่ายดาย

6. การสำรองข้อมูล

การสำรองข้อมูล เป็นกระบวนการสำคัญที่ช่วยให้องค์กรมีความพร้อมรับมือกับสถานการณ์เมื่อข้อมูลสูญหายหรือถูกทำลาย ดังนั้น ควรทำการสำรองข้อมูลเป็นประจำทุก ๆ วันเพื่อป้องกันการสูญหายของข้อมูลจากการโจมตี

7. การตรวจสอบความปลอดภัยของผู้ให้บริการภายนอก

ถ้ามีบริการที่จะให้บริการข้อมูลทางการแพทย์ผ่านทางบุคคลภายนอก ควรตรวจสอบความปลอดภัยของพวกเขาด้วยการเช็กประวัติและให้สิทธิการเข้าถึงระบบเท่าที่จำเป็นเท่านั้น

8. การทดสอบเจาะระบบ

การทดสอบเจาะระบบ (Penetration Testing) เป็นกระบวนการเจาะระบบเพื่อค้นหาช่องโหว่และการเข้าถึงที่ไม่ได้รับอนุญาตในระบบขององค์กร เพื่อนำมาแก้ไขและปรับปรุงระบบให้ปลอดภัยมากขึ้น หรือถ้าไม่สามารถทำการทดสอบเจาะระบบได้ ก็ควรที่จะทำการประเมินช่องโหว่ (Vulnerability Assessment) ซึ่งเป็นกระบวนการที่ใช้ในการค้นหาและประเมินความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ทางความปลอดภัยในระบบ โดยใช้โปรแกรม VA Scan เช่น Nessus

9. Password Policy

Password Policy คือ กฎระเบียบที่กำหนดเกี่ยวกับวิธีการสร้างและใช้รหัสผ่านในระบบขององค์กร เพื่อรักษาความปลอดภัยของข้อมูล ซึ่งควรที่จะตั้งให้รหัสมีความยาวตั้งแต่ 12 ตัวอักษร ขึ้นไป และมีการใช้ตัวอักษรต่าง ๆ รวมถึงตัวอักษรพิเศษ ตัวเลข ตัวพิมพ์ใหญ่ และตัวพิมพ์เล็ก และควรกำหนดระยะเวลาหรือเกณฑ์ที่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่าน เพื่อป้องกันการใช้รหัสผ่านเดิมในระยะเวลานาน และห้ามใช้รหัสที่ใช้อยู่ก่อนมาใช้งานซ้ำ

การป้องกันภัยคุกคามทางไซเบอร์ในระบบบริการด้านสุขภาพควรเป็นกระบวนการที่ต้องมีความต่อเนื่อง และมีการปรับปรุงอย่างสม่ำเสมอ เพื่อรักษาความปลอดภัยในระบบบให้ทันสมัย และสามารถตอบสนองต่อภัยคุมคามได้อย่างมีประสิทธิภาพ และทันท่วงที

References

• https://www.upguard.com/blog/biggest-cyber-threats-in-healthcare
• https://www.thairath.co.th/news/society/2187423
• https://www.chiefhealthcareexecutive.com/view/the-11-biggest-health-data-breaches-in-2022
• https://www.ksat.com/news/local/2022/06/16/baptist-medical-center-resolute-health-hospital-report-cybersecurity-breach-involving-patient-information/
• https://www.microsoft.com/en/security/business/security-101/what-is-zero-trust-architecture