การโจมตีด้วยแรนซัมแวร์กระทบใจกลางระบบบันทึกสุขภาพของดัตช์
การโจมตีด้วยแรนซัมแวร์ครั้งสำคัญต่อ ChipSoft ซึ่งเป็นหนึ่งในผู้ให้บริการซอฟต์แวร์บันทึกผู้ป่วยอิเล็กทรอนิกส์ที่ใช้งานแพร่หลายที่สุดในเนเธอร์แลนด์ ได้สร้างแรงสั่นสะเทือนอย่างหนักต่อภาคการดูแลสุขภาพของดัตช์ โรงพยาบาลอย่างน้อยหนึ่งโหลได้ยื่นแจ้งต่อหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (AP) แล้ว และนักสืบยังคงทำงานเพื่อหาขอบเขตความเสียหายทั้งหมดของการละเมิดนี้
ขนาดของข้อมูลที่อาจถูกเปิดเผยนั้นมีนัยสำคัญอย่างมาก แพลตฟอร์ม HiX ของ ChipSoft ถูกใช้งานโดยโรงพยาบาลในเนเธอร์แลนด์ประมาณ 70% เพื่อจัดการบันทึกผู้ป่วยอิเล็กทรอนิกส์ นั่นหมายความว่าการโจมตีครั้งเดียวต่อผู้ให้บริการซอฟต์แวร์รายหนึ่งอาจส่งผลกระทบเป็นลูกโซ่ไปยังโรงพยาบาลส่วนใหญ่ในประเทศ ซึ่งอาจกระทบต่อข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์ของผู้ป่วยหลายล้านราย
ข้อมูลใดบ้างที่อาจตกอยู่ในความเสี่ยง
บันทึกผู้ป่วยอิเล็กทรอนิกส์ประกอบด้วยข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่สุดประเภทหนึ่งที่มีอยู่ ได้แก่ การวินิจฉัยโรค ประวัติการรักษา รายละเอียดยา หมายเลขประจำตัว และข้อมูลการติดต่อ เมื่อแรนซัมแวร์แทรกซึมเข้าสู่ระบบที่จัดการข้อมูลประเภทนี้ ความเสี่ยงย่อมเกินกว่าแค่การหยุดชะงักชั่วคราว
การสืบสวนในขณะนี้มุ่งเน้นไปที่การตรวจสอบว่ามีการดักจับการรับส่งข้อมูลระหว่างการโจมตีหรือไม่ นี่คือคำถามที่สำคัญอย่างยิ่ง แรนซัมแวร์ไม่ได้เพียงแค่ล็อกระบบและเรียกค่าไถ่เสมอไป เพราะในปัจจุบันผู้โจมตีมักขโมยข้อมูลออกไปก่อนหรือระหว่างการเข้ารหัส เพื่อสร้างอำนาจต่อรองในรูปแบบที่เรียกว่าการกรรโชกซ้ำซ้อน หากมีการดักจับข้อมูลระหว่างการส่ง อาจหมายความว่าบันทึกต่าง ๆ ถูกคัดลอกและนำออกจากสภาพแวดล้อมที่ปลอดภัยไปอย่างสิ้นเชิง
โรงพยาบาลที่พึ่งพาซอฟต์แวร์ของ ChipSoft ต้องเผชิญกับสถานการณ์ที่ยากลำบาก คือต้องแจ้งเตือนหน่วยงานกำกับดูแลไปพร้อมกับพยายามทำความเข้าใจว่ามีข้อมูลใดถูกนำออกไปบ้าง ภายใต้กฎ GDPR ของยุโรป องค์กรต้องรายงานการละเมิดข้อมูลต่อหน่วยงานกำกับดูแลภายใน 72 ชั่วโมงหลังจากทราบเหตุการณ์ดังกล่าว และอาจต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบด้วย ขึ้นอยู่กับความรุนแรงของความเสี่ยง
เหตุใดภาคสุขภาพจึงเป็นเป้าหมายหลักของแรนซัมแวร์
ภาคการดูแลสุขภาพได้กลายเป็นหนึ่งในอุตสาหกรรมที่ถูกโจมตีด้วยแรนซัมแวร์บ่อยที่สุดทั่วโลก มีเหตุผลหลายประการสำหรับเรื่องนี้ บันทึกทางการแพทย์มีมูลค่าสูงในตลาดใต้ดินเพราะมีข้อมูลส่วนบุคคลและข้อมูลทางการเงินรวมอยู่อย่างหนาแน่น นอกจากนี้โรงพยาบาลยังทำงานภายใต้แรงกดดันอย่างหนักในการรักษาระบบให้ทำงานได้อย่างต่อเนื่อง ซึ่งอาจทำให้พวกเขายินดีจ่ายค่าไถ่อย่างรวดเร็วเพื่อกู้คืนการเข้าถึงระบบ
การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ ซึ่งอาชญากรมุ่งเป้าไปที่ผู้ให้บริการที่ใช้โดยองค์กรหลายแห่งแทนที่จะโจมตีแต่ละองค์กรทีละราย จะขยายความเสียหายที่อาจเกิดขึ้นได้อย่างมีนัยสำคัญ การเจาะเข้าสู่บริษัทอย่าง ChipSoft เพียงแห่งเดียว ทำให้ผู้โจมตีได้รับจุดยึดที่ขยายออกไปครอบคลุมเครือข่ายลูกค้าทั้งหมดที่พึ่งพาซอฟต์แวร์นั้น แนวทางนี้มีประสิทธิภาพสำหรับผู้โจมตีและสร้างความเสียหายร้ายแรงต่อองค์กรและบุคคลที่ตกเป็นเหยื่อ
เนเธอร์แลนด์ไม่ใช่กรณีที่โดดเดี่ยว ผู้ให้บริการด้านสุขภาพทั่วยุโรปและอเมริกาเหนือต่างเผชิญกับเหตุการณ์ที่คล้ายคลึงกันในช่วงไม่กี่ปีที่ผ่านมา และแนวโน้มดังกล่าวไม่มีสัญญาณว่าจะหยุดลง
สิ่งที่คุณควรทำ
หากคุณเป็นผู้ป่วยที่โรงพยาบาลดัตช์ที่ใช้ซอฟต์แวร์ HiX ของ ChipSoft ข้อมูลทางการแพทย์และข้อมูลส่วนบุคคลของคุณอาจถูกเปิดเผย ต่อไปนี้คือสิ่งที่คุณควรพิจารณาทำ:
- ติดตามการแจ้งเตือน โรงพยาบาลที่ได้รับผลกระทบจากการละเมิดจำเป็นต้องแจ้งให้ผู้ป่วยทราบหากข้อมูลของพวกเขามีส่วนเกี่ยวข้อง คอยติดตามการสื่อสารอย่างเป็นทางการจากผู้ให้บริการดูแลสุขภาพของคุณ
- ระวังการโจมตีแบบฟิชชิง หลังจากการละเมิดข้อมูล ผู้โจมตีมักใช้ข้อมูลที่ขโมยมาสร้างอีเมลฟิชชิงหรือโทรศัพท์ที่น่าเชื่อถือ จงระวังการติดต่อโดยไม่ได้ร้องขอที่อ้างว่าเป็นโรงพยาบาลหรือบริษัทประกันของคุณ
- ตรวจสอบสิทธิ์ของคุณภายใต้ AP ภายใต้ GDPR คุณมีสิทธิ์ขอข้อมูลจากองค์กรเกี่ยวกับข้อมูลที่พวกเขาถือครองเกี่ยวกับคุณและวิธีที่ข้อมูลนั้นถูกประมวลผล หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์เป็นหน่วยงานที่เกี่ยวข้องหากคุณมีข้อกังวลเกี่ยวกับวิธีที่ข้อมูลของคุณถูกจัดการ
- เข้าใจขีดจำกัดของสิ่งที่คุณควบคุมได้ เมื่อข้อมูลของคุณถูกถือครองโดยบุคคลที่สาม เช่น โรงพยาบาลหรือผู้ให้บริการซอฟต์แวร์ คุณมีการควบคุมโดยตรงต่อความปลอดภัยของข้อมูลนั้นอย่างจำกัด สิ่งนี้ยิ่งทำให้สำคัญมากขึ้นที่สถาบันต่าง ๆ จะต้องปฏิบัติตามพันธกรณีด้านการคุ้มครองข้อมูลของตนอย่างจริงจัง
สำหรับองค์กรด้านสุขภาพและผู้ดูแลระบบไอที การละเมิดครั้งนี้เป็นเครื่องเตือนใจว่าการจัดการความเสี่ยงของผู้ให้บริการมีความสำคัญอย่างยิ่ง การพึ่งพาแพลตฟอร์มเดียวในระบบสุขภาพของประเทศเป็นส่วนใหญ่สร้างความเสี่ยงจากความเข้มข้น การตรวจสอบความปลอดภัยอย่างสม่ำเสมอ การวางแผนรับมือเหตุการณ์ฉุกเฉิน และการเข้ารหัสข้อมูลระหว่างการส่งถือเป็นข้อกำหนดพื้นฐาน ไม่ใช่ทางเลือกเสริม
เหตุการณ์ของ ChipSoft ยังอยู่ระหว่างการสืบสวน และภาพรวมทั้งหมดของข้อมูลที่ได้รับผลกระทบอาจใช้เวลาหลายสัปดาห์กว่าจะปรากฏชัด ผู้ป่วยสมควรได้รับการสื่อสารที่ทันท่วงทีและโปร่งใสจากสถาบันที่ได้รับความไว้วางใจให้ดูแลข้อมูลที่ละเอียดอ่อนที่สุดของพวกเขา หน่วยงานกำกับดูแล โรงพยาบาล และผู้ให้บริการซอฟต์แวร์ต่างมีบทบาทในการสร้างความมั่นใจว่ามาตรฐานดังกล่าวจะได้รับการตอบสนอง
