HSE ถูกปรับ 300,000 ยูโร หลังแรนซัมแวร์โจมตีโรงพยาบาลทัลลามอร์

HSE ถูกปรับ 300,000 ยูโร หลังแรนซัมแวร์โจมตีโรงพยาบาลทัลลามอร์

คณะกรรมการคุ้มครองข้อมูลแห่งไอร์แลนด์ (DPC) ได้ออกค่าปรับจำนวน 300,000 ยูโร แก่หน่วยงานบริหารบริการสุขภาพ (HSE) หลังเกิดเหตุละเมิดข้อมูลผู้ป่วยจากแรนซัมแวร์ในระบบสาธารณสุข ที่โรงพยาบาลภูมิภาคมิดแลนด์ส ทัลลามอร์ เทศมณฑลออฟฟาลี การโจมตีมุ่งเป้าไปที่ระบบสารสนเทศห้องปฏิบัติการของโรงพยาบาล และทำให้ข้อมูลส่วนบุคคลของบุคคลประมาณ 84,000 รายถูกบุกรุก คำตัดสินสุดท้ายของ DPC ถือเป็นบทสรุปของการสอบสวนอย่างเป็นทางการเกี่ยวกับเหตุการณ์ดังกล่าว และส่งสัญญาณถึงแรงกดดันด้านกฎระเบียบที่เพิ่มขึ้นต่อหน่วยงานสาธารณสุข ให้ปฏิบัติต่อความมั่นคงปลอดภัยไซเบอร์ในฐานะความรับผิดชอบหลักในการดำเนินงาน ไม่ใช่เรื่องที่ค่อยคิดทีหลังของแผนกไอที

สิ่งที่การโจมตีด้วยแรนซัมแวร์ต่อ HSE เปิดเผยเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ของโรงพยาบาล

เหตุการณ์ที่ทัลลามอร์ไม่ใช่เหตุการณ์โดดเดี่ยวภายใน HSE ระบบสาธารณสุขของไอร์แลนด์ประสบกับการโจมตีทางไซเบอร์ต่อภาครัฐที่สร้างความเสียหายหนักที่สุดครั้งหนึ่งในยุโรปเมื่อเดือนพฤษภาคม 2021 เมื่อการโจมตีด้วยแรนซัมแวร์เป็นวงกว้าง บีบให้ HSE ต้องปิดโครงสร้างพื้นฐานด้านไอทีทั้งหมดในโรงพยาบาลหลายสิบแห่งทั่วประเทศ การโจมตีครั้งนั้น ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มแรนซัมแวร์ Conti ก่อให้เกิดความปั่นป่วนต่อการดูแลผู้ป่วยเป็นเวลาหลายสัปดาห์ และต้องใช้เงินหลายร้อยล้านยูโรในการแก้ไข

การบุกรุกที่ทัลลามอร์ แม้มีขอบเขตแคบกว่า แต่แสดงให้เห็นว่าผู้ปฏิบัติการแรนซัมแวร์ไม่ได้มุ่งเป้าที่การยึดครองเครือข่ายทั้งหมดเสมอไป การพุ่งเป้าไปที่ระบบสารสนเทศห้องปฏิบัติการเพียงระบบเดียว ก็ยังสามารถกวาดข้อมูลอ่อนไหวจำนวนมหาศาลได้ ขณะที่ตรวจจับได้ยากกว่าการปิดเครือข่ายแบบกว้าง การที่ DPC ตัดสินใจดำเนินการสอบสวนอย่างเป็นทางการและเรียกค่าปรับจำนวนมาก บ่งชี้ว่าหน่วยงานกำกับดูแลพบข้อบกพร่องเชิงระบบในวิธีการที่ HSE ปกป้องระบบนี้โดยเฉพาะ ไม่ใช่แค่ความล้มเหลวทางเทคนิคเพียงครั้งเดียว

สำหรับองค์กรด้านสาธารณสุขทั่วยุโรป กรณีนี้ตอกย้ำสารที่ชัดเจน: ค่าปรับตาม GDPR สำหรับการละเมิดข้อมูลไม่ใช่แค่ทฤษฎีอีกต่อไป หน่วยงานกำกับดูแลพร้อมที่จะให้หน่วยงานของรัฐรับผิดชอบ แม้พวกเขาจะตกเป็นเหยื่อของการโจมตีทางอาชญากรรมเองก็ตาม

เหตุใดข้อมูลห้องปฏิบัติการของผู้ป่วย 84,000 ราย จึงอ่อนไหวเป็นพิเศษ

ข้อมูลส่วนบุคคลไม่ได้มีความเสี่ยงเท่ากันทั้งหมด ข้อมูลห้องปฏิบัติการจัดอยู่ในระดับความอ่อนไหวสูงสุด เพราะอาจรวมถึงผลตรวจเลือด ตัวบ่งชี้การวินิจฉัย ข้อมูลทางพันธุกรรม สถานะเอชไอวีหรือโรคติดต่อทางเพศสัมพันธ์ และสิ่งบ่งชี้ภาวะเรื้อรัง ข้อมูลเหล่านี้ไม่สามารถเปลี่ยนแปลงได้เหมือนอีเมลหรือหมายเลขโทรศัพท์ที่รั่วไหล เมื่อเปิดเผยแล้ว อาจถูกนำไปใช้เพื่อการเลือกปฏิบัติด้านประกันภัย การแบล็กเมล์ หรือผลร้ายทางสังคมได้นานหลายปี

คนไข้ที่ประวัติได้รับผลกระทบในทัลลามอร์ อาจไม่เคยรู้ว่าข้อมูลของตนถูกเก็บไว้ในระบบที่เชื่อมต่อกับเครือข่ายที่ผู้ปฏิบัติการแรนซัมแวร์สามารถเข้าถึงได้ นี่คือปัญหาเชิงโครงสร้างที่แผ่ขยายไปไกลกว่าไอร์แลนด์ โรงพยาบาลมักใช้ระบบเก่า (legacy systems) ที่ไม่เคยถูกออกแบบมาโดยคำนึงถึงความปลอดภัยเครือข่ายตั้งแต่แรก และแพลตฟอร์มห้องปฏิบัติการก็เป็นตัวอย่างสำคัญ มักถูกซื้อมาเป็นอุปกรณ์เฉพาะทาง แล้วค่อยรวมเข้ากับเครือข่ายหลักในอีกหลายปีต่อมา และไม่ค่อยได้รับการตรวจสอบด้านความปลอดภัยอย่างเข้มงวดเท่ากับระบบที่ผู้ป่วยใช้

นี่คือหนึ่งในเหตุผลที่ว่าทำไม การละเมิดข้อมูลด้านสาธารณสุขยังคงแซงหน้าภาคส่วนอื่น ทั้งในด้านความถี่และความรุนแรง แม้องค์กรในภาคการเงินและค้าปลีกจะเสริมการป้องกันของตนอย่างมีนัยสำคัญแล้วก็ตาม

แรนซัมแวร์พุ่งเป้าเครือข่ายสาธารณสุขอย่างไร และทำไมโรงพยาบาลจึงเปราะบาง

ผู้ปฏิบัติการแรนซัมแวร์พุ่งเป้าไปที่สาธารณสุขด้วยเหตุผลซ้อนทับกันหลายประการ ข้อมูลมีค่า องค์กรอยู่ภายใต้แรงกดดันให้ฟื้นฟูการดำเนินงานอย่างรวดเร็ว ทำให้มีแนวโน้มจะจ่ายค่าไถ่มากกว่า และที่สำคัญ จุดยืนด้านความปลอดภัยของเครือข่ายโรงพยาบาลจำนวนมากยังคงอ่อนแอ เมื่อเทียบกับความอ่อนไหวของข้อมูลที่จัดเก็บ

เครือข่ายโรงพยาบาลมีลักษณะเด่นคือมีอุปกรณ์เชื่อมต่อจำนวนมาก ซึ่งหลายเครื่องทำงานบนระบบปฏิบัติการหรือเฟิร์มแวร์ที่ล้าสมัย อุปกรณ์การแพทย์ อุปกรณ์ถ่ายภาพ และระบบวินิจฉัยเฉพาะทาง มักไม่สามารถติดตั้งแพตช์ได้โดยปราศจากการมีส่วนร่วมของผู้ผลิต หรือช่วงเวลาหยุดทำงานของอุปกรณ์ที่ทีมคลินิกไม่สามารถยอมรับได้ สิ่งนี้สร้างช่องโหว่ที่คงอยู่ ซึ่งผู้คุกคามที่มีความซับซ้อนสามารถใช้ประโยชน์ได้ หลังจากที่นักวิจัยด้านความปลอดภัยระบุพบแล้ว

ฟิชชิ่งยังคงเป็นช่องทางแรกเริ่มที่พบบ่อยที่สุด แค่มีพนักงานคนหนึ่งคลิกลิงก์อันตรายในอีเมล ก็อาจเป็นจุดตั้งต้นให้ผู้โจมตีใช้เคลื่อนที่ไปด้านข้างทั่วเครือข่าย จนกระทั่งเข้าถึงระบบที่มีมูลค่าสูง เช่น ฐานข้อมูลผู้ป่วย หรือในกรณีของทัลลามอร์ คือแพลตฟอร์มห้องปฏิบัติการ การทำความเข้าใจ ว่าแรนซัมแวร์แพร่กระจายผ่านเครือข่ายสถาบันได้อย่างไร เป็นบริบทสำคัญสำหรับทุกคนที่ทำงานหรือดูแลสภาพแวดล้อมไอทีด้านสาธารณสุข

ค่าปรับของ DPC ต่อ HSE เป็นการยอมรับโดยปริยายว่า ความเสี่ยงบางส่วนนี้สามารถป้องกันได้ แม้ผลการสืบสวนทางเทคนิคที่เฉพาะเจาะจงจะยังไม่ได้รับการเผยแพร่ทั้งหมด แต่โดยทั่วไปหน่วยงานกำกับดูแลจะมุ่งเน้นการบังคับใช้กฎหมายไปที่ความล้มเหลวในการควบคุมการเข้าถึง การแบ่งส่วนเครือข่าย และการเตรียมความพร้อมตอบสนองต่อเหตุการณ์

สิ่งนี้มีความหมายต่อคุณอย่างไร: ขั้นตอนปฏิบัติสำหรับผู้ป่วยและบุคลากรสาธารณสุข

หากคุณเป็นผู้ป่วย ขั้นตอนที่เร่งด่วนที่สุดคือความตระหนักรู้ หากคุณเข้ารับการรักษาที่โรงพยาบาลภูมิภาคมิดแลนด์ส ทัลลามอร์ และยังไม่ได้รับแจ้งเกี่ยวกับการละเมิดนี้ ให้เฝ้าติดตามการสื่อสารใดๆ จาก HSE อย่างใกล้ชิด ระวังการติดต่อที่ผิดปกติจากบริษัทประกัน นายจ้าง หรือบุคคลที่ไม่รู้จักซึ่งอ้างอิงถึงประวัติสุขภาพของคุณ เนื่องจากอาจเป็นสัญญาณว่าข้อมูลของคุณถูกนำไปใช้ในทางที่ผิด

สำหรับบุคลากรสาธารณสุข โดยเฉพาะผู้ที่เข้าถึงระบบคลินิกจากหลายสถานที่ หรือบนเครือข่ายที่ใช้ร่วมกัน พื้นผิวความเสี่ยงนั้นกว้างกว่าที่คนส่วนใหญ่ตระหนัก การใช้ VPN บนเครือข่าย Wi-Fi ของโรงพยาบาลหรือคลินิก จะเพิ่มชั้นการเข้ารหัสให้กับการเชื่อมต่อของคุณ ลดความเสี่ยงการดักจับข้อมูลประจำตัว เรื่องนี้เกี่ยวข้องอย่างยิ่งกับเจ้าหน้าที่ที่เข้าสู่ระบบการจัดการผู้ป่วยหรือห้องปฏิบัติการจากระยะไกล หรือผ่านเทอร์มินัลที่ใช้ร่วมกัน

สำหรับทีมไอทีและผู้ดูแลระบบสาธารณสุข กรณีทัลลามอร์มอบรายการลำดับความสำคัญที่ชัดเจน:

• การแบ่งส่วนเครือข่าย: ตรวจสอบให้แน่ใจว่าระบบห้องปฏิบัติการและแพลตฟอร์มเฉพาะทางอื่นๆ อยู่ในส่วนเครือข่ายที่แยกต่างหาก ซึ่งไม่สามารถเข้าถึงได้โดยตรงจากเครือข่ายของพนักงานทั่วไป
• การควบคุมการเข้าถึง: ใช้หลักการสิทธิขั้นต่ำ (least privilege) หมายความว่าผู้ใช้และระบบควรสามารถเข้าถึงได้เฉพาะสิ่งที่จำเป็นอย่างแท้จริงเท่านั้น
• การจัดการแพตช์: สร้างกระบวนการอย่างเป็นทางการในการระบุและจัดการช่องโหว่ในระบบการแพทย์และห้องปฏิบัติการ แม้ในกรณีที่ต้องอาศัยการประสานงานกับผู้ผลิต
• การวางแผนตอบสนองต่อเหตุการณ์: มีแผนที่ผ่านการทดสอบและจัดทำเป็นเอกสาร สำหรับการแยกระบบที่ถูกบุกรุก และแจ้งหน่วยงานกำกับดูแลภายในกรอบเวลา 72 ชั่วโมงของ GDPR
• การฝึกอบรมพนักงาน: การฝึกอบรมจำลองสถานการณ์ฟิชชิ่งอย่างสม่ำเสมอและสมจริง ช่วยลดโอกาสการถูกบุกรุกในขั้นแรก

ค่าปรับ 300,000 ยูโรต่อ HSE เป็นบทลงโทษที่ร้ายแรง แต่ต้นทุนด้านชื่อเสียงและการดำเนินงานจากการละเมิดข้อมูลผู้ป่วยจากแรนซัมแวร์ครั้งใหญ่ในระบบสาธารณสุขนั้น สูงเกินกว่าบทลงโทษทางกฎหมายใดๆ มาก สำหรับผู้ป่วย 84,000 รายที่ผลการตรวจทางห้องปฏิบัติการถูกเปิดเผยในทัลลามอร์ ผลที่ตามมานั้นกระทบต่อตัวบุคคลและอาจคงอยู่ยาวนาน

หากคุณทำงานใน หรือไปสถานพยาบาลเป็นประจำ ใช้เวลาทบทวนหลักปฏิบัติด้านสุขอนามัยข้อมูลของคุณเอง ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน สำหรับพอร์ทัลผู้ป่วยหรือระบบคลินิกใดๆ ที่คุณเข้าถึง เปิดใช้การยืนยันตัวตนสองปัจจัยเมื่อมีให้ และพิจารณาใช้ VPN ที่เชื่อถือได้ เมื่อเชื่อมต่อกับเครือข่ายใดๆ ที่คุณไม่ได้ควบคุมอย่างเต็มที่ นิสัยเล็กๆ ที่ปฏิบัติอย่างสม่ำเสมอ สร้างความแตกต่างที่มีความหมายในผลลัพธ์ด้านความมั่นคงปลอดภัยในโลกจริง