เหตุการณ์โรงพยาบาลสระบุรีที่ถูกโจมตีทางไซเบอร์ด้วย Ransomware 

เหตุการณ์โรงพยาบาลสระบุรีที่ถูกโจมตีทางไซเบอร์ด้วย Ransomware เมื่อเดือนกันยายน พ.ศ. 2563 เป็นเหตุการณ์สำคัญที่สร้างผลกระทบในวงกว้างต่อการให้บริการทางการแพทย์และเป็นบทเรียนสำคัญด้านความมั่นคงปลอดภัยทางไซเบอร์ของหน่วยงานภาครัฐในประเทศไทย

ที่มาที่ไปและลำดับเหตุการณ์อย่างละเอียด

ต้นตอของเหตุการณ์

  • โรงพยาบาลสระบุรีถูกโจมตีด้วย Ransomware ชนิด Void Crypt. Spade ซึ่งเป็นมัลแวร์ที่เข้ารหัสข้อมูลในระบบคอมพิวเตอร์และเรียกร้องค่าไถ่เพื่อปลดล็อกข้อมูล (Encrypt)
  • สาเหตุหลักประการหนึ่งคาดการณ์ว่าอาจมาจากระบบปฏิบัติการ Windows ที่ไม่ได้มีการอัปเดตเวอร์ชันใหม่ หรือมีช่องโหว่ด้านความปลอดภัยที่แฮกเกอร์สามารถเจาะเข้ามาได้ง่าย นอกจากนี้ยังพบว่ามีการแชร์ไฟล์ในไดรฟ์กลางที่กำหนดไว้ ซึ่งอาจเป็นแหล่งแพร่กระจายของไวรัส
  • ระบบสำรองข้อมูลที่มีอยู่เดิมอาจไม่เพียงพอและไม่ปลอดภัย ทำให้ข้อมูลที่สำรองไว้ถูกเข้ารหัสไปพร้อมกับฐานข้อมูลหลัก

ลำดับเหตุการณ์

  • ประมาณวันที่ 7-8 กันยายน 2563: มีข่าวแพร่สะพัดในสื่อสังคมออนไลน์ว่าระบบคอมพิวเตอร์ของโรงพยาบาลสระบุรีถูกโจมตีและข้อมูลถูกเข้ารหัสเรียกค่าไถ่ ส่งผลให้เจ้าหน้าที่ไม่สามารถเข้าถึงข้อมูลผู้ป่วยได้ และการทำงานเป็นไปอย่างยากลำบาก
  • วันที่ 11 กันยายน 2563: โรงพยาบาลสระบุรีออกแถลงการณ์ผ่านเฟซบุ๊กแฟนเพจ ยืนยันว่าระบบสารสนเทศถูกไวรัสโจมตีจริง แต่ปฏิเสธเรื่องการเรียกค่าไถ่ อย่างไรก็ตาม มีรายงานข่าวในภายหลังที่ระบุว่ามีการเรียกค่าไถ่เกิดขึ้นจริง แต่ตัวเลขไม่ชัดเจน
  • ช่วงเวลาหลังเกิดเหตุ:
    • โรงพยาบาลไม่สามารถสืบค้นข้อมูลประวัติเก่าของผู้ป่วยหรือให้บริการออนไลน์ได้
    • ผู้ป่วยที่มารับบริการต้องเตรียมเอกสารสำคัญ เช่น บัตรประชาชน, บัตรรายการแพ้ยา, สำเนาใบส่งตัว (ถ้ามี) เพื่อให้เจ้าหน้าที่สามารถให้บริการได้
    • แม้ข้อมูลสุขภาพของประชาชนจะไม่รั่วไหล แต่การรับบริการได้รับผลกระทบ ผู้ป่วยต้องใช้เวลารอคอยนานขึ้น
    • ข้อมูลการเบิกจ่ายงบประมาณและข้อมูลทางการเงินของโรงพยาบาลก็ได้รับผลกระทบเช่นกัน แต่ไม่มากนัก เนื่องจากส่วนใหญ่เป็นการบันทึกข้อมูลผู้ป่วยในลงกระดาษ
    • โรงพยาบาลได้แจ้งความดำเนินคดีกับผู้กระทำผิด

ผลกระทบอย่างละเอียด

1. ผลกระทบต่อการให้บริการทางการแพทย์

  • การเข้าถึงข้อมูลผู้ป่วย: ไม่สามารถเข้าถึงข้อมูลประวัติการรักษา, รายการยา, ประวัติการแพ้ยา, ผลการตรวจทางห้องปฏิบัติการ และข้อมูลอื่นๆ ที่สำคัญต่อการวินิจฉัยและการรักษา ทำให้แพทย์และพยาบาลทำงานได้ยากลำบาก
  • การนัดหมายและคิวการรักษา: ระบบนัดหมายอาจหยุดชะงัก ผู้ป่วยอาจต้องรอคิวนานขึ้น หรือต้องใช้วิธีการลงทะเบียนแบบแมนนวล
  • การจ่ายยา: ข้อมูลยาที่ผู้ป่วยเคยได้รับอาจไม่สามารถเข้าถึงได้ทันที ทำให้ต้องตรวจสอบข้อมูลใหม่ หรือสอบถามผู้ป่วยโดยตรง
  • ประสิทธิภาพการทำงาน: บุคลากรทางการแพทย์ต้องทำงานแบบออฟไลน์ หรือใช้ระบบสำรองชั่วคราว ซึ่งส่งผลให้การทำงานช้าลงและประสิทธิภาพลดลง

2. ผลกระทบต่อระบบสารสนเทศและข้อมูล

  • การเข้ารหัสข้อมูล: ข้อมูลสำคัญทั้งหมดของโรงพยาบาล ทั้งประวัติผู้ป่วย การเงิน และข้อมูลบริหารจัดการ ถูกเข้ารหัส ทำให้ไม่สามารถเข้าถึงได้
  • ความเสียหายของระบบ: ระบบเครือข่ายและเซิร์ฟเวอร์ของโรงพยาบาลได้รับความเสียหาย
  • ข้อมูลรั่วไหล (ในกรณีของ Ransomware ที่มักมีการขู่ว่าจะเผยแพร่ข้อมูล): แม้ในกรณีของโรงพยาบาลสระบุรีจะมีการยืนยันว่าข้อมูลสุขภาพประชาชนไม่รั่วไหล แต่โดยทั่วไปแล้วการโจมตีประเภทนี้มีความเสี่ยงสูงที่จะมีการขโมยข้อมูลสำคัญออกไป

3. ผลกระทบด้านการเงินและการบริหาร

  • ค่าใช้จ่ายในการแก้ไข: โรงพยาบาลต้องแบกรับภาระค่าใช้จ่ายในการกู้คืนระบบ ซื้อซอฟต์แวร์ป้องกัน และอาจต้องลงทุนในโครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์ใหม่
  • ผลกระทบต่อระบบเบิกจ่าย: แม้จะกระทบไม่มาก แต่ก็สร้างความยุ่งยากในการบริหารจัดการการเงินและเบิกจ่ายงบประมาณ

วิธีการแก้ไขและป้องกัน

วิธีการแก้ไขในระยะเร่งด่วน (ที่โรงพยาบาลสระบุรีได้ดำเนินการ)

  • แจ้งความดำเนินคดี: เพื่อสืบหาผู้กระทำผิดและดำเนินการตามกฎหมาย
  • กู้คืนระบบและข้อมูล: มีการระดมทีมผู้เชี่ยวชาญทั้งภายในและภายนอกเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส และฟื้นฟูระบบสารสนเทศให้กลับมาใช้งานได้
  • การให้บริการแบบแมนนวล: ปรับการให้บริการเป็นการใช้เอกสารและบันทึกข้อมูลด้วยมือชั่วคราว เพื่อให้ผู้ป่วยยังคงได้รับการรักษา
  • ขอความร่วมมือจากผู้ป่วย: ขอให้ผู้ป่วยนำเอกสารสำคัญมาด้วยเพื่อความสะดวกในการให้บริการ

วิธีการป้องกันในระยะยาว (บทเรียนที่ได้จากเหตุการณ์)

  • ยกระดับความมั่นคงปลอดภัยไซเบอร์:
    • อัปเดตระบบปฏิบัติการและซอฟต์แวร์: ตรวจสอบและอัปเดตระบบปฏิบัติการ (เช่น Windows) และซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดและแก้ไขช่องโหว่ความปลอดภัยอยู่เสมอ
    • ติดตั้ง Antivirus และ Endpoint Detection and Response (EDR): ใช้โปรแกรมป้องกันไวรัสที่มีประสิทธิภาพและระบบตรวจจับภัยคุกคามที่ปลายทาง (EDR) เพื่อป้องกันและตรวจจับมัลแวร์
    • Firewall และการแบ่งแยกเครือข่าย: ติดตั้ง Next-Generation Firewall (NGFW) และแบ่งแยกเครือข่าย (Network Segmentation) เพื่อจำกัดการเข้าถึงและลดการแพร่กระจายของภัยคุกคามหากมีการโจมตี
    • การยืนยันตัวตนหลายปัจจัย (MFA): กำหนดให้มีการยืนยันตัวตนหลายชั้นสำหรับการเข้าถึงระบบสำคัญ
    • การบริหารจัดการสิทธิ์การเข้าถึง (Least Privilege): กำหนดสิทธิ์การเข้าถึงข้อมูลและระบบให้แก่บุคลากรเท่าที่จำเป็นเท่านั้น
  • การสำรองข้อมูล (Backup and Recovery):
    • การสำรองข้อมูลอย่างสม่ำเสมอ: สำรองข้อมูลสำคัญอย่างสม่ำเสมอและในหลายรูปแบบ (เช่น On-site, Off-site, Cloud)
    • การแยกสำรองข้อมูล: เก็บข้อมูลสำรองไว้ในพื้นที่ที่แยกออกจากเครือข่ายหลัก (Air-gapped backup) เพื่อป้องกันไม่ให้ข้อมูลสำรองถูกโจมตีพร้อมกับระบบหลัก
    • การทดสอบการกู้คืนข้อมูล: มีการทดสอบการกู้คืนข้อมูลเป็นประจำเพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลได้จริงเมื่อเกิดเหตุ
  • การฝึกอบรมบุคลากร:
    • สร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์: ให้ความรู้และฝึกอบรมบุคลากรทุกคนในโรงพยาบาลให้ตระหนักถึงภัยคุกคามไซเบอร์ เช่น Phishing, Social Engineering และวิธีการป้องกันตัวเอง
    • การปฏิบัติตามนโยบาย: กำหนดนโยบายและแนวปฏิบัติที่ชัดเจนด้านความมั่นคงปลอดภัยไซเบอร์ และบังคับใช้อย่างเคร่งครัด
  • การจัดทำแผนรับมือเหตุการณ์ (Incident Response Plan): มีแผนการตอบสนองต่อเหตุการณ์ฉุกเฉินทางไซเบอร์ที่ชัดเจน เพื่อให้สามารถแก้ไขสถานการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ

ภาครัฐเข้าช่วยเหลืออย่างไร

  • กระทรวงสาธารณสุข (สธ.):
    • ส่งทีมผู้เชี่ยวชาญ: จัดส่งผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศจากกระทรวงฯ เข้าไปช่วยเหลือและสนับสนุนโรงพยาบาลในการกู้คืนระบบ
    • สนับสนุนอุปกรณ์เบื้องต้น: จัดหาอุปกรณ์ที่จำเป็น เช่น เซิร์ฟเวอร์และซอฟต์แวร์ เพื่อช่วยฟื้นฟูระบบ
    • กำชับและสั่งการ: รัฐมนตรีว่าการกระทรวงสาธารณสุขและปลัดกระทรวงสาธารณสุข แสดงความห่วงใยและสั่งการให้เร่งแก้ไขปัญหา และยกระดับการป้องกันระบบคอมพิวเตอร์ของหน่วยงานในสังกัดทั่วประเทศ
    • การกำหนดนโยบายและแนวปฏิบัติ: มีการออกแนวทางการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับโรงพยาบาลของรัฐ (เช่น HAIT Plus Guideline) เพื่อเป็นแนวทางปฏิบัติให้โรงพยาบาลต่างๆ
    • จัดตั้งทีมประสานช่วยเหลือ (Health CERT): เพื่อเป็นหน่วยงานกลางในการประสานงานและช่วยเหลือแก้ไขปัญหาภัยคุกคามไซเบอร์ด้านสาธารณสุข
  • หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ:
    • สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.): อาจมีการเข้ามาสนับสนุนด้านเทคนิคและให้คำแนะนำในการรับมือกับภัยคุกคามไซเบอร์ในระดับประเทศ
    • ThaiCERT (Thailand Computer Emergency Response Team): หน่วยงานนี้มักจะให้ข้อมูลและคำแนะนำเกี่ยวกับการรับมือกับภัยคุกคามทางไซเบอร์ต่างๆ

แหล่งอ้างอิงที่น่าเชื่อถือ:

เหตุการณ์โรงพยาบาลสระบุรีเป็นกรณีศึกษาที่สำคัญที่เน้นย้ำถึงความจำเป็นในการลงทุนและยกระดับความมั่นคงปลอดภัยทางไซเบอร์ในทุกหน่วยงาน โดยเฉพาะอย่างยิ่งในภาคส่วนที่มีข้อมูลอ่อนไหวและมีความสำคัญต่อชีวิตประชาชนอย่างโรงพยาบาล

อย่ารอให้ข้อมูลสำคัญหายไป! คลิกติดต่อเราตอนนี้ เพื่อปรึกษาผู้เชี่ยวชาญจาก Technology Land Backup Solution และค้นพบโซลูชั่นที่เหมาะสมที่สุดสำหรับคุณ!

พร้อมปกป้องธุรกิจและชีวิตดิจิทัลของคุณให้ปลอดภัยแล้วหรือยัง?

ติดต่อเราวันนี้ เพื่อรับคำแนะนำและโซลูชันที่เหมาะกับความต้องการของคุณ!

Click to rate this post!
[Total: 0 Average: 0]
Index
Scroll to Top