เหตุการณ์โรงพยาบาลสระบุรีที่ถูกโจมตีทางไซเบอร์ด้วย Ransomware เมื่อเดือนกันยายน พ.ศ. 2563 เป็นเหตุการณ์สำคัญที่สร้างผลกระทบในวงกว้างต่อการให้บริการทางการแพทย์และเป็นบทเรียนสำคัญด้านความมั่นคงปลอดภัยทางไซเบอร์ของหน่วยงานภาครัฐในประเทศไทย
ที่มาที่ไปและลำดับเหตุการณ์อย่างละเอียด
ต้นตอของเหตุการณ์
- โรงพยาบาลสระบุรีถูกโจมตีด้วย Ransomware ชนิด Void Crypt. Spade ซึ่งเป็นมัลแวร์ที่เข้ารหัสข้อมูลในระบบคอมพิวเตอร์และเรียกร้องค่าไถ่เพื่อปลดล็อกข้อมูล (Encrypt)
- สาเหตุหลักประการหนึ่งคาดการณ์ว่าอาจมาจากระบบปฏิบัติการ Windows ที่ไม่ได้มีการอัปเดตเวอร์ชันใหม่ หรือมีช่องโหว่ด้านความปลอดภัยที่แฮกเกอร์สามารถเจาะเข้ามาได้ง่าย นอกจากนี้ยังพบว่ามีการแชร์ไฟล์ในไดรฟ์กลางที่กำหนดไว้ ซึ่งอาจเป็นแหล่งแพร่กระจายของไวรัส
- ระบบสำรองข้อมูลที่มีอยู่เดิมอาจไม่เพียงพอและไม่ปลอดภัย ทำให้ข้อมูลที่สำรองไว้ถูกเข้ารหัสไปพร้อมกับฐานข้อมูลหลัก
ลำดับเหตุการณ์
- ประมาณวันที่ 7-8 กันยายน 2563: มีข่าวแพร่สะพัดในสื่อสังคมออนไลน์ว่าระบบคอมพิวเตอร์ของโรงพยาบาลสระบุรีถูกโจมตีและข้อมูลถูกเข้ารหัสเรียกค่าไถ่ ส่งผลให้เจ้าหน้าที่ไม่สามารถเข้าถึงข้อมูลผู้ป่วยได้ และการทำงานเป็นไปอย่างยากลำบาก
- วันที่ 11 กันยายน 2563: โรงพยาบาลสระบุรีออกแถลงการณ์ผ่านเฟซบุ๊กแฟนเพจ ยืนยันว่าระบบสารสนเทศถูกไวรัสโจมตีจริง แต่ปฏิเสธเรื่องการเรียกค่าไถ่ อย่างไรก็ตาม มีรายงานข่าวในภายหลังที่ระบุว่ามีการเรียกค่าไถ่เกิดขึ้นจริง แต่ตัวเลขไม่ชัดเจน
- ช่วงเวลาหลังเกิดเหตุ:
- โรงพยาบาลไม่สามารถสืบค้นข้อมูลประวัติเก่าของผู้ป่วยหรือให้บริการออนไลน์ได้
- ผู้ป่วยที่มารับบริการต้องเตรียมเอกสารสำคัญ เช่น บัตรประชาชน, บัตรรายการแพ้ยา, สำเนาใบส่งตัว (ถ้ามี) เพื่อให้เจ้าหน้าที่สามารถให้บริการได้
- แม้ข้อมูลสุขภาพของประชาชนจะไม่รั่วไหล แต่การรับบริการได้รับผลกระทบ ผู้ป่วยต้องใช้เวลารอคอยนานขึ้น
- ข้อมูลการเบิกจ่ายงบประมาณและข้อมูลทางการเงินของโรงพยาบาลก็ได้รับผลกระทบเช่นกัน แต่ไม่มากนัก เนื่องจากส่วนใหญ่เป็นการบันทึกข้อมูลผู้ป่วยในลงกระดาษ
- โรงพยาบาลได้แจ้งความดำเนินคดีกับผู้กระทำผิด
ผลกระทบอย่างละเอียด
1. ผลกระทบต่อการให้บริการทางการแพทย์
- การเข้าถึงข้อมูลผู้ป่วย: ไม่สามารถเข้าถึงข้อมูลประวัติการรักษา, รายการยา, ประวัติการแพ้ยา, ผลการตรวจทางห้องปฏิบัติการ และข้อมูลอื่นๆ ที่สำคัญต่อการวินิจฉัยและการรักษา ทำให้แพทย์และพยาบาลทำงานได้ยากลำบาก
- การนัดหมายและคิวการรักษา: ระบบนัดหมายอาจหยุดชะงัก ผู้ป่วยอาจต้องรอคิวนานขึ้น หรือต้องใช้วิธีการลงทะเบียนแบบแมนนวล
- การจ่ายยา: ข้อมูลยาที่ผู้ป่วยเคยได้รับอาจไม่สามารถเข้าถึงได้ทันที ทำให้ต้องตรวจสอบข้อมูลใหม่ หรือสอบถามผู้ป่วยโดยตรง
- ประสิทธิภาพการทำงาน: บุคลากรทางการแพทย์ต้องทำงานแบบออฟไลน์ หรือใช้ระบบสำรองชั่วคราว ซึ่งส่งผลให้การทำงานช้าลงและประสิทธิภาพลดลง
2. ผลกระทบต่อระบบสารสนเทศและข้อมูล
- การเข้ารหัสข้อมูล: ข้อมูลสำคัญทั้งหมดของโรงพยาบาล ทั้งประวัติผู้ป่วย การเงิน และข้อมูลบริหารจัดการ ถูกเข้ารหัส ทำให้ไม่สามารถเข้าถึงได้
- ความเสียหายของระบบ: ระบบเครือข่ายและเซิร์ฟเวอร์ของโรงพยาบาลได้รับความเสียหาย
- ข้อมูลรั่วไหล (ในกรณีของ Ransomware ที่มักมีการขู่ว่าจะเผยแพร่ข้อมูล): แม้ในกรณีของโรงพยาบาลสระบุรีจะมีการยืนยันว่าข้อมูลสุขภาพประชาชนไม่รั่วไหล แต่โดยทั่วไปแล้วการโจมตีประเภทนี้มีความเสี่ยงสูงที่จะมีการขโมยข้อมูลสำคัญออกไป
3. ผลกระทบด้านการเงินและการบริหาร
- ค่าใช้จ่ายในการแก้ไข: โรงพยาบาลต้องแบกรับภาระค่าใช้จ่ายในการกู้คืนระบบ ซื้อซอฟต์แวร์ป้องกัน และอาจต้องลงทุนในโครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์ใหม่
- ผลกระทบต่อระบบเบิกจ่าย: แม้จะกระทบไม่มาก แต่ก็สร้างความยุ่งยากในการบริหารจัดการการเงินและเบิกจ่ายงบประมาณ
วิธีการแก้ไขและป้องกัน
วิธีการแก้ไขในระยะเร่งด่วน (ที่โรงพยาบาลสระบุรีได้ดำเนินการ)
- แจ้งความดำเนินคดี: เพื่อสืบหาผู้กระทำผิดและดำเนินการตามกฎหมาย
- กู้คืนระบบและข้อมูล: มีการระดมทีมผู้เชี่ยวชาญทั้งภายในและภายนอกเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส และฟื้นฟูระบบสารสนเทศให้กลับมาใช้งานได้
- การให้บริการแบบแมนนวล: ปรับการให้บริการเป็นการใช้เอกสารและบันทึกข้อมูลด้วยมือชั่วคราว เพื่อให้ผู้ป่วยยังคงได้รับการรักษา
- ขอความร่วมมือจากผู้ป่วย: ขอให้ผู้ป่วยนำเอกสารสำคัญมาด้วยเพื่อความสะดวกในการให้บริการ
วิธีการป้องกันในระยะยาว (บทเรียนที่ได้จากเหตุการณ์)
- ยกระดับความมั่นคงปลอดภัยไซเบอร์:
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์: ตรวจสอบและอัปเดตระบบปฏิบัติการ (เช่น Windows) และซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดและแก้ไขช่องโหว่ความปลอดภัยอยู่เสมอ
- ติดตั้ง Antivirus และ Endpoint Detection and Response (EDR): ใช้โปรแกรมป้องกันไวรัสที่มีประสิทธิภาพและระบบตรวจจับภัยคุกคามที่ปลายทาง (EDR) เพื่อป้องกันและตรวจจับมัลแวร์
- Firewall และการแบ่งแยกเครือข่าย: ติดตั้ง Next-Generation Firewall (NGFW) และแบ่งแยกเครือข่าย (Network Segmentation) เพื่อจำกัดการเข้าถึงและลดการแพร่กระจายของภัยคุกคามหากมีการโจมตี
- การยืนยันตัวตนหลายปัจจัย (MFA): กำหนดให้มีการยืนยันตัวตนหลายชั้นสำหรับการเข้าถึงระบบสำคัญ
- การบริหารจัดการสิทธิ์การเข้าถึง (Least Privilege): กำหนดสิทธิ์การเข้าถึงข้อมูลและระบบให้แก่บุคลากรเท่าที่จำเป็นเท่านั้น
- การสำรองข้อมูล (Backup and Recovery):
- การสำรองข้อมูลอย่างสม่ำเสมอ: สำรองข้อมูลสำคัญอย่างสม่ำเสมอและในหลายรูปแบบ (เช่น On-site, Off-site, Cloud)
- การแยกสำรองข้อมูล: เก็บข้อมูลสำรองไว้ในพื้นที่ที่แยกออกจากเครือข่ายหลัก (Air-gapped backup) เพื่อป้องกันไม่ให้ข้อมูลสำรองถูกโจมตีพร้อมกับระบบหลัก
- การทดสอบการกู้คืนข้อมูล: มีการทดสอบการกู้คืนข้อมูลเป็นประจำเพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลได้จริงเมื่อเกิดเหตุ
- การฝึกอบรมบุคลากร:
- สร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์: ให้ความรู้และฝึกอบรมบุคลากรทุกคนในโรงพยาบาลให้ตระหนักถึงภัยคุกคามไซเบอร์ เช่น Phishing, Social Engineering และวิธีการป้องกันตัวเอง
- การปฏิบัติตามนโยบาย: กำหนดนโยบายและแนวปฏิบัติที่ชัดเจนด้านความมั่นคงปลอดภัยไซเบอร์ และบังคับใช้อย่างเคร่งครัด
- การจัดทำแผนรับมือเหตุการณ์ (Incident Response Plan): มีแผนการตอบสนองต่อเหตุการณ์ฉุกเฉินทางไซเบอร์ที่ชัดเจน เพื่อให้สามารถแก้ไขสถานการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ
ภาครัฐเข้าช่วยเหลืออย่างไร
- กระทรวงสาธารณสุข (สธ.):
- ส่งทีมผู้เชี่ยวชาญ: จัดส่งผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศจากกระทรวงฯ เข้าไปช่วยเหลือและสนับสนุนโรงพยาบาลในการกู้คืนระบบ
- สนับสนุนอุปกรณ์เบื้องต้น: จัดหาอุปกรณ์ที่จำเป็น เช่น เซิร์ฟเวอร์และซอฟต์แวร์ เพื่อช่วยฟื้นฟูระบบ
- กำชับและสั่งการ: รัฐมนตรีว่าการกระทรวงสาธารณสุขและปลัดกระทรวงสาธารณสุข แสดงความห่วงใยและสั่งการให้เร่งแก้ไขปัญหา และยกระดับการป้องกันระบบคอมพิวเตอร์ของหน่วยงานในสังกัดทั่วประเทศ
- การกำหนดนโยบายและแนวปฏิบัติ: มีการออกแนวทางการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับโรงพยาบาลของรัฐ (เช่น HAIT Plus Guideline) เพื่อเป็นแนวทางปฏิบัติให้โรงพยาบาลต่างๆ
- จัดตั้งทีมประสานช่วยเหลือ (Health CERT): เพื่อเป็นหน่วยงานกลางในการประสานงานและช่วยเหลือแก้ไขปัญหาภัยคุกคามไซเบอร์ด้านสาธารณสุข
- หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ:
- สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.): อาจมีการเข้ามาสนับสนุนด้านเทคนิคและให้คำแนะนำในการรับมือกับภัยคุกคามไซเบอร์ในระดับประเทศ
- ThaiCERT (Thailand Computer Emergency Response Team): หน่วยงานนี้มักจะให้ข้อมูลและคำแนะนำเกี่ยวกับการรับมือกับภัยคุกคามทางไซเบอร์ต่างๆ
แหล่งอ้างอิงที่น่าเชื่อถือ:
- Hfocus.org: เว็บไซต์ข่าวสารด้านสุขภาพที่มีบทความเกี่ยวกับเหตุการณ์นี้หลายชิ้น
- Thai PBS News: รายงานข่าวที่ครอบคลุมถึงผลกระทบและการดำเนินการของโรงพยาบาล
- BBC News ไทย: รายงานข่าวที่เน้นการยอมรับจากผู้บริหารระดับสูงและผลกระทบที่เกิดขึ้น
- WorkpointTODAY: บทความที่วิเคราะห์บทเรียนจากเหตุการณ์และประเด็นด้าน Cyber Security
- ThaiJO (Thai Journals Online): วารสารวิชาการที่อาจมีบทความวิเคราะห์เชิงลึกเกี่ยวกับกรณีศึกษา เช่น “ภาวะวิกฤติของระบบสารสนเทศโรงพยาบาลสระบุรี”
- AlphaSec / t-reg PDPA Platform: บริษัทที่ปรึกษาด้านความปลอดภัยไซเบอร์และ PDPA ที่มีบทความวิเคราะห์ภัยคุกคามและแนวทางการป้องกัน
เหตุการณ์โรงพยาบาลสระบุรีเป็นกรณีศึกษาที่สำคัญที่เน้นย้ำถึงความจำเป็นในการลงทุนและยกระดับความมั่นคงปลอดภัยทางไซเบอร์ในทุกหน่วยงาน โดยเฉพาะอย่างยิ่งในภาคส่วนที่มีข้อมูลอ่อนไหวและมีความสำคัญต่อชีวิตประชาชนอย่างโรงพยาบาล
อย่ารอให้ข้อมูลสำคัญหายไป! คลิกติดต่อเราตอนนี้ เพื่อปรึกษาผู้เชี่ยวชาญจาก Technology Land Backup Solution และค้นพบโซลูชั่นที่เหมาะสมที่สุดสำหรับคุณ!
พร้อมปกป้องธุรกิจและชีวิตดิจิทัลของคุณให้ปลอดภัยแล้วหรือยัง?
ติดต่อเราวันนี้ เพื่อรับคำแนะนำและโซลูชันที่เหมาะกับความต้องการของคุณ!
Click to rate this post!
[Total: 0 Average: 0]