เหตุการณ์โรงพยาบาลสระบุรีที่ถูกโจมตีทางไซเบอร์ด้วย Ransomware 

เหตุการณ์โรงพยาบาลสระบุรีที่ถูกโจมตีทางไซเบอร์ด้วย Ransomware เมื่อเดือนกันยายน พ.ศ. 2563 เป็นเหตุการณ์สำคัญที่สร้างผลกระทบในวงกว้างต่อการให้บริการทางการแพทย์และเป็นบทเรียนสำคัญด้านความมั่นคงปลอดภัยทางไซเบอร์ของหน่วยงานภาครัฐในประเทศไทย

• โรงพยาบาลสระบุรีถูกโจมตีด้วย Ransomware ชนิด Void Crypt. Spade ซึ่งเป็นมัลแวร์ที่เข้ารหัสข้อมูลในระบบคอมพิวเตอร์และเรียกร้องค่าไถ่เพื่อปลดล็อกข้อมูล (Encrypt)
• สาเหตุหลักประการหนึ่งคาดการณ์ว่าอาจมาจากระบบปฏิบัติการ Windows ที่ไม่ได้มีการอัปเดตเวอร์ชันใหม่ หรือมีช่องโหว่ด้านความปลอดภัยที่แฮกเกอร์สามารถเจาะเข้ามาได้ง่าย นอกจากนี้ยังพบว่ามีการแชร์ไฟล์ในไดรฟ์กลางที่กำหนดไว้ ซึ่งอาจเป็นแหล่งแพร่กระจายของไวรัส
• ระบบสำรองข้อมูลที่มีอยู่เดิมอาจไม่เพียงพอและไม่ปลอดภัย ทำให้ข้อมูลที่สำรองไว้ถูกเข้ารหัสไปพร้อมกับฐานข้อมูลหลัก

• ประมาณวันที่ 7-8 กันยายน 2563: มีข่าวแพร่สะพัดในสื่อสังคมออนไลน์ว่าระบบคอมพิวเตอร์ของโรงพยาบาลสระบุรีถูกโจมตีและข้อมูลถูกเข้ารหัสเรียกค่าไถ่ ส่งผลให้เจ้าหน้าที่ไม่สามารถเข้าถึงข้อมูลผู้ป่วยได้ และการทำงานเป็นไปอย่างยากลำบาก
• วันที่ 11 กันยายน 2563: โรงพยาบาลสระบุรีออกแถลงการณ์ผ่านเฟซบุ๊กแฟนเพจ ยืนยันว่าระบบสารสนเทศถูกไวรัสโจมตีจริง แต่ปฏิเสธเรื่องการเรียกค่าไถ่ อย่างไรก็ตาม มีรายงานข่าวในภายหลังที่ระบุว่ามีการเรียกค่าไถ่เกิดขึ้นจริง แต่ตัวเลขไม่ชัดเจน
• ช่วงเวลาหลังเกิดเหตุ:
  • โรงพยาบาลไม่สามารถสืบค้นข้อมูลประวัติเก่าของผู้ป่วยหรือให้บริการออนไลน์ได้
  • ผู้ป่วยที่มารับบริการต้องเตรียมเอกสารสำคัญ เช่น บัตรประชาชน, บัตรรายการแพ้ยา, สำเนาใบส่งตัว (ถ้ามี) เพื่อให้เจ้าหน้าที่สามารถให้บริการได้
  • แม้ข้อมูลสุขภาพของประชาชนจะไม่รั่วไหล แต่การรับบริการได้รับผลกระทบ ผู้ป่วยต้องใช้เวลารอคอยนานขึ้น
  • ข้อมูลการเบิกจ่ายงบประมาณและข้อมูลทางการเงินของโรงพยาบาลก็ได้รับผลกระทบเช่นกัน แต่ไม่มากนัก เนื่องจากส่วนใหญ่เป็นการบันทึกข้อมูลผู้ป่วยในลงกระดาษ
  • โรงพยาบาลได้แจ้งความดำเนินคดีกับผู้กระทำผิด

• การเข้าถึงข้อมูลผู้ป่วย: ไม่สามารถเข้าถึงข้อมูลประวัติการรักษา, รายการยา, ประวัติการแพ้ยา, ผลการตรวจทางห้องปฏิบัติการ และข้อมูลอื่นๆ ที่สำคัญต่อการวินิจฉัยและการรักษา ทำให้แพทย์และพยาบาลทำงานได้ยากลำบาก
• การนัดหมายและคิวการรักษา: ระบบนัดหมายอาจหยุดชะงัก ผู้ป่วยอาจต้องรอคิวนานขึ้น หรือต้องใช้วิธีการลงทะเบียนแบบแมนนวล
• การจ่ายยา: ข้อมูลยาที่ผู้ป่วยเคยได้รับอาจไม่สามารถเข้าถึงได้ทันที ทำให้ต้องตรวจสอบข้อมูลใหม่ หรือสอบถามผู้ป่วยโดยตรง
• ประสิทธิภาพการทำงาน: บุคลากรทางการแพทย์ต้องทำงานแบบออฟไลน์ หรือใช้ระบบสำรองชั่วคราว ซึ่งส่งผลให้การทำงานช้าลงและประสิทธิภาพลดลง

• การเข้ารหัสข้อมูล: ข้อมูลสำคัญทั้งหมดของโรงพยาบาล ทั้งประวัติผู้ป่วย การเงิน และข้อมูลบริหารจัดการ ถูกเข้ารหัส ทำให้ไม่สามารถเข้าถึงได้
• ความเสียหายของระบบ: ระบบเครือข่ายและเซิร์ฟเวอร์ของโรงพยาบาลได้รับความเสียหาย
• ข้อมูลรั่วไหล (ในกรณีของ Ransomware ที่มักมีการขู่ว่าจะเผยแพร่ข้อมูล): แม้ในกรณีของโรงพยาบาลสระบุรีจะมีการยืนยันว่าข้อมูลสุขภาพประชาชนไม่รั่วไหล แต่โดยทั่วไปแล้วการโจมตีประเภทนี้มีความเสี่ยงสูงที่จะมีการขโมยข้อมูลสำคัญออกไป

• ค่าใช้จ่ายในการแก้ไข: โรงพยาบาลต้องแบกรับภาระค่าใช้จ่ายในการกู้คืนระบบ ซื้อซอฟต์แวร์ป้องกัน และอาจต้องลงทุนในโครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์ใหม่
• ผลกระทบต่อระบบเบิกจ่าย: แม้จะกระทบไม่มาก แต่ก็สร้างความยุ่งยากในการบริหารจัดการการเงินและเบิกจ่ายงบประมาณ

• แจ้งความดำเนินคดี: เพื่อสืบหาผู้กระทำผิดและดำเนินการตามกฎหมาย
• กู้คืนระบบและข้อมูล: มีการระดมทีมผู้เชี่ยวชาญทั้งภายในและภายนอกเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส และฟื้นฟูระบบสารสนเทศให้กลับมาใช้งานได้
• การให้บริการแบบแมนนวล: ปรับการให้บริการเป็นการใช้เอกสารและบันทึกข้อมูลด้วยมือชั่วคราว เพื่อให้ผู้ป่วยยังคงได้รับการรักษา
• ขอความร่วมมือจากผู้ป่วย: ขอให้ผู้ป่วยนำเอกสารสำคัญมาด้วยเพื่อความสะดวกในการให้บริการ

• ยกระดับความมั่นคงปลอดภัยไซเบอร์:
  • อัปเดตระบบปฏิบัติการและซอฟต์แวร์: ตรวจสอบและอัปเดตระบบปฏิบัติการ (เช่น Windows) และซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดและแก้ไขช่องโหว่ความปลอดภัยอยู่เสมอ
  • ติดตั้ง Antivirus และ Endpoint Detection and Response (EDR): ใช้โปรแกรมป้องกันไวรัสที่มีประสิทธิภาพและระบบตรวจจับภัยคุกคามที่ปลายทาง (EDR) เพื่อป้องกันและตรวจจับมัลแวร์
  • Firewall และการแบ่งแยกเครือข่าย: ติดตั้ง Next-Generation Firewall (NGFW) และแบ่งแยกเครือข่าย (Network Segmentation) เพื่อจำกัดการเข้าถึงและลดการแพร่กระจายของภัยคุกคามหากมีการโจมตี
  • การยืนยันตัวตนหลายปัจจัย (MFA): กำหนดให้มีการยืนยันตัวตนหลายชั้นสำหรับการเข้าถึงระบบสำคัญ
  • การบริหารจัดการสิทธิ์การเข้าถึง (Least Privilege): กำหนดสิทธิ์การเข้าถึงข้อมูลและระบบให้แก่บุคลากรเท่าที่จำเป็นเท่านั้น
• การสำรองข้อมูล (Backup and Recovery):
  • การสำรองข้อมูลอย่างสม่ำเสมอ: สำรองข้อมูลสำคัญอย่างสม่ำเสมอและในหลายรูปแบบ (เช่น On-site, Off-site, Cloud)
  • การแยกสำรองข้อมูล: เก็บข้อมูลสำรองไว้ในพื้นที่ที่แยกออกจากเครือข่ายหลัก (Air-gapped backup) เพื่อป้องกันไม่ให้ข้อมูลสำรองถูกโจมตีพร้อมกับระบบหลัก
  • การทดสอบการกู้คืนข้อมูล: มีการทดสอบการกู้คืนข้อมูลเป็นประจำเพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลได้จริงเมื่อเกิดเหตุ
• การฝึกอบรมบุคลากร:
  • สร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์: ให้ความรู้และฝึกอบรมบุคลากรทุกคนในโรงพยาบาลให้ตระหนักถึงภัยคุกคามไซเบอร์ เช่น Phishing, Social Engineering และวิธีการป้องกันตัวเอง
  • การปฏิบัติตามนโยบาย: กำหนดนโยบายและแนวปฏิบัติที่ชัดเจนด้านความมั่นคงปลอดภัยไซเบอร์ และบังคับใช้อย่างเคร่งครัด
• การจัดทำแผนรับมือเหตุการณ์ (Incident Response Plan): มีแผนการตอบสนองต่อเหตุการณ์ฉุกเฉินทางไซเบอร์ที่ชัดเจน เพื่อให้สามารถแก้ไขสถานการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ

• กระทรวงสาธารณสุข (สธ.):
  • ส่งทีมผู้เชี่ยวชาญ: จัดส่งผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศจากกระทรวงฯ เข้าไปช่วยเหลือและสนับสนุนโรงพยาบาลในการกู้คืนระบบ
  • สนับสนุนอุปกรณ์เบื้องต้น: จัดหาอุปกรณ์ที่จำเป็น เช่น เซิร์ฟเวอร์และซอฟต์แวร์ เพื่อช่วยฟื้นฟูระบบ
  • กำชับและสั่งการ: รัฐมนตรีว่าการกระทรวงสาธารณสุขและปลัดกระทรวงสาธารณสุข แสดงความห่วงใยและสั่งการให้เร่งแก้ไขปัญหา และยกระดับการป้องกันระบบคอมพิวเตอร์ของหน่วยงานในสังกัดทั่วประเทศ
  • การกำหนดนโยบายและแนวปฏิบัติ: มีการออกแนวทางการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับโรงพยาบาลของรัฐ (เช่น HAIT Plus Guideline) เพื่อเป็นแนวทางปฏิบัติให้โรงพยาบาลต่างๆ
  • จัดตั้งทีมประสานช่วยเหลือ (Health CERT): เพื่อเป็นหน่วยงานกลางในการประสานงานและช่วยเหลือแก้ไขปัญหาภัยคุกคามไซเบอร์ด้านสาธารณสุข
• หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ:
  • สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.): อาจมีการเข้ามาสนับสนุนด้านเทคนิคและให้คำแนะนำในการรับมือกับภัยคุกคามไซเบอร์ในระดับประเทศ
  • ThaiCERT (Thailand Computer Emergency Response Team): หน่วยงานนี้มักจะให้ข้อมูลและคำแนะนำเกี่ยวกับการรับมือกับภัยคุกคามทางไซเบอร์ต่างๆ

แหล่งอ้างอิงที่น่าเชื่อถือ:

• Hfocus.org: เว็บไซต์ข่าวสารด้านสุขภาพที่มีบทความเกี่ยวกับเหตุการณ์นี้หลายชิ้น
  • ย้ำ! รพ.สระบุรี ถูกแฮกระบบ ไม่ส่งผลข้อมูลสุขภาพปชช.รั่วไหล! พร้อมแจ้งความดำเนินคดี
  • รพ.สระบุรี แจงหลังถูกแฮ็กข้อมูล และถูกเรียกค่าไถ่ 2 แสนบิทคอย
• Thai PBS News: รายงานข่าวที่ครอบคลุมถึงผลกระทบและการดำเนินการของโรงพยาบาล
  • วุ่น! รพ.สระบุรี ระบบคอมพิวเตอร์ถูกโจมตีซ่อนข้อมูลเรียกค่าไถ่
• BBC News ไทย: รายงานข่าวที่เน้นการยอมรับจากผู้บริหารระดับสูงและผลกระทบที่เกิดขึ้น
  • อนุทินยอมรับฐานข้อมูลคนไข้ถูกเจาะ สั่งยกระดับการป้องกันระบบคอมพิวเตอร์ สธ.
• WorkpointTODAY: บทความที่วิเคราะห์บทเรียนจากเหตุการณ์และประเด็นด้าน Cyber Security
  • บทเรียนโรงพยาบาลสระบุรีถูกแฮกระบบเก็บข้อมูล ถึงเวลาไทยต้องลงทุนกับ Cyber Security
• ThaiJO (Thai Journals Online): วารสารวิชาการที่อาจมีบทความวิเคราะห์เชิงลึกเกี่ยวกับกรณีศึกษา เช่น “ภาวะวิกฤติของระบบสารสนเทศโรงพยาบาลสระบุรี”
  • ภาวะวิกฤติของระบบสารสนเทศโรงพยาบาลสระบุรี
• AlphaSec / t-reg PDPA Platform: บริษัทที่ปรึกษาด้านความปลอดภัยไซเบอร์และ PDPA ที่มีบทความวิเคราะห์ภัยคุกคามและแนวทางการป้องกัน
  • 10 ขั้นตอนการเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์สำหรับโรงพยาบาลรัฐของไทย

เหตุการณ์โรงพยาบาลสระบุรีเป็นกรณีศึกษาที่สำคัญที่เน้นย้ำถึงความจำเป็นในการลงทุนและยกระดับความมั่นคงปลอดภัยทางไซเบอร์ในทุกหน่วยงาน โดยเฉพาะอย่างยิ่งในภาคส่วนที่มีข้อมูลอ่อนไหวและมีความสำคัญต่อชีวิตประชาชนอย่างโรงพยาบาล

อย่ารอให้ข้อมูลสำคัญหายไป! คลิกติดต่อเราตอนนี้ เพื่อปรึกษาผู้เชี่ยวชาญจาก Technology Land Backup Solution และค้นพบโซลูชั่นที่เหมาะสมที่สุดสำหรับคุณ!