Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

วงการสาธารณสุขของสหรัฐอเมริกาตกอยู่ในความเสี่ยง: เสริมสร้างความยืดหยุ่นเพื่อรับมือการโจมตีด้วยแรนซัมแวร์

แชร์
กลุ่มบุคลากรทางการแพทย์กำลังมองไปยังแท็บเล็ต

ภาคส่วนการดูแลสุขภาพต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็ว โดยการโจมตีด้วยแรนซัมแวร์กลายเป็นหนึ่งในภัยคุกคามที่สำคัญที่สุด ข้อมูลผู้ป่วยที่มีค่า อุปกรณ์การแพทย์ที่เชื่อมต่อถึงกัน และเจ้าหน้าที่ปฏิบัติการด้านไอที/การรักษาความปลอดภัยทางไซเบอร์จำนวนน้อยซึ่งมีหน้าที่รับผิดชอบมากเกินไป ทั้งหมดนี้อาจทำให้องค์กรด้านการดูแลสุขภาพกลายเป็นเป้าหมายหลักของเหล่าผู้ดำเนินการภัยคุกคามได้ เนื่องด้วยการดำเนินงานด้านการดูแลสุขภาพนั้นเริ่มนำระบบดิจิทัลเข้ามาปรับใช้เพิ่มมากขึ้น ไม่ว่าจะเป็นระบบระเบียนสุขภาพอิเล็กทรอนิกส์ (EHR) ไปจนถึงแพลตฟอร์มการแพทย์ทางไกลและอุปกรณ์การแพทย์ที่เชื่อมต่อกันผ่านเครือข่าย พื้นหน้าของการโจมตีโรงพยาบาลจึงซับซ้อนมากขึ้น ส่งผลให้มีความเสี่ยงต่อการถูกโจมตีเพิ่มมากขึ้น

หัวข้อต่อไปนี้จะให้ภาพรวมของขอบเขตการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันด้านการดูแลสุขภาพ โดยเน้นถึงสถานะของอุตสาหกรรมที่ตกเป็นเป้าหมายหลัก ความถี่ที่เพิ่มขึ้นของการโจมตีด้วยแรนซัมแวร์ และผลกระทบทางการเงินและการดูแลผู้ป่วยที่ร้ายแรงอันเกิดจากภัยคุกคามเหล่านี้

การอภิปรายผ่านวิดีโอนำโดย Sherrod DeGrippo ผู้อำนวยการฝ่ายกลยุทธ์ข่าวกรองเกี่ยวกับภัยคุกคามของ Microsoft ได้เจาะลึกถึงประเด็นสำคัญเหล่านี้เพิ่มเติม พร้อมทั้งนำเสนอข้อมูลเชิงลึกจากเหล่าผู้เชี่ยวชาญเกี่ยวกับผู้ดำเนินการภัยคุกคาม กลยุทธ์การกู้คืน และช่องโหว่ด้านการดูแลสุขภาพ

การสรุปจาก Microsoft Threat Intelligence: การดูแลสุขภาพ

Sherrod DeGrippo ผู้อำนวยการฝ่ายกลยุทธ์ข่าวกรองเกี่ยวกับภัยคุกคามจาก Microsoft Threat Intelligence คือผู้นำการอภิปรายแบบโต๊ะกลมอันคึกคักกับเหล่าผู้เชี่ยวชาญด้านข่าวกรองเกี่ยวกับภัยคุกคามและการรักษาความปลอดภัยด้านการดูแลสุขภาพ ซึ่งคอยตรวจสอบสิ่งที่ทำให้ระบบดูแลสุขภาพมีความเสี่ยงต่อการโจมตีด้วยแรนซัมแวร์เป็นพิเศษ กลวิธีที่กลุ่มผู้ดำเนินการภัยคุกคามใช้ วิธีที่จะคงความยืดหยุ่น และอื่นๆ อีกมากมาย
  • ตามข้อมูลของ Microsoft Threat Intelligence ภาคส่วนการดูแลสุขภาพ/สาธารณสุขเป็น 1 ใน 10 อุตสาหกรรมที่ได้รับผลกระทบมากที่สุดในไตรมาสที่ 2 ของปี 20241
  • แรนซัมแวร์ในรูปการบริการ (RaaS) นั้นลดสิ่งกีดขวางในการเข้าถึงให้กับผู้โจมตีที่ขาดความเชี่ยวชาญทางเทคนิค ขณะเดียวกันรัสเซียก็ให้พื้นที่ปลอดภัยสำหรับกลุ่มแรนซัมแวร์ ส่งผลให้การโจมตีด้วยแรนซัมแวร์นั้นเพิ่มขึ้นถึง 300% นับตั้งแต่ปี 20152
  • ในปีงบประมาณนี้ สถาบันดูแลสุขภาพของสหรัฐกว่า 389 แห่งถูกโจมตีด้วยแรนซัมแวร์ ส่งผลให้เครือข่ายต้องปิดตัวลง ระบบออฟไลน์ เกิดความล่าช้าในขั้นตอนการแพทย์ที่สำคัญ และต้องกำหนดการนัดหมายใหม่3 การโจมตีนั้นก่อให้เกิดความเสียหายด้านการเงินอย่างสูง โดย รายงานอุตสาหกรรมหนึ่งระบุว่าองค์กรด้านการดูแลสุขภาพสูญเสียเงินมากถึง USD$900,000 ต่อวันจากช่วงเวลาหยุดทำงานเพียงอย่างเดียว4
  • ในบรรดาองค์กรด้านการดูแลสุขภาพกว่า 99 แห่งที่ยอมจ่ายค่าไถ่และเปิดเผยค่าไถ่ที่จ่ายไปนั้น ค่ามัธยฐานอยู่ที่ USD$1.5 ล้าน และค่าเฉลี่ยอยู่ที่ USD$4.4 ล้าน5

ผลกระทบร้ายแรงต่อการดูแลผู้ป่วย

การหยุดชะงักของการดำเนินการด้านการดูแลสุขภาพที่เกิดจากการโจมตีด้วยแรนซัมแวร์อาจส่งผลกระทบอย่างรุนแรงต่อความสามารถในการรักษาผู้ป่วยอย่างมีประสิทธิภาพ ไม่เพียงแต่ในโรงพยาบาลที่ได้รับผลกระทบเท่านั้น แต่ยังรวมถึงโรงพยาบาลในพื้นที่ใกล้เคียงที่ต้องรองรับจำนวนผู้ป่วยที่ย้ายออกจากแผนกฉุกเฉินด้วย6

ลองพิจารณาผลการศึกษาล่าสุดที่แสดงให้เห็นว่าการโจมตีด้วยแรนซัมแวร์ต่อโรงพยาบาลสี่แห่ง (ถูกโจมตีสองแห่งและไม่ได้รับผลกระทบสองแห่ง) ส่งผลให้จำนวนผู้ป่วยในแผนกฉุกเฉินเพิ่มขึ้น เวลาในการรอคอยนานขึ้น และภาระของบุคลากรเพิ่มมากขึ้น โดยเฉพาะอย่างยิ่งในการดูแลรักษาที่เวลาเป็นเรื่องสำคัญ เช่น โรคหลอดเลือดสมอง ในโรงพยาบาลใกล้เคียงสองแห่งที่ไม่ได้รับผลกระทบ7
การเพิ่มขึ้นของจำนวนผู้ป่วยโรคหลอดเลือดสมอง: การโจมตีด้วยแรนซัมแวร์สร้างความตึงเครียดอย่างมากต่อระบบนิเวศการดูแลสุขภาพโดยรวม เนื่องจากโรงพยาบาลที่ไม่ได้รับผลกระทบจะต้องรับผู้ป่วยจากโรงพยาบาลที่ได้รับผลกระทบ การรักษาโรคหลอดเลือดสมองในโรงพยาบาลใกล้เคียงนั้นเพิ่มขึ้นเกือบสองเท่า จาก 59 ราย เป็น 103 ราย ในขณะที่จำนวนผู้ป่วยโรคหลอดเลือดสมองที่ได้รับการยืนยันเพิ่มขึ้น 113.6% โดยเพิ่มขึ้นจาก 22 ราย เป็น 47 ราย
การเพิ่มขึ้นของภาวะหัวใจหยุดเต้น: การโจมตีดังกล่าวส่งผลกระทบต่อระบบการดูแลสุขภาพ เนื่องจากจำนวนผู้ป่วยภาวะหัวใจหยุดเต้นในโรงพยาบาลที่ไม่ได้รับผลกระทบนั้นเพิ่มขึ้นจาก 21 ราย เป็น 38 ราย หรือเพิ่มขึ้นถึง 81% ซึ่งสะท้อนให้เห็นถึงผลกระทบแบบลูกโซ่จากการโจมตีสถานพยาบาลแห่งหนึ่ง ซึ่งทำให้โรงพยาบาลใกล้เคียงต้องรับมือเคสวิกฤตเพิ่มมากขึ้น
การรอดชีวิตของผู้ป่วยที่มีผลลัพธ์ทางระบบประสาทที่ดีลดลง: อัตราการรอดชีวิตของผู้ป่วยภาวะหัวใจหยุดเต้นนอกโรงพยาบาลที่มีผลลัพธ์ทางระบบประสาทที่ดีนั้นลดลงอย่างมากสำหรับโรงพยาบาลที่ไม่ได้รับผลกระทบในระหว่างการโจมตี โดยลดลงจาก 40% ก่อนการโจมตีเหลือเพียง 4.5% ในช่วงการโจมตี
รถพยาบาลเพิ่มขึ้น: บริการแพทย์ฉุกเฉิน (EMS) เดินทางมาถึงโรงพยาบาลที่ “ไม่ได้รับผลกระทบ” เพิ่มขึ้น 35.2% ในระหว่างช่วงการโจมตี ซึ่งบ่งชี้ว่าการสัญจรของรถพยาบาลต้องเปลี่ยนเส้นทางไปอย่างมาก เนื่องจากเกิดการหยุดชะงักในโรงพยาบาลที่ได้รับผลกระทบอันเนื่องมาจากแรนซัมแวร์
จำนวนผู้ป่วยพุ่งสูง: เนื่องจากการโจมตีดังกล่าวส่งผลกระทบต่อโรงพยาบาลในพื้นที่ถึงสี่แห่ง (ถูกโจมตีสองแห่งและไม่ได้รับผลกระทบสองแห่ง) แผนกฉุกเฉินของโรงพยาบาลที่ไม่ได้รับผลกระทบจึงต้องรับผู้ป่วยที่หลั่งไหลเข้ามาจำนวนมาก การสำรวจสำมะโนประชากรรายวันในโรงพยาบาลที่ไม่ได้รับผลกระทบเหล่านี้เพิ่มขึ้นถึง 15.1% ในระหว่างช่วงการโจมตี เมื่อเปรียบเทียบกับช่วงก่อนการโจมตี
การหยุดชะงักในการดูแลอื่นๆ: ในระหว่างการโจมตี โรงพยาบาลที่ไม่ได้รับผลกระทบมีจำนวนผู้ป่วยที่ออกไปโดยไม่ได้รับการตรวจเพิ่มขึ้นอย่างเห็นได้ชัด รวมถึงระยะเวลารอในห้องรอและระยะเวลาพักรักษาตัวโดยรวมของผู้ป่วยในด้วย ตัวอย่างเช่น ค่ามัธยฐานของระยะเวลารอในห้องรอนั้นเพิ่มขึ้นจาก 21 นาทีในช่วงก่อนการโจมตีเป็น 31 นาทีในช่วงการโจมตี

กรณีศึกษาแรนซัมแวร์

การโจมตีด้วยแรนซัมแวร์ในหน่วยงานดูแลสุขภาพอาจส่งผลร้ายแรง ไม่เพียงแค่ต่อองค์กรที่ตกเป็นเป้าหมายเท่านั้น แต่ยังรวมถึงการดูแลผู้ป่วยและเสถียรภาพในการดำเนินงานอีกด้วย กรณีศึกษาต่อไปนี้แสดงให้เห็นถึงผลกระทบในวงกว้างของแรนซัมแวร์ต่อองค์กรด้านการดูแลสุขภาพประเภทต่างๆ ตั้งแต่ระบบโรงพยาบาลขนาดใหญ่ไปจนถึงผู้ให้บริการในชนบทขนาดเล็ก โดยเน้นให้เห็นถึงวิธีต่างๆ ที่ผู้โจมตีใช้แทรกซึมเครือข่ายและการหยุดชะงักบริการด้านการดูแลสุขภาพสำคัญที่เกิดขึ้นตามมา
  • ผู้โจมตีใช้ข้อมูลประจำตัวที่มีช่องโหว่เพื่อเข้าถึงเครือข่ายผ่านเกตเวย์การเข้าถึงระยะไกลที่มีช่องโหว่ซึ่งไม่มีการรับรองความถูกต้องโดยใช้หลายปัจจัย โดยจะเข้ารหัสโครงสร้างพื้นฐานสำคัญและขโมยข้อมูลละเอียดอ่อนในรูปแบบการรีดค่าไถสองชั้น โดยขู่ว่าจะปล่อยข้อมูลเหล่านั้นออกไปเว้นแต่จะจ่ายค่าไถ่

    ผลกระทบ:     การโจมตีดังกล่าวทำให้เกิดการหยุดชะงัก ซึ่งส่งผลให้ผู้ให้บริการด้านการดูแลสุขภาพและร้านขายยาถึง 80% ไม่สามารถตรวจสอบประกันภัยหรือดำเนินการเคลมประกันได้ 
  • ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ดั้งเดิมที่ยังไม่ได้รับการแก้ไขของโรงพยาบาล โดยโจมตีระบบการจัดตารางเวลาและระเบียนการแพทย์ของผู้ป่วย และใช้กลวิธีการรีดค่าไถสองชั้น ซึ่งขโมยข้อมูลละเอียดอ่อนและขู่ว่าจะปล่อยข้อมูลเหล่านั้นออกไปเว้นแต่จะจ่ายค่าไถ่

    ผลกระทบ: การโจมตีดังกล่าวขัดขวางการดำเนินงานมากมาย ส่งผลให้การนัดหมายถูกยกเลิก การผ่าตัดล่าช้า และต้องดำเนินกระบวนการด้วยตนเอง ส่งผลให้เจ้าหน้าที่มีภาระงานมากขึ้นและการดูแลก็ล่าช้า 
  • ผู้โจมตีใช้อีเมลฟิชชิ่งเพื่อเข้าถึงเครือข่ายโรงพยาบาล และใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไข เพื่อปรับใช้แรนซัมแวร์โดยเข้ารหัสระบบ EHR และการดูแลผู้ป่วย ในกลวิธีการรีดไถสองชั้น ผู้โจมตีขโมยข้อมูลละเอียดอ่อนของผู้ป่วยและข้อมูลทางการเงิน พร้อมขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ 

    ผลกระทบ:     การโจมตีดังกล่าวทำให้โรงพยาบาล 4 แห่งและคลินิกมากกว่า 30 แห่งต้องหยุดชะงัก ส่งผลให้การรักษาล่าช้าและผู้ป่วยฉุกเฉินต้องย้ายโรงพยาบาล และยังกังวลเรื่องการเปิดเผยข้อมูลด้วย 
  • ในเดือนกุมภาพันธ์ 2021 การโจมตีด้วยแรนซัมแวร์ทำให้ระบบคอมพิวเตอร์ของโรงพยาบาลในชนบทที่มีเตียง 44 เตียงทำงานผิดปกติ ส่งผลให้ต้องดำเนินกระบวนการด้วยตนเองเป็นเวลาสามเดือน และทำให้การเรียกร้องค่าสินไหมทดแทนจากบริษัทประกันภัยล่าช้าอย่างมาก

    ผลกระทบ:     สภาวะไร้ความสามารถของโรงพยาบาลในการเรียกเก็บเงินตรงเวลาก่อให้เกิดความเดือดร้อนทางการเงิน ส่งผลให้ชุมชนชนบทในพื้นที่ไม่มีบริการดูแลสุขภาพที่สำคัญ 

ภาคส่วนการดูแลสุขภาพของอเมริกาตกเป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงิน เนื่องจากมีพื้นหน้าของการโจมตีที่กว้างขว้าง ระบบดั้งเดิม และโปรโตคอลความปลอดภัยที่ไม่สอดคล้องกัน การพึ่งพาเทคโนโลยีดิจิทัลของการดูแลสุขภาพ ข้อมูลที่ละเอียดอ่อน และข้อจำกัดด้านทรัพยากรที่องค์กรต่างๆ เผชิญ ซึ่งมักเกิดจากอัตรากำไรที่น้อยนิด อาจจำกัดความสามารถในการลงทุนอย่างเต็มที่ในด้านการรักษาความปลอดภัยทางไซเบอร์ ส่งผลให้องค์กรเหล่านี้เสี่ยงต่ออันตรายเป็นพิเศษ นอกจากนี้ องค์กรด้านการดูแลสุขภาพยังให้ความสำคัญกับการดูแลผู้ป่วยโดยไม่คำนึงถึงต้นทุน ซึ่งอาจนำไปสู่การยอมจ่ายค่าไถ่เพื่อหลีกเลี่ยงการหยุดชะงัก

ชื่อเสียงในการจ่ายค่าไถ่

เหตุผลส่วนหนึ่งที่แรนซัมแวร์กลายมาเป็นปัญหาที่เด่นชัดสำหรับหน่วยงานการดูแลสุขภาพก็คือประวัติการจ่ายค่าไถ่ของภาคส่วนนี้ องค์กรด้านสุขภาพให้ความสำคัญกับการดูแลผู้ป่วยเป็นอันดับแรก และหากต้องจ่ายเงินหลายล้านดอลลาร์เพื่อหลีกเลี่ยงการหยุดชะงัก พวกเขาก็มักยินดีที่จะทำเช่นนั้น

อันที่จริง ตามรายงานล่าสุดจากการสำรวจองค์กรด้านการดูแลสุขภาพ 402 แห่ง พบว่า 67% ประสบปัญหาการโจมตีด้วยแรนซัมแวร์ในปีที่ผ่านมา ในบรรดาองค์กรเหล่านี้ กว่า 53% ยอมจ่ายค่าไถ่ในปี 2024 ซึ่งเพิ่มขึ้นจาก 42% ในปี 2023 รายงานดังกล่าวยังเน้นย้ำถึงผลกระทบทางการเงิน โดยค่าไถ่ที่ยอมจ่ายนั้นโดยเฉลี่ยอยู่ที่ USD$4.4 ล้าน12

ทรัพยากรและการลงทุนด้านการรักษาความปลอดภัยที่จำกัด

ความท้าทายที่สำคัญอีกประการหนึ่งคืองบประมาณและทรัพยากรที่มีจำกัดสำหรับการรักษาความปลอดภัยทางไซเบอร์ในภาคส่วนการดูแลสุขภาพ จากรายงาน Healthcare Cybersecurity Needs a Check-Up (การรักษาความปลอดภัยทางไซเบอร์ของการดูแลสุขภาพต้องได้รับการตรวจสอบ) ฉบับล่าสุด13 จาก CSC 2.0 (กลุ่มที่ดำเนินงานต่อจาก Cyberspace Solarium Commission ตามคำสั่งของรัฐสภา) "เนื่องจากงบประมาณมีจำกัดและผู้ให้บริการต้องให้ความสำคัญกับการใช้จ่ายกับบริการผู้ป่วยหลักเป็นหลัก จึงมักมีการระดมทุนด้านการรักษาความปลอดภัยทางไซเบอร์ไม่เพียงพอ ส่งผลให้องค์กรด้านการดูแลสุขภาพเสี่ยงต่อการถูกโจมตีมากขึ้น"

และแม้ปัญหาจะร้ายแรง แต่ผู้ให้บริการด้านการดูแลสุขภาพกลับไม่ได้ลงทุนด้านการรักษาความปลอดภัยทางไซเบอร์มากเพียงพอ เนื่องจากปัจจัยที่ซับซ้อนมากมาย รวมทั้งรูปแบบ การชำระเงินทางอ้อม ซึ่งมักนำไปสู่การให้ความสำคัญกับความต้องการทางคลินิกอันเร่งด่วนมากกว่าการลงทุนที่มองไม่เห็นอย่างการรักษาความปลอดภัยทางไซเบอร์ ส่งผลให้ภาคส่วนการดูแลสุขภาพลงทุนด้านการรักษาความปลอดภัยทางไซเบอร์ไม่เพียงพออย่างมากในช่วงสองทศวรรษที่ผ่านมา10

นอกจากนี้ Health Insurance Portability and Accountability Act (HIPAA) ยังนำไปสู่การให้ความสำคัญกับการลงทุนในการรักษาความลับของข้อมูล โดยมักปล่อยให้ความสมบูรณ์และความพร้อมใช้งานของข้อมูลเป็นเรื่องรองลงมา แนวทางนี้อาจส่งผลให้มุ่งเน้นไปที่ความสามารถในการรับมือกับปัญหาขององค์กรลดลง โดยเฉพาะอย่างยิ่งเป็นการลดระยะเวลาสูงสุดที่จะกู้ข้อมูลได้หลังจากเกิดเหตุการณ์ (RTO) และระยะเวลาสูงสุดที่ยอมให้ข้อมูลเสียหาย (RPO)

ช่องโหว่ของระบบดั้งเดิมและโครงสร้างพื้นฐาน

ผลลัพธ์ประการหนึ่งของการลงทุนในด้านการรักษาความปลอดภัยทางไซเบอร์ไม่เพียงพอคือการพึ่งพาระบบดั้งเดิมล้าสมัยและอัปเดตยาก ซึ่งตกเป็นเป้าหมายหลักในการนำไปใช้ประโยชน์ นอกจากนี้ การใช้เทคโนโลยีที่แตกต่างกันยังทำให้เกิดโครงสร้างพื้นฐานที่ไม่สมดุลและมีช่องโหว่ด้านการรักษาความปลอดภัย ซึ่งส่งผลให้เสี่ยงต่อการถูกโจมตีมากขึ้น

โครงสร้างพื้นฐานที่เปราะบางนี้มีความซับซ้อนมากยิ่งขึ้น เนื่องจากแนวโน้มการรวมกลุ่มของอุตสาหกรรมการดูแลสุขภาพในปัจจุบัน การควบรวมกิจการโรงพยาบาลที่กำลังเพิ่มมากขึ้น (เพิ่มขึ้น 23% ในปี 2022 และอยู่ในระดับสูงสุดนับตั้งแต่ปี 202014) ก่อให้เกิดองค์กรที่มีโครงสร้างพื้นฐานอันซับซ้อนกระจายอยู่ในหลายๆ แห่ง เมื่อไม่มีการลงทุนด้านการรักษาความปลอดภัยทางไซเบอร์อย่างเพียงพอ โครงสร้างพื้นฐานเหล่านี้จึงเสี่ยงต่อการถูกโจมตีอย่างมาก

การขยายพื้นหน้าของการโจมตี

แม้ว่าเครือข่ายการดูแลแบบบูรณาการทางคลินิกของอุปกรณ์และเทคโนโลยีทางการแพทย์ที่เชื่อมต่อถึงกันจะช่วยปรับปรุงผลลัพธ์ของผู้ป่วยและช่วยชีวิตได้ แต่ก็เป็นการขยายพื้นหน้าของการโจมตีทางดิจิทัลด้วยเช่นกัน ซึ่งผู้ดำเนินการภัยคุกคามต่างใช้ประโยชน์จากจุดนี้เพิ่มมากขึ้นเรื่อยๆ

โรงพยาบาลต่างๆ หันมาใช้ระบบออนไลน์มากขึ้นกว่าที่เคย โดยเชื่อมต่ออุปกรณ์การแพทย์ที่สำคัญ เช่น เครื่องสแกน CT ระบบติดตามตรวจสอบผู้ป่วย และปั๊มฉีดยา เข้ากับเครือข่าย แต่ไม่มีการมองเห็นในระดับที่จำเป็นในการระบุและลดช่องโหว่ที่อาจส่งผลกระทบอย่างรุนแรงต่อการดูแลผู้ป่วย

แพทย์ Christian Dameff และ Jeff Tully ผู้อำนวยการร่วมและผู้ก่อตั้งร่วมของ University of California San Diego Center for Healthcare Cybersecurity ระบุว่าโดยเฉลี่ยแล้ว จุดสิ้นสุดของโรงพยาบาลกว่า 70% นั้นไม่ใช่คอมพิวเตอร์ แต่เป็นอุปกรณ์   
ห้องพยาบาลพร้อมอุปกรณ์ทางการแพทย์ ลิ้นชักสีขาว และม่านสีฟ้า

องค์กรด้านสุขภาพยังส่งข้อมูลจำนวนมหาศาลอีกด้วย จากข้อมูลของสำนักงานผู้ประสานงานระดับประเทศสำหรับเทคโนโลยีสารสนเทศด้านสุขภาพ พบว่าโรงพยาบาลมากกว่า 88% รายงานว่าได้ส่งและรับข้อมูลสุขภาพของผู้ป่วยทางอิเล็กทรอนิกส์ และมากกว่า 60% รายงานว่าได้ผสานรวมข้อมูลดังกล่าวเข้ากับระเบียนสุขภาพอิเล็กทรอนิกส์ (EHR) ของโรงพยาบาลด้วย15

ผู้ให้บริการขนาดเล็กในชนบทเผชิญกับอุปสรรคเฉพาะตัว

โรงพยาบาลที่เข้าถึงได้ยากในพื้นที่ชนบทนั้นมีความเสี่ยงต่อเหตุการณ์ที่เกิดจากแรนซัมแวร์เป็นพิเศษ เนื่องจากมักมีวิธีป้องกันและแก้ไขความเสี่ยงด้านการรักษาความปลอดภัยที่จำกัด ซึ่งอาจสร้างความเสียหายร้ายแรงต่อชุมชนได้ เพราะโรงพยาบาลเหล่านี้มักเป็นทางเลือกด้านการดูแลสุขภาพเพียงแห่งเดียวในชุมชนที่อยู่ห่างไกล

ตามที่ Dameff และ Tully ระบุไว้ โรงพยาบาลในชนบทมักจะขาดโครงสร้างพื้นฐานหรือความเชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ในระดับเดียวกับโรงพยาบาลในเมืองขนาดใหญ่ และยังสังเกตเห็นว่าแผนความต่อเนื่องทางธุรกิจของโรงพยาบาลหลายๆ แห่งอาจล้าสมัยแล้วหรือไม่เพียงพอในการจัดการกับภัยคุกคามทางไซเบอร์สมัยใหม่ เช่น แรนซัมแวร์

โรงพยาบาลขนาดเล็กหรือโรงพยาบาลในชนบทหลายแห่งต่างเผชิญกับข้อจำกัดทางการเงินที่สำคัญ และดำเนินงานโดยมีอัตรากำไรที่น้อยมาก ความเป็นจริงทางการเงินนี้ทำให้หลายๆ โรงพยาบาลพบกับอุปสรรคในการลงทุนด้านมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง บ่อยครั้งที่โรงพยาบาลเหล่านี้ต้องพึ่งพาผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศทั่วไปเพียงคนใดคนหนึ่ง ซึ่งเป็นผู้ที่มีความชำนาญในการจัดการปัญหาทางเทคนิคในชีวิตประจำวัน แต่ขาดความรู้เฉพาะทางในด้านการรักษาความปลอดภัยทางไซเบอร์

รายงานฉบับหนึ่งจากกระทรวงสาธารณสุขและบริการมนุษย์ ฝ่ายงานด้านการรักษาความปลอดภัยทางไซเบอร์ของอุตสาหกรรมการดูแลสุขภาพ ซึ่งจัดทำขึ้นเป็นส่วนหนึ่งของกฎหมายว่าด้วยการรักษาความปลอดภัยทางไซเบอร์ ฉบับปี 2015 เน้นย้ำให้เห็นว่าโรงพยาบาลที่เข้าถึงได้ยากในพื้นที่ชนบทจำนวนมากนั้นขาดพนักงานเต็มเวลาที่ดูแลด้านการรักษาความปลอดภัยทางไซเบอร์เป็นหลัก ซึ่งเน้นย้ำถึงอุปสรรคด้านทรัพยากรในวงกว้างที่ผู้ให้บริการด้านการดูแลสุขภาพรายย่อยต้องเผชิญ

“ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศทั่วไปเหล่านี้ ซึ่งมักจะเป็นเพียงผู้ที่มีความชำนาญด้านการจัดการเครือข่ายและคอมพิวเตอร์ มักจะคุ้นเคยกับการจัดการกับปัญหา เช่น 'ฉันพิมพ์งานไม่ได้ ฉันเข้าสู่ระบบไม่ได้ รหัสผ่านของฉันคืออะไร'” Dameff อธิบาย “แต่พวกเขาไม่ใช่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ พวกเขาไม่มีพนักงาน ไม่มีงบประมาณ และไม่รู้ด้วยซ้ำว่าควรจะเริ่มต้นตรงไหน”

กระบวนการโจมตีของอาชญากรไซเบอร์โดยทั่วไปจะใช้แนวทางสองขั้นตอน ได้แก่ การเข้าถึงเครือข่ายเบื้องต้น ซึ่งมักจะทำผ่านการฟิชชิ่งหรือการใช้ช่องโหว่ ตามด้วยการใช้แรนซัมแวร์เพื่อเข้ารหัสระบบและข้อมูลสำคัญ วิวัฒนาการของกลยุทธ์เหล่านี้ รวมถึงการใช้เครื่องมือที่ถูกกฎหมายและการแพร่กระจายของ RaaS ทำให้การโจมตีสามารถเข้าถึงและเกิดขึ้นบ่อยครั้งมากขึ้น

ระยะเริ่มต้นของการโจมตีด้วยแรนซัมแวร์: การเข้าถึงเครือข่ายการดูแลสุขภาพ

Jack Mott ซึ่งเคยเป็นผู้นำทีมที่ดูแลด้านการวิเคราะห์ภัยคุกคามทางอีเมลขององค์กรและวิศวกรรมการตรวจจับที่ Microsoft ระบุว่า "อีเมลยังคงเป็นหนึ่งในช่องทางที่ใหญ่ที่สุดในการส่งมัลแวร์และการโจมตีฟิชชิ่งเพื่อโจมตีด้วยแรนซัมแวร์”16

จากการวิเคราะห์ของ Microsoft Threat Intelligence เกี่ยวกับระบบโรงพยาบาล 13 แห่งที่มีการดำเนินการหลายอย่าง รวมถึงโรงพยาบาลในชนบทด้วย พบว่ากิจกรรมอันตรายทางไซเบอร์ที่ตรวจพบกว่า 93% นั้นมีความเกี่ยวข้องกับแคมเปญฟิชชิ่งและแรนซัมแวร์ โดยกิจกรรมส่วนใหญ่เกิดจากภัยคุกคามทางอีเมล17
"อีเมลยังคงเป็นหนึ่งในช่องทางที่ใหญ่ที่สุดในการส่งมัลแวร์และการโจมตีฟิชชิ่งเพื่อโจมตีด้วยแรนซัมแวร์"
Jack Mott 
Microsoft Threat Intelligence

แคมเปญที่มุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพมักใช้สิ่งล่อใจที่เฉพาะเจาะจงมาก ตัวอย่างเช่น Mott เน้นย้ำว่าผู้ดำเนินการภัยคุกคามสร้างอีเมลที่มีศัพท์เฉพาะด้านการดูแลสุขภาพ เช่น การอ้างอิงถึงรายงานการชันสูตร เพื่อเพิ่มความน่าเชื่อถือและหลอกลวงผู้เชี่ยวชาญด้านการดูแลสุขภาพได้สำเร็จ 

กลวิธีการโจมตีแบบวิศวกรรมสังคมเช่นนี้ โดยเฉพาะในสภาพแวดล้อมที่มีแรงกดดันสูง เช่น การดูแลสุขภาพ ถือเป็นการฉกฉวยโอกาสจากความเร่งด่วนที่บุคลากรทางการแพทย์มักรู้สึก ซึ่งนำไปสู่การละเมิดระบบรักษาความปลอดภัย 

และ Mott ยังสังเกตเห็นว่าผู้โจมตีมีวิธีการที่ซับซ้อนมากขึ้น โดยมักใช้"ชื่อจริง บริการที่ถูกกฎหมาย และเครื่องมือที่ใช้ทั่วไปในแผนกเทคโนโลยีสารสนเทศ (เช่น เครื่องมือการจัดการระยะไกล)" เพื่อหลีกเลี่ยงการตรวจพบ กลวิธีเหล่านี้ทำให้ระบบรักษาความปลอดภัยต้องพบกับความท้าทายในการแยกแยะระหว่างกิจกรรมที่เป็นอันตรายกับกิจกรรมที่ถูกต้องตามกฎหมาย 

ข้อมูลจาก Microsoft Threat Intelligence ยังแสดงให้เห็นด้วยว่าผู้โจมตีมักจะใช้ประโยชน์จากช่องโหว่ที่ทราบแล้วในซอฟต์แวร์หรือระบบขององค์กรที่เคยระบุไว้ในอดีต Common Vulnerabilities and Exposures (CVE) เหล่านี้จะมีการบันทึกไว้เป็นอย่างดี พร้อมทั้งมีแพตช์หรือวิธีแก้ไข และผู้โจมตีมักโจมตีช่องโหว่เก่าเหล่านี้ เนื่องจากพวกเขารู้ดีว่าองค์กรหลายแห่งยังไม่ได้จัดการกับช่องโหว่เหล่านี้18 

หลังจากเข้าถึงเบื้องต้นได้แล้ว ผู้โจมตีมักจะทำการลาดตระเวนเครือข่าย ซึ่งสามารถระบุได้จากตัวบ่งชี้ต่างๆ เช่น กิจกรรมการสแกนที่ผิดปกติ การดำเนินการเหล่านี้ช่วยให้ผู้ดำเนินการภัยคุกคามสามารถสร้างแผนผังเครือข่าย ระบุระบบสำคัญ และเตรียมพร้อมสำหรับการโจมตีขั้นต่อไปอย่างการใช้แรนซัมแวร์ได้

ระยะสุดท้ายของการโจมตีด้วยแรนซัมแวร์: การใช้แรนซัมแวร์เพื่อเข้ารหัสระบบสำคัญ

เมื่อเข้าถึงเบื้องต้นได้แล้ว ซึ่งโดยทั่วไปจะเข้าถึงผ่านทางการฟิชชิ่งหรือมัลแวร์ที่ส่งมาทางอีเมล ผู้ดำเนินการภัยคุกคามจะเข้าสู่ระยะที่สอง นั่นคือการใช้แรนซัมแวร์

Jack Mott อธิบายว่าการเพิ่มขึ้นของรูปแบบ RaaS นั้นมีส่วนสำคัญที่ทำให้มีการโจมตีด้วยแรนซัมแวร์เพิ่มมากขึ้นในภาคส่วนการดูแลสุขภาพ "แพลตฟอร์ม RaaS ทำให้ทุกคนสามารถเข้าถึงเครื่องมือแรนซัมแวร์ที่ซับซ้อนได้ ช่วยให้ผู้ที่มีทักษะทางเทคนิคเพียงเล็กน้อยก็สามารถเริ่มการโจมตีที่มีประสิทธิภาพสูงได้" Mott กล่าว โดยรูปแบบนี้จะไปลดสิ่งกีดขวางในการเข้าถึงของผู้โจมตี ทำให้การโจมตีด้วยแรนซัมแวร์สามารถเข้าถึงได้และมีประสิทธิภาพมากขึ้น
"แพลตฟอร์ม RaaS ทำให้ทุกคนสามารถเข้าถึงเครื่องมือแรนซัมแวร์ที่ซับซ้อนได้ ช่วยให้ผู้ที่มีทักษะทางเทคนิคเพียงเล็กน้อยก็สามารถเริ่มการโจมตีที่มีประสิทธิภาพสูงได้” 
Jack Mott 
Microsoft Threat Intelligence

Mott อธิบายเพิ่มเติมเกี่ยวกับการทำงานของ RaaS ว่า "แพลตฟอร์มเหล่านี้มักมีชุดเครื่องมือที่ครอบคลุม เช่น ซอฟต์แวร์การเข้ารหัส การประมวลผลการชำระเงิน และแม้แต่บริการลูกค้าสำหรับการเจรจาชำระค่าไถ่ แนวทางแบบครบวงจรนี้ทำให้กลุ่มผู้ดำเนินการภัยคุกคามสามารถดำเนินการโจมตีด้วยแรนซัมแวร์ได้มากขึ้น ส่งผลให้จำนวนและความรุนแรงของการโจมตีเพิ่มสูงขึ้น"

นอกจากนี้ Mott ยังเน้นย้ำถึงลักษณะการประสานงานของการโจมตีเหล่านี้ว่า "เมื่อมีการใช้แรนซัมแวร์ ผู้โจมตีมักจะดำเนินการอย่างรวดเร็วเพื่อเข้ารหัสระบบและข้อมูลสำคัญต่างๆ โดยมักจะใช้เวลาภายในไม่กี่ชั่วโมง โดยจะมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ เช่น ระเบียนผู้ป่วย ระบบการวินิจฉัย และแม้แต่การเรียกเก็บเงิน เพื่อเพิ่มผลกระทบและแรงกดดันให้องค์กรด้านการดูแลสุขภาพต้องจ่ายค่าไถ่ให้ได้"

การโจมตีด้วยแรนซัมแวร์ในการดูแลสุขภาพ: โปรไฟล์ของกลุ่มผู้ดำเนินการภัยคุกคามหลัก

การโจมตีด้วยแรนซัมแวร์ในภาคการดูแลสุขภาพมักดำเนินการโดยกลุ่มผู้ดำเนินการภัยคุกคามที่มีการจัดระเบียบเป็นอย่างดีและมีความเชี่ยวชาญเฉพาะทาง กลุ่มเหล่านี้ ซึ่งรวมทั้งอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงินและผู้ดำเนินการภัยคุกคามที่กำกับโดยรัฐซึ่งมีความซับซ้อน จะใช้เครื่องมือและกลยุทธ์ขั้นสูงในการแทรกซึมเข้าสู่เครือข่าย เข้ารหัสข้อมูล และเรียกค่าไถ่จากองค์กรต่างๆ

ในบรรดาผู้ดำเนินการภัยคุกคามเหล่านี้ มีการรายงานว่าเหล่าแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลในประเทศเผด็จการได้ใช้แรนซัมแวร์และยังร่วมมือกับกลุ่มแรนซัมแวร์เพื่อจุดประสงค์ในการจารกรรมอีกด้วย ตัวอย่างเช่น ผู้ดำเนินการภัยคุกคามจากรัฐบาลจีนถูกสงสัยว่าใช้แรนซัมแวร์เป็นที่กำบังในการก่อกิจกรรมจารกรรมเพิ่มมากขึ้น19

ดูเหมือนว่าผู้ดำเนินการภัยคุกคามชาวอิหร่านจะเป็นกลุ่มที่เคลื่อนไหวโจมตีองค์กรด้านการดูแลสุขภาพมากที่สุดในปี 202420อันที่จริง ในเดือนสิงหาคม 2024 รัฐบาลสหรัฐได้ออกคำเตือนถึงภาคส่วนการดูแลสุขภาพเกี่ยวกับผู้ดำเนินการภัยคุกคามที่ตั้งถิ่นฐานอยู่ในอิหร่าน ซึ่งรู้จักกันในชื่อ Lemon Sandstorm กลุ่มนี้ “ใช้ประโยชน์จากการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาตในองค์กรของสหรัฐ รวมถึงองค์กรด้านการดูแลสุขภาพ เพื่ออำนวยความสะดวก ดำเนินการ และแสวงหาผลกำไรจากการโจมตีด้วยแรนซัมแวร์ในอนาคตโดยกลุ่มแรนซัมแวร์ที่ดูเหมือนจะมีความเกี่ยวข้องกับรัสเซีย”21

โปรไฟล์ต่อไปนี้ให้ข้อมูลเชิงลึกเกี่ยวกับกลุ่มแรนซัมแวร์ที่มีแรงจูงใจทางการเงินที่ฉาวโฉ่ที่สุดบางกลุ่มซึ่งมุ่งเป้าไปที่การดูแลสุขภาพ โดยให้รายละเอียดเกี่ยวกับวิธีการ แรงจูงใจ และผลกระทบจากกิจกรรมของกลุ่มเหล่านี้ต่ออุตสาหกรรม
  • Lace Tempest เป็นกลุ่มแรนซัมแวร์ที่แพร่ระบาดอย่างหนักซึ่งมีเป้าหมายเป็นวงกว้างในแวดวงการดูแลสุขภาพ พวกเขาใช้รูปแบบ RaaS ซึ่งช่วยให้เครือข่ายของตนใช้งานแรนซัมแวร์ได้อย่างง่ายดาย กลุ่มนี้เชื่อมโยงกับการโจมตีที่มีผลกระทบอย่างสูงต่อระบบโรงพยาบาล โดยเข้ารหัสข้อมูลผู้ป่วยที่สำคัญและเรียกร้องค่าไถ่ พวกเขาเป็นที่รู้จักกันดีในเรื่องการรีดไถสองชั้น ซึ่งไม่เพียงแค่เข้ารหัสข้อมูล แต่ยังขโมยข้อมูลออกไปด้วย โดยขู่ว่าจะเปิดเผยข้อมูลที่ละเอียดอ่อนหากไม่จ่ายค่าไถ่
  • Sangria Tempest มีชื่อเสียงอันฉาวโฉ่ในด้านการโจมตีด้วยแรนซัมแวร์ขั้นสูงต่อองค์กรด้านการดูแลสุขภาพ พกวเขาใช้การเข้ารหัสที่ซับซ้อน ซึ่งทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลยหากไม่จ่ายค่าไถ่ และยังใช้การรีดไถสองชั้น โดยขโมยข้อมูลของผู้ป่วยไปและขู่ว่าจะเปิดเผยข้อมูลเหล่านั้น การโจมตีดังกล่าวทำให้เกิดการหยุดชะงักในการดำเนินงานเป็นวงกว้าง ส่งผลให้ระบบการดูแลสุขภาพต้องจัดสรรทรัพยากร ซึ่งส่งผลกระทบด้านลบต่อการดูแลผู้ป่วย
  • Cadenza Tempest เป็นที่รู้จักกันดีในเรื่องการโจมตีโดยปฏิเสธการให้บริการแบบกระจาย (DDoS) ซึ่งได้เปลี่ยนมาเป็นการปฏิบัติการแรนซัมแวร์ในด้านการดูแลสุขภาพเพิ่มมากขึ้น พวกเขาถูกระบุว่าเป็นกลุ่มแฮกเกอร์ที่นิยมฝ่ายรัสเซีย โดยมุ่งเป้าไปที่ระบบการดูแลสุขภาพในภูมิภาคที่ไม่เป็นมิตรกับผลประโยชน์ของรัสเซีย การโจมตีของพวกเขาจะเข้าครอบงำระบบโรงพยาบาล ขัดขวางการทำงานที่สำคัญ และสร้างความวุ่นวาย โดยเฉพาะเมื่อดำเนินการร่วมกับแคมเปญแรนซัมแวร์
  • กลุ่ม Vanilla Tempest ที่มีแรงจูงใจทางการเงินซึ่งเริ่มดำเนินการมาตั้งแต่เดือนกรกฎาคม 2022 เริ่มใช้แรนซัมแวร์ INC ที่ได้รับมาจากผู้ให้บริการ RaaS เพื่อโจมตีระบบการดูแลสุขภาพในสหรัฐ พวกเขาใช้ประโยชน์จากช่องโหว่ ใช้สคริปต์ที่กำหนดเอง และใช้ประโยชน์จากเครื่องมือ Windows มาตรฐานต่างๆ เพื่อขโมยข้อมูลประจำตัว หาช่องโหว่รอบด้าน และใช้แรนซัมแวร์ กลุ่มนี้ยังใช้วิธีการรีดค่าไถสองชั้น โดยเรียกค่าไถ่เพื่อปลดล็อกระบบและป้องกันไม่ให้ปล่อยข้อมูลที่ถูกขโมยออกไป

เมื่อเผชิญกับการโจมตีด้วยแรนซัมแวร์ที่ซับซ้อนมากขึ้นเรื่อยๆ องค์กรด้านการดูแลสุขภาพต้องปรับใช้แนวทางหลายแง่มุมในการรักษาความปลอดภัยทางไซเบอร์ โดยจะต้องเตรียมพร้อมที่จะรับมือ ตอบสนอง และฟื้นตัวจากเหตุการณ์ทางไซเบอร์ พร้อมทั้งรักษาความต่อเนื่องในการดูแลผู้ป่วยด้วย

คำแนะนำต่อไปนี้ถือเป็นเฟรมเวิร์กที่ครอบคลุมเพื่อช่วยเพิ่มความสามารถในการรับมือกับปัญหา รับรองการฟื้นตัวอย่างรวดเร็ว ส่งเสริมให้พนักงานให้ความสำคัญกับการรักษาความปลอดภัยเป็นอันดับแรก และส่งเสริมการทำงานร่วมกันในภาคส่วนการดูแลสุขภาพ

การกำกับดูแล: การรับรองความพร้อมและความสามารถในการรับมือกับปัญหา

อาคารที่มีหน้าต่างมากมายภายใต้ท้องฟ้าสีครามและหมู่เมฆ

การกำกับดูแลที่มีประสิทธิภาพในด้านการรักษาความปลอดภัยทางไซเบอร์ของการดูแลสุขภาพถือเป็นสิ่งสำคัญสำหรับการเตรียมพร้อมและการตอบสนองต่อการโจมตีด้วยแรนซัมแวร์ Dameff และ Tully จาก UC San Diego Center for Healthcare Cybersecurity แนะนำให้จัดตั้งเฟรมเวิร์กการกำกับดูแลที่มีประสิทธิภาพโดยให้มีบทบาทที่ชัดเจน การฝึกอบรมเป็นประจำ และความร่วมมือจากหลายสาขาวิชา ซึ่งช่วยให้องค์กรด้านการดูแลสุขภาพเพิ่มความสามารถในการรับมือกับการโจมตีด้วยแรนซัมแวร์ และรับรองความต่อเนื่องของการดูแลผู้ป่วย แม้จะต้องเผชิญกับการหยุดชะงักครั้งใหญ่ก็ตาม

ประเด็นสำคัญประการหนึ่งของเฟรมเวิร์กนี้เกี่ยวข้องกับการทลายกำแพงระหว่างเจ้าหน้าที่การแพทย์ ทีมรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ และผู้เชี่ยวชาญด้านการจัดการเหตุฉุกเฉิน เพื่อพัฒนาแผนการตอบสนองต่อเหตุการณ์ที่สอดประสานกัน ความร่วมมือระหว่างแผนกนี้มีความสำคัญต่อการรักษาความปลอดภัยของผู้ป่วยและคุณภาพการดูแลเมื่อระบบเทคโนโลยีถูกโจมตี

Dameff และ Tully ยังเน้นย้ำถึงความจำเป็นในการมีหน่วยงานกำกับดูแลหรือสภาเฉพาะทางที่ประชุมกันเป็นประจำเพื่อทบทวนและปรับปรุงแผนการตอบสนองต่อเหตุการณ์ ทั้งคู่แนะนำให้ส่งเสริมหน่วยงานกำกับดูแลเหล่านี้เพื่อทดสอบแผนการตอบสนองผ่านการจำลองและการฝึกซ้อมที่สมจริง เพื่อให้แน่ใจว่าเจ้าหน้าที่ทุกคน รวมถึงแพทย์อายุน้อยซึ่งอาจไม่คุ้นเคยกับระเบียนกระดาษ เตรียมพร้อมทำงานอย่างมีประสิทธิภาพโดยไม่ต้องใช้เครื่องมือดิจิทัล

นอกจากนี้ Dameff และ Tully ยังเน้นย้ำถึงความสำคัญของความร่วมมือจากภายนอกด้วย ทั้งสองสนับสนุนเฟรมเวิร์กในระดับภูมิภาคและระดับประเทศที่ช่วยให้โรงพยาบาลสามารถให้การสนับสนุน ซึ่งกันและกันในระหว่างเหตุการณ์ขนาดใหญ่ สะท้อนถึงความจำเป็นในการมี"คลังเทคโนโลยีเชิงยุทธศาสตร์ระดับประเทศ"ที่สามารถเปลี่ยนทดแทนระบบที่มีปัญหาชั่วคราวได้

ความสามารถในการรับมือกับปัญหาและการตอบสนองเชิงกลยุทธ์

ความสามารถในการรับมือกับปัญหาในการรักษาความปลอดภัยทางไซเบอร์ของการดูแลสุขภาพไม่ใช่แค่การปกป้องข้อมูลเท่านั้น แต่ยังรวมถึงการตรวจสอบให้แน่ใจว่าทั้งระบบสามารถรับมือกับการโจมตีและฟื้นตัวจากการโจมตีได้ ซึ่งจำเป็นต้องมีแนวทางที่ครอบคลุมเพื่อสร้างความสามารถในการรับมือกับปัญหา โดยไม่ได้มุ่งเน้นแค่การปกป้องข้อมูลของผู้ป่วยเท่านั้น แต่ยังรวมถึงการเสริมสร้างโครงสร้างพื้นฐานทั้งหมดที่รองรับการดำเนินงานด้านการดูแลสุขภาพด้วย โดยรวมถึงระบบทั้งหมด ไม่ว่าจะเป็นเครือข่าย ห่วงโซ่อุปทาน อุปกรณ์ทางการแพทย์ และอื่นๆ อีกมากมาย

การปรับใช้กลยุทธ์การป้องกันเชิงลึกถือเป็นสิ่งสำคัญอย่างยิ่งในการสร้างเสถียรภาพการรักษาความปลอดภัยแบบหลายชั้นที่ช่วยป้องกันการโจมตีด้วยแรนซัมแวร์ได้อย่างมีประสิทธิภาพ

การปรับใช้กลยุทธ์การป้องกันเชิงลึกถือเป็นสิ่งสำคัญอย่างยิ่งในการสร้างเสถียรภาพการรักษาความปลอดภัยแบบหลายชั้นที่ช่วยป้องกันการโจมตีด้วยแรนซัมแวร์ได้อย่างมีประสิทธิภาพ กลยุทธ์นี้เกี่ยวข้องกับการรักษาความปลอดภัยทุกระดับชั้นของโครงสร้างพื้นฐานด้านการดูแลสุขภาพ ตั้งแต่เครือข่าย จุดสิ้นสุด ไปจนถึงระบบคลาวด์ องค์กรด้านการดูแลสุขภาพสามารถลดความเสี่ยงของการโจมตีด้วยแรนซัมแวร์ที่ประสบความสำเร็จได้โดยการจัดให้มีการป้องกันหลายชั้น

ทีม Microsoft Threat Intelligence จะตรวจสอบพฤติกรรมของปรปักษ์อย่างแข็งขัน ซึ่งเป็นส่วนหนึ่งของแนวทางแบบหลายชั้นนี้สำหรับลูกค้าของ Microsoft โดยจะมีการแจ้งเตือนโดยตรงเมื่อตรวจพบกิจกรรมดังกล่าว

บริการนี้ไม่ใช่บริการที่มีค่าใช้จ่ายหรือแบ่งระดับ ธุรกิจทุกขนาดจะได้รับความสนใจเท่าเทียมกัน จุดมุ่งหมายคือเพื่อส่งสัญญาณเตือนอย่างทันท่วงทีเมื่อตรวจพบภัยคุกคามที่อาจเกิดขึ้น รวมถึงแรนซัมแวร์ด้วย และช่วยในการดำเนินขั้นตอนเพื่อปกป้ององค์กร

นอกเหนือจากการนำระดับชั้นการป้องกันเหล่านี้ไปใช้งานแล้ว การมีแผนการตอบสนองต่อเหตุการณ์และการตรวจหาที่มีประสิทธิภาพนั้นก็สำคัญเช่นกัน หากมีแผนไม่เพียงพอ องค์กรด้านการดูแลสุขภาพต้องเตรียมพร้อมที่จะดำเนินการตามแผนอย่างมีประสิทธิภาพในระหว่างการโจมตีจริง เพื่อลดความเสียหายให้น้อยที่สุดและให้แน่ใจว่าจะฟื้นตัวได้อย่างรวดเร็ว

ท้ายที่สุด การติดตามตรวจสอบอย่างต่อเนื่องและความสามารถในการตรวจหาในเวลาจริงถือเป็นส่วนประกอบสำคัญของเฟรมเวิร์กการตอบสนองต่อเหตุการณ์ที่มีประสิทธิภาพ ซึ่งช่วยให้มั่นใจได้ว่าสามารถระบุและจัดการกับภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันท่วงที

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความสามารถในการรับมือกับปัญหาทางไซเบอร์ในการดูแลสุขภาพ กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) ได้เผยแพร่เป้าหมายการดำเนินงานด้านความปลอดภัยทางไซเบอร์ (CPG) โดยเฉพาะด้านการดูแลสุขภาพโดยสมัครใจ เพื่อช่วยให้องค์กรด้านการดูแลสุขภาพจัดลำดับความสำคัญในการนำแนวปฏิบัติด้านการรักษาความปลอดภัยทางไซเบอร์ที่มีผลกระทบอย่างสูงมาใช้

โดย CPG นั้นประกอบด้วยแนวทางปฏิบัติทางการรักษาด้านความปลอดภัยทางไซเบอร์ชุดย่อยที่องค์กรด้านการดูแลสุขภาพสามารถนำไปใช้เพื่อเสริมสร้างความพร้อมในการรับมือทางไซเบอร์ ปรับปรุงความสามารถในการรับมือกับปัญหาทางไซเบอร์ และปกป้องข้อมูลและความปลอดภัยด้านสุขภาพของผู้ป่วย ซึ่งเกิดขึ้นผ่านกระบวนการความร่วมมือระหว่างภาครัฐและภาคเอกชน โดยใช้เฟรมเวิร์ก แนวทาง แนวทางปฏิบัติ และกลยุทธ์ด้านการรักษาความปลอดภัยทางไซเบอร์ของอุตสาหกรรมทั่วไป

ขั้นตอนในการฟื้นฟูการดำเนินงานอย่างรวดเร็วและเสริมสร้างความปลอดภัยหลังการโจมตี

การฟื้นตัวจากการโจมตีด้วยแรนซัมแวร์ต้องอาศัยแนวทางเชิงระบบเพื่อให้แน่ใจว่าจะกลับไปดำเนินการตามปกติได้อย่างรวดเร็ว พร้อมทั้งป้องกันไม่ให้เกิดเหตุการณ์ดังกล่าวขึ้นอีกในอนาคต ด้านล่างนี้คือขั้นตอนที่นำไปปฏิบัติจริงได้ซึ่งจะช่วยประเมินความเสียหาย ฟื้นฟูระบบที่ได้รับผลกระทบ และเสริมสร้างมาตรการรักษาความปลอดภัย หากปฏิบัติตามแนวทางเหล่านี้ องค์กรด้านการดูแลสุขภาพสามารถช่วยบรรเทาผลกระทบจากการโจมตีและเสริมสร้างการป้องกันต่อภัยคุกคามในอนาคตได้
ประเมินผลกระทบและควบคุมการโจมตี

แยกระบบที่ได้รับผลกระทบออกทันทีเพื่อป้องกันการแพร่กระจายเพิ่มเติม
ฟื้นตัวจากข้อมูลสำรองที่ยืนยันได้ว่าไม่เป็นอันตราย

ตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลที่ไม่เป็นอันตรายและได้รับการตรวจสอบก่อนการฟื้นฟูการทำงาน สำรองข้อมูลแบบออฟไลน์ไว้ เพื่อหลีกเลี่ยงการเข้ารหัสแรนซัมแวร์
สร้างระบบใหม่

พิจารณาสร้างระบบที่ถูกโจมตีขึ้นมาใหม่แทนที่จะแก้ไข เพื่อกำจัดมัลแวร์ที่ยังคงหลงเหลืออยู่ ใช้ประโยชน์จากคำแนะนำของทีมการตอบสนองต่อเหตุการณ์ของ Microsoft ในการสร้างระบบใหม่อย่างปลอดภัย 
เสริมสร้างระบบควบคุมเพื่อรักษาความปลอดภัยหลังการโจมตี

เสริมสร้างเสถียรภาพการรักษาความปลอดภัยหลังการโจมตีด้วยการแก้ไขช่องโหว่ การแพตช์ระบบ และการปรับปรุงเครื่องมือการตรวจหาจุดสิ้นสุด
ดำเนินการตรวจสอบหลังเกิดเหตุการณ์

ร่วมมือกับผู้ให้บริการรักษาความปลอดภัยภายนอกในการวิเคราะห์การโจมตี เพื่อระบุจุดอ่อนและปรับปรุงการป้องกันสำหรับเหตุการณ์ในอนาคต

การสร้างบุคลากรที่ให้ความสำคัญกับการรักษาความปลอดภัยเป็นอันดับแรก

ผู้ชายและผู้หญิงกำลังมองไปที่หน้าของผู้หญิงคนหนึ่ง

การสร้างบุคลากรที่ให้ความสำคัญกับการรักษาความปลอดภัยเป็นอันดับแรกต้องอาศัยความร่วมมืออย่างต่อเนื่องระหว่างสาขาวิชาต่างๆ

การสร้างบุคลากรที่ให้ความสำคัญกับการรักษาความปลอดภัยเป็นอันดับแรกต้องอาศัยความร่วมมืออย่างต่อเนื่องระหว่างสาขาวิชาต่างๆ โดยต้องทำลายกำแพงระหว่างทีมงานรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ ผู้จัดการฝ่ายฉุกเฉิน และเจ้าหน้าที่การแพทย์ เพื่อพัฒนาแผนการตอบสนองต่อเหตุการณ์ที่สอดประสานกัน หากขาดความร่วมมือนี้ไป บุคลากรส่วนที่เหลือของโรงพยาบาลอาจไม่สามารถเตรียมความพร้อมได้อย่างเพียงพอเพื่อตอบสนองอย่างมีประสิทธิภาพในกรณีเกิดเหตุการณ์ทางไซเบอร์ขึ้น

การศึกษาและการตระหนักรู้

การฝึกอบรมที่มีประสิทธิภาพและวัฒนธรรมการรายงานที่แข็งแกร่งถือเป็นองค์ประกอบสำคัญในการป้องกันแรนซัมแวร์ขององค์กรด้านการดูแลสุขภาพ เนื่องจากผู้เชี่ยวชาญด้านการดูแลสุขภาพนั้นมักให้ความสำคัญกับการดูแลผู้ป่วยเป็นอันดับแรก พวกเขาจึงอาจไม่ใส่ใจเรื่องการรักษาความปลอดภัยทางไซเบอร์มากนัก ซึ่งอาจทำให้พวกเขามีความเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น

เพื่อแก้ปัญหานี้ จำเป็นต้องมีการฝึกอบรมอย่างต่อเนื่องที่ครอบคลุมถึงพื้นฐานด้านการรักษาความปลอดภัยทางไซเบอร์ เช่น วิธีการตรวจจับอีเมลฟิชชิ่ง การหลีกเลี่ยงการคลิกลิงก์น่าสงสัย และการรู้จักกลวิธีการโจมตีแบบวิศวกรรมสังคมทั่วไป

ทรัพยากรการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์ของ Microsoft สามารถช่วยในเรื่องนี้ได้

"การสนับสนุนให้พนักงานรายงานปัญหาด้านการรักษาความปลอดภัยโดยไม่ต้องกลัวถูกตำหนิถือเป็นสิ่งสำคัญ" Mott จาก Microsoft อธิบาย "ยิ่งสามารถรายงานบางสิ่งได้เร็วเท่าใด ก็ยิ่งดีเท่านั้น หากเป็นอะไรที่ไม่ได้ร้ายแรงนัก นั่นคือสถานการณ์ที่ดีที่สุด"

การฝึกซ้อมและการจำลองสถานการณ์เป็นประจำควรเลียนแบบจากการโจมตีในความเป็นจริง เช่น ฟิชชิ่งหรือแรนซัมแวร์ เพื่อช่วยให้พนักงานฝึกตอบสนองในสภาพแวดล้อมที่ควบคุมได้

การแบ่งปันข้อมูล การทำงานร่วมกัน และการป้องกันร่วมกัน

เนื่องจากการโจมตีด้วยแรนซัมแวร์มีความถี่เพิ่มขึ้นโดยทั่วไป (Microsoft พบว่ามีการเพิ่มขึ้น 2.75% เมื่อเทียบกับการเพิ่มขึ้นในกลุ่มลูกค้าของเรา16) กลยุทธ์การป้องกันร่วมกันจึงมีความจำเป็น ความร่วมมือระหว่างทีมภายใน คู่ค้าในภูมิภาค และเครือข่ายระดับประเทศ/ระดับโลกในวงกว้างนั้นถือเป็นสิ่งสำคัญในการรักษาการดำเนินงานด้านการดูแลสุขภาพและความปลอดภัยของผู้ป่วย

การรวบรวมกลุ่มต่างๆ เหล่านี้เข้าด้วยกันเพื่อออกแบบและปรับใช้แผนการตอบสนองต่อเหตุการณ์ที่ครอบคลุมช่วยป้องกันความวุ่นวายในการทำงานระหว่างการโจมตีได้

Dameff และ Tully เน้นย้ำถึงความสำคัญของการรวมทีมงานภายใน เช่น แพทย์ ผู้จัดการฝ่ายฉุกเฉิน และเจ้าหน้าที่รักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ ซึ่งมักทำงานแยกกัน การรวบรวมกลุ่มต่างๆ เหล่านี้เข้าด้วยกันเพื่อออกแบบและปรับใช้แผนการตอบสนองต่อเหตุการณ์ที่ครอบคลุมช่วยป้องกันความวุ่นวายในการทำงานระหว่างการโจมตีได้

ในระดับภูมิภาค องค์กรด้านการดูแลสุขภาพควรสร้างความร่วมมือที่ช่วยให้สถานพยาบาลสามารถแบ่งปันความสามารถและทรัพยากรกันได้ เพื่อให้แน่ใจว่าการดูแลผู้ป่วยจะยังคงดำเนินต่อไป แม้ว่าโรงพยาบาลบางแห่งจะได้รับผลกระทบจากแรนซัมแวร์ก็ตาม รูปแบบการป้องกันร่วมกันนี้ยังช่วยจัดการกับสภาวะผู้ป่วยล้นโรงพยาบาลและกระจายภาระไปยังผู้ให้บริการด้านการดูแลสุขภาพรายอื่นๆ ได้อีกด้วย

นอกเหนือจากความร่วมมือในระดับภูมิภาคแล้ว เครือข่ายการแบ่งปันข้อมูลระดับประเทศและระดับโลกก็มีความสำคัญเช่นกัน ISAC (ศูนย์แบ่งปันและวิเคราะห์ข้อมูล) เช่น Health-ISAC ทำหน้าที่เป็นแพลตฟอร์มสำหรับองค์กรด้านการดูแลสุขภาพในการแลกเปลี่ยนข่าวกรองเกี่ยวกับภัยคุกคามที่สำคัญ Errol Weiss หัวหน้าฝ่ายรักษาความปลอดภัยของ Health-ISAC เปรียบเทียบองค์กรเหล่านี้กับ"โครงการเฝ้าระวังชุมชนเสมือนจริง"ที่บรรดาองค์กรสมาชิกสามารถแบ่งปันรายละเอียดเกี่ยวกับการโจมตีและเทคนิคการบรรเทาที่ได้รับการพิสูจน์แล้วได้อย่างรวดเร็ว การแบ่งปันข่าวกรองนี้ช่วยให้ผู้อื่นได้เตรียมตัวหรือกำจัดภัยคุกคามที่คล้ายคลึงกัน และช่วยเสริมสร้างการป้องกันร่วมกันในระดับที่ใหญ่ขึ้นด้วย

  1. [1]
    ข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามภายในของ Microsoft ไตรมาสที่ 2 ปี 2024
  2. [2]
    (สรุปผู้บริหารสำหรับ CISO: ขอบเขตภัยคุกคามทางไซเบอร์ด้านการดูแลสุขภาพในปัจจุบันและที่เกิดใหม่, Health-ISAC และ American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    การถอดความ: การพิจารณาของคณะกรรมการสภาผู้แทนราษฎรเพื่อประเมินข้อบกพร่องด้านการรักษาความปลอดภัยทางไซเบอร์ของ Microsoft” Tech Policy Press, 15 มิถุนายน, 2024
  4. [4]
    โดยเฉลี่ยแล้ว องค์กรด้านการดูแลสุขภาพสูญเสียเงินกว่า USD$900,000 ต่อวันจากเวลาหยุดทำงานเนื่องจากการโจมตีด้วยแรนซัมแวร์” Comparitech, 6 มีนาคม, 2024
  5. [5]
    การโจมตีด้วยแรนซัมแวร์ในการดูแลสุขภาพยังคงเพิ่มจำนวนและความรุนแรงมากขึ้น” The HIPAA Journal, กันยายน 2024
  6. [6]
    ถูกแฮกจนย่อยยับเลยใช่ไหม ผลกระทบของการโจมตีด้วยแรนซัมแวร์ต่อโรงพยาบาลและผู้ป่วย; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    การโจมตีด้วยแรนซัมแวร์กับการหยุดชะงักในแผนกฉุกเฉินใกล้เคียงในสหรัฐ; การโจมตีด้วยแรนซัมแวร์กับการหยุดชะงักในแผนกฉุกเฉินใกล้เคียงในสหรัฐ | การแพทย์ฉุกเฉิน | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    การโจมตีด้วยแรนซัมแวร์ที่พุ่งสูงขึ้นส่งผลกระทบต่อการฟื้นฟูทางการเงิน” The HIPPA Journal, 20 ก.ย., 2024
  10. [10]
    ข้อมูลผู้ป่วยถูกเปิดเผยในการโจมตีแบบฟิชชิ่งที่ UC San Diego Health” The HIPPA Journal, 13 มี.ค., 2024
  11. [11]
    ปัจจัยสำคัญของการโจมตีด้วยแรนซัมแวร์ในการตัดสินใจปิดโรงพยาบาลในชนบทของรัฐอิลลินอยส์” The HIPPA Journal, 14 มิ.ย., 2023
  12. [12]
    การโจมตีด้วยแรนซัมแวร์ในการดูแลสุขภาพยังคงเพิ่มจำนวนและความรุนแรงมากขึ้น” The HIPAA Journal, กันยายน 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    มีการควบรวมกิจการโรงพยาบาลมากขึ้นในปี 2023 และปัญหาทางการเงินเป็นแรงผลักดันให้เกิดข้อตกลงมากขึ้น (chiefhealthcareexecutive.com)
  15. [15]
    ความสามารถในการทำงานร่วมกันและวิธีการแลกเปลี่ยนระหว่างโรงพยาบาลในปี 2021 | HealthIT.gov
  16. [16]
    Microsoft Digital Defense Report 2024, Microsoft, หน้าที่ 27
  17. [17]
    การวัดและส่งข้อมูลทางไกลของ Microsoft Threat Intelligence, 2024
  18. [18]
    แค็ตตาล็อกช่องโหว่ที่ถูกใช้ประโยชน์ที่ทราบอยู่แล้ว” CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    ข้อมูลจาก Microsoft Threat Intelligence เกี่ยวกับภัยคุกคามทางไซเบอร์ในภาคส่วนการดูแลสุขภาพ, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
แรนซัมแวร์ อาชญากรรมไซเบอร์

เพิ่มเติมจากการรักษาความปลอดภัย

คำแนะนำด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของ Cyber Resilience

การรักษาความมั่นคงปลอดภัยทางไซเบอร์ขั้นพื้นฐานยังคงเป็นวิธีที่ดีที่สุดในการปกป้องข้อมูลประจำตัว อุปกรณ์ ข้อมูล แอป โครงสร้างพื้นฐาน และเครือข่ายขององค์กรจากภัยคุกคามทางไซเบอร์ทั้งหมดได้ถึง 98% ค้นพบเคล็ดลับที่เป็นประโยชน์ในคู่มือที่ครอบคลุม
เรียนรู้เพิ่มเติม

ข้อมูลวงในของการต่อสู้กับแฮกเกอร์ที่ขัดขวางการทำงานของโรงพยาบาลและทำให้ชีวิตของผู้คนตกอยู่ในอันตราย

เรียนรู้เกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่ล่าสุดจากข้อมูลภัยคุกคามและการวิจัยของ Microsoft รับการวิเคราะห์แนวโน้มและคำแนะนำที่สามารถนำไปปฏิบัติได้เพื่อเสริมความแข็งแกร่งให้กับแนวป้องกันแรกของคุณ
เรียนรู้เพิ่มเติม

การใช้ประโยชน์จากระบบเศรษฐกิจที่ขับเคลื่อนด้วยความน่าเชื่อถือ: การปลอมแปลงด้วยการโจมตีแบบวิศวกรรมสังคม

สำรวจขอบเขตทางดิจิทัลที่มีการพัฒนาอย่างต่อเนื่อง ซึ่งความน่าเชื่อถือเปรียบเสมือนทั้งสกุลเงินอันมีค่าและช่องโหว่ ค้นพบกลยุทธ์การฉ้อโกงด้วยการโจมตีแบบวิศวกรรมสังคมที่ผู้โจมตีทางไซเบอร์ใช้มากที่สุด และตรวจสอบกลยุทธ์ที่สามารถช่วยคุณระบุและเอาชนะภัยคุกคามด้วยการโจมตีแบบวิศวกรรมสังคมที่ออกแบบมาเพื่อจัดการธรรมชาติของมนุษย์
เรียนรู้เพิ่มเติม

ติดตาม Microsoft Security