16 ล้าน Records ถูกแฮก ‘องค์กรสุขภาพ’ ต้องเร่งแก้ไข

16 ล้าน Records  ถูกแฮก ‘องค์กรสุขภาพ’ ต้องเร่งแก้ไข

ท่านผู้อ่านคงทราบข่าวเรื่องข้อมูลผู้ป่วยกว่า 16 ล้าน Records ของกระทรวงสาธารณสุขถูกแฮกแล้วนะครับ บทความนี้เราจะมาพูดถึงปัญหาการขาดแคลนบุคลากรที่เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในกลุ่มองค์กรด้านสุขภาพ และแนวทางในการแก้ไขปัญหากันครับ

อย่างที่เราทราบว่า Chief Information Security Officer (CISO) คือผู้รับผิดชอบในการขับเคลื่อนให้ทั้งองค์กรมีทิศทางในการรักษาความปลอดภัยที่ดี ผ่านการสนับสนุนทางการเงินสำหรับการเริ่มมาตรการรักษาความปลอดภัย เพื่อนำเทคโนโลยีและการดำเนินงานต่างๆ มาใช้ โดยมุ่งหวังให้ระบบเครือข่ายปลอดภัย หรือยังสามารถทำงานได้แม้หลังจากถูกโจมตีทางไซเบอร์

ผู้ที่จะมารับตำแหน่ง CISO จะต้องมีพื้นฐานด้านไซเบอร์ นอกเหนือไปจากความรู้ทางด้านไอที นั่นทำให้เป็นเรื่องยากในการหาบุคลากรที่ทำงานทางด้านนี้ 

โดยเฉพาะอย่างยิ่งในกลุ่ม องค์กรด้านสุขภาพ ที่ต้องการคนมาดูแลระบบขนาดใหญ่ องค์กรขนาดใหญ่อาจมีทรัพยากรและเงินทุนในการจ้างผู้เชี่ยวชาญมาทำงาน แต่นั่นเป็นไปได้ยากสำหรับองค์กรขนาดกลางหรือเล็ก

อ่านข่าว : เช็ค! 12 วิธีป้องกันถูก แฮกข้อมูล สกัดซอฟต์แวร์อันตราย 
 

รายงานของ Health Care Industry Cybersecurity Task Force ในปี 2560 พบว่า โรงพยาบาล 3 ใน 4 แห่งไม่มีเจ้าหน้าที่รักษาความปลอดภัย และความต้องการด้านความปลอดภัย

อีกหนึ่งปีต่อมาผลการวิจัยของ Ponemon Institute ชี้ว่าผู้ให้บริการด้านสุขภาพส่วนใหญ่ต้องพยายามเป็นอย่างมากในการรับสมัครเจ้าหน้าที่รักษาความปลอดภัย และในขณะที่อีก 49% ไม่มี CISO

ทำให้ผู้ให้บริการด้านสุขภาพบางแห่งเลือกที่จะแก้ไขปัญหาโดยการใช้ virtual CISO (vCISO) หรือใช้บริการ Managed Security Service Provider (MSSP) ในขณะที่รายอื่นๆ อาจมอบหมายงานให้กับทีมไอทีหรือสมาชิกในทีมอื่นๆ ซึ่งถ้าเรื่องนี้เกิดขึ้นในองค์กรกลุ่มอื่นๆ อาจพอมองข้ามไปได้ แต่ไม่ใช่สำหรับกลุ่มองค์กรด้านสุขภาพที่มีความจำเป็นอย่างยิ่งที่ต้องคำนึงถึงความปลอดภัย

อาจารย์ผู้สอนที่ SANS Institute ได้ให้แนวทางในการแก้ไขปัญหา โดยเพิ่มความรู้ด้านการรักษาความปลอดภัยให้กับผู้ที่ทำงานไอที หรือผู้ดูแลระบบองค์กร เพราะเรื่องของการทำงาน เครื่องมือ และ ภัยคุกคาม มีความแตกต่างกัน 

นั่นทำให้บางครั้งพวกเขาอาจรู้ถึงวิธีใช้เครื่องมือที่เหมาะสมและตรวจสอบการแจ้งเตือนที่น่าสงสัยได้ แต่กลับไม่เข้าใจว่าภัยคุกคามเข้ามาได้อย่างไร และเป็นระยะเวลานานเท่าใดที่ผู้คุกคามอยู่ในระบบเครือข่าย

การนำที่ปรึกษาจากภายนอกเข้ามา รวมถึงการใช้ vCISO หรือ MSSP ก็อาจมีปัญหาจากความไม่คุ้นเคยกับการดำเนินงาน หรือการดูแล ควบคุมทรัพยากรองค์กร ทำให้ขาดความเข้าใจในภาพรวมทั้งหมด ดังนั้นองค์กรควรส่งหัวหน้างานไปฝึกอบรม และจัดหาอุปกรณ์ที่จำเป็นในการรักษาความปลอดภัย เพื่อให้บุคลากรมีแนวคิดที่ดีในด้านการรักษาความปลอดภัย และรู้วิธีใช้เครื่องมือ

จะเห็นได้ว่าองค์กรสุขภาพบางแห่งของไทยก็ตกเป็นเหยื่อของแฮกเกอร์ เช่น โรงพยาบาลสระบุรีที่ถูกแรนซัมแวร์โจมตี และล่าสุดคือกระทรวงสาธารณสุข ซึ่งเป็นเรื่องที่ควรเร่งแก้ไข เพราะกลุ่มองค์กรด้านนี้เกี่ยวข้องกับชีวิตของคน และถือครองข้อมูลที่มีความละเอียดอ่อน 

โดยอาจเริ่มต้นจากการจัดสรรงบประมาณบางส่วนมาใช้ในการจัดหาโซลูชั่นมาป้องกันระบบ และส่งบุคลากรไปเข้ารับการฝึกอบรม เพื่อให้ระบบขององค์กรและข้อมูลของผู้ที่มาใช้บริการปลอดภัยจากภัยไซเบอร์ครับ