เตรียมพร้อมรับมือภัยคุกคามในหน่วยงานสาธารณสุข และอุปกรณ์ทางการแพทย์ (Managing Healthcare and Medical Device Security)

Share on Facebook
Share on Linkedin
Share on Twitter

จากบทความที่แล้ว เราได้ทราบถึงสถิติการโจมตีและรูปแบบของภัยคุกคามทางไซเบอร์ที่พบบ่อยในระบบสาธารณสุขกันไปแล้ว จะเห็นได้ว่า ในปัจจุบันมีอุปกรณ์ทางการแพทย์ใหม่ๆ หรือที่เรียกว่า Internet of Medical Things (IoMT) เข้ามาช่วยในการดูแลสุขภาพของผู้ป่วยมากขึ้น ทำให้บุคลากรทางการแพทย์สามารถเข้าถึงข้อมูลและภาพได้อย่างสะดวกรวดเร็ว ช่วยเพิ่มประสิทธิภาพการตัดสินใจให้ดียิ่งขึ้น แต่อุปกรณ์ทางการแพทย์เหล่านี้ก็เป็นความท้าทายใหม่ๆ ที่เกิดเป็นช่องโหว่ของภัยคุกคามทางไซเบอร์ที่สามารถใช้ในการโจมตีได้

ในบทความนี้เราจะมาต่อกันด้วยเรื่องของการเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์สำหรับหน่วยงานสาธารณสุขและอุปกรณ์ทางการแพทย์ เนื่องจากมีหลักฐานแสดงให้เห็นแล้วว่า ผู้โจมตีมุ่งหวังที่จะขโมยข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์เพื่อนำไปหาประโยชน์ หรืออาจเข้าถึงรหัสผ่านเพื่อรบกวนการดำเนินงานโรงพยาบาล ทำให้ผู้ไม่หวังดีสามารถกดดันองค์กรทางด้านสาธารณสุขให้ยินยอมที่จะชำระค่าไถ่ที่มีมูลค่าสูง เพราะมีความจำเป็นในการแก้ไขเหตุการณ์การโจมตีที่เกิดขึ้นอย่างเร่งด่วนเพราะมีชีวิตของผู้ป่วยเป็นเดิมพัน

การรักษาความมั่นคงปลอดภัยทางไซเบอร์สำหรับหน่วยงานสาธารณสุขและอุปกรณ์ทางการแพทย์นั้น ต้องอาศัยความร่วมมือในการปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์ (Security Baseline) จากหน่วยงานทุกภาคส่วนของโรงพยาบาล รวมไปถึงผู้ผลิตเครื่องมือทางการแพทย์ให้กับโรงพยาบาล โดยมีแนวทางปฏิบัติสำหรับหน่วยงานด้านสาธารณสุข เพื่อให้สามารถเตรียมความพร้อมในการปกป้องอุปกรณ์ทางการแพทย์เบื้องต้นได้ ดังนี้

 

ขั้นตอนที่ 1: ตรวจสอบอุปกรณ์ทางการแพทย์ทั้งหมด (Identify the enterprise’s medical devices) การที่เราทราบจำนวน ชนิดและที่ตั้งของอุปกรณ์ที่มีทั้งหมดเป็นสิ่งสำคัญในการช่วยประเมินความเสี่ยงและการบริหารจัดการความมั่นคงปลอดภัยได้มีประสิทธิภาพมากขึ้น โดยเราต้องสามารถรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ทางการแพทย์ภายในหน่วยงานอย่างครบถ้วน และแสดงให้เห็นถึงวิธีการสื่อสารระหว่างอุปกรณ์กับบริการที่เกี่ยวข้อง รวมไปถึงวิธีเปิดใช้งาน และช่องโหว่ที่อาจเกิดขึ้น ตัวอย่างเช่น เครื่อง MRI, เครื่องตรวจวัดสัญญาณชีพ ทำให้สามารถติดตามและจัดการความเสี่ยงระหว่างการดำเนินงานได้

ขั้นตอนที่ 2: เตรียมพร้อมแผนการลดความเสี่ยงภายในหน่วยงาน (Develop and apply a mitigation plan) หลังจากที่ทำการประเมินและวิเคราะห์ความเสี่ยงของอุปกรณ์ทางการแพทย์ภายในหน่วยงานเสร็จสิ้นแล้ว ให้นำข้อมูลและช่องโหว่มาประเมินเพื่อหาวิธีการมาเป็นแนวทางการปฏิบัติ เพื่อลดช่องโหว่ และความเสี่ยงที่สามารถเกิดขึ้นจากการใช้อุปกรณ์

ขั้นตอนที่ 3: มีมาตรการป้องกันที่นำมาใช้เพื่อลดความเสี่ยงในการถูกโจมตี (Reduce the likelihood of a compromise)
องค์กรต้องประเมินความเป็นไปได้ที่จะถูกโจมตี มองหาช่องโหว่ล่วงหน้าเพื่อปิดช่องโหว่เหล่านั้น ไม่ให้ถูกโจมตี ซึ่งมีด้วยกันหลายวิธี ยกตัวอย่างเช่น ป้องกันการเข้าถึงจากบริการที่ไม่น่าเชื่อถือผ่านช่องทางต่างๆ ป้องกันการเข้าถึงของอุปกรณ์ที่สามารถถอดออกได้ เช่น USB, memory card เป็นต้น จำกัดสิทธิ์ในการเข้าถึงระบบเครือข่ายและควบคุมการเข้าถึงจากระยะไกล ซึ้งเป็นการสร้างข้อจำกัดในการเข้าถึงเฉพาะผู้ที่มีสิทธิ์เท่านั้นที่สามารถเข้าถึงระบบหรืออุปกรณ์ได้ เพื่อช่วยในการป้องกันการนำข้อมูลไปใช้งานอย่างไม่ถูกต้อง ลบการเข้าถึงหรือยกเลิกบริการที่ไม่จำเป็นออกจากระบบ ควบคุมการเชื่อมต่อและแบ่งเครือข่ายการแลกเปลี่ยนข้อมูลระหว่างโซนที่แยกจากกัน ติดตั้งระบบตรวจจับการบุกรุก และการกระทำที่ไม่ปกติเพื่อแจ้งเตือนเพื่อรับมือกับความเสี่ยงให้ได้ทันที

ขั้นตอนที่ 4: การบริหารจัดการผู้ใช้งานในระบบ (Apply user management) เช่น ลบบัญชีผู้ใช้งานเมื่อมีพนักงานออกจากงาน และมีขั้นตอนที่กำหนดไว้ล่วงหน้าในการรับมือกับภัยคุกคามทางไซเบอร์ อีกทั้งควรจำกัดสิทธิ์การเข้าถึงเครื่องมือ ให้สามารถเข้าถึงได้เฉพาะบุคคลที่มีความจำเป็นเท่านั้น ให้สามารถเข้าถึงได้น้อยที่สุด โดยเฉพาะในกรณีที่อุปกรณ์นั้นมีผลต่อชีวิตของผู้ป่วย

ขั้นตอนที่ 5: เมื่อมีการทำงานร่วมกับบุคคลภายนอกที่เป็นพันธมิตรทางธุรกิจ เช่น ผู้รับเหมางาน หน่วยงานของรัฐ หรือบุคคลที่เกี่ยวข้องอื่นๆ ที่มีบทบาทต่อองค์กร (Collaborate with third parties and properly understand connection) องค์กรต้องทำความเข้าใจในแนวทางและรูปแบบการทำงานของคู่ค้า เพื่อที่จะช่วยให้องค์กรรู้ว่าควรจะจัดการข้อมูลและมีระเบียบวิธีการปฏิบัติอย่างไรในกรณีที่เกิดปัญหา บุลคลากรที่เกี่ยวข้องควรมีความเข้าใจการเชื่อมต่อที่เกิดขึ้นระหว่างหน่วยงานอย่างถูกต้อง จะช่วยลดความเสี่ยงในการโจมตีเมื่อมีการดำเนินงานร่วมกันได้ รวมไปถึงในการทำสัญญาการจัดซื้อจัดจ้าง หน่วยงานต้องพิจารณาถึงความปลอดภัยในการทำงานร่วมกันกับบุคคลภายนอกเพื่อให้ง่ายต่อการปฏิบัติ ควรมีการทำสัญญาเพื่อให้มั่นใจว่าคู่ค้าจะช่วยกันปกปิดข้อมูลสำคัญโดยการระบุถ้อยคำในสัญญาการจัดซื้อจัดจ้างเพื่อให้ง่ายต่อการปฏิบัติ

การสร้างความตระหนักให้กับบุคลากรในการรักษาความปลอดภัยของข้อมูลก็เป็นสิ่งที่สำคัญเช่นเดียวกัน เพื่อให้บุคลากรปฏิบัติตามนโยบายและมาตรการความปลอดภัยที่กำหนดขึ้นอย่างเคร่งครัด โดยมีวิธีการเบื้องต้นในการป้องกันภัยคุกคามทางไซเบอร์สำหรับบุคลากร ดังนี้

  1. ใช้รหัสผ่านที่ปลอดภัย เช่น ไม่ใช้รหัสผ่านที่สั้นและง่ายต่อการคาดเดา หรือการใช้รหัสผ่านที่ซ้ำซ้อนในหลายบัญชี หน่วยงานจึงต้องมีการยืนยันตัวตนแบบหลายปัจจัย (multifactor authentication)
  2. เข้ารหัสไฟล์ที่เป็นข้อมูลสำคัญ ถึงแม้ไม่ค่อยถูกเปิดใช้งาน เพื่อป้องกันการรั่วไหลของข้อมูลอีกชั้นหนึ่ง ในกรณีที่ผู้ไม่หวังดีเจาะเข้าถึงอุปกรณ์และเครือข่ายเป็นที่เรียบร้อยแล้ว
  3. การอัปเดตแพทช์ หน่วยงานควรพิจารณาอัปเดตแพทช์ เพื่อแก้ไขช่องโหว่ความปลอดภัยของระบบปฏิบัติการเวอร์ชันเก่า (legacy operating systems) และซอฟต์แวร์ที่ใช้งานอยู่ให้เป็นระบบใหม่ มีความปลอดภัยที่สูงขึ้น

จะเห็นได้ว่าเราสามารถลดความเสี่ยงภายในหน่วยงานสาธารณสุขได้ โดยมีการระมัดระวังในการติดตั้งอุปกรณ์ ทำการตรวจสอบและประเมินความเสี่ยงของอุปกรณ์ทางการแพทย์ที่มีใช้งาน มีการฝึกอบรมและการสร้างความตระหนักให้กับบุคลากร รวมไปถึงการอัปเดตปรับปรุงระบบซอฟต์แวร์ของอุปกรณ์ทางการแพทย์เพื่อแก้ไขช่องโหว่อยู่เสมอ

CYBER ELITE มีบริการให้คำปรึกษาเพื่อปกป้องข้อมูลที่สำคัญภายในหน่วยงานสาธารณสุข ช่วยประเมินความเสี่ยงเพื่อหาช่องโหว่ที่อาจเกิดขึ้น และปรับปรุงด้านความปลอดภัยให้เป็นเทคโนโลยีล่าสุด ช่วยจัดการระบบการรักษาความปลอดภัยให้มีประสิทธิภาพ เพื่อแก้ไขปัญหาและเสริมสร้างความปลอดภัยให้กับระบบอย่างเหมาะสม เพื่อให้พร้อมรับมือกับภัยคุกคามทางไซเบอร์ได้โดยทันที

📌 สนใจรับบริการด้าน Cyber Security ติดต่อ CYBER ELITE ได้ทุกช่องทาง

Stop threats today

Let’s get started