When Hacker Turn To Black Mail

When Hackers Turn to Blackmail

Paul Layman (Chief Executive Officer) ของโรงพยาบาล Sunnylake Paul Layman มีวิสัยทัศน์ที่จะนำ Cutting-Edge Technology เข้ามาใช้ในโรงพยาบาล ซึ่งจะต้องเปลี่ยนแปลงสิ่งทำอยู่ในปัจจุบันและขั้นตอนการทำงานใหม่ทั้งหมด

หนึ่งในการเปลี่ยนแปลงนั้น คือ การเปลี่ยนจากการบันทึกข้อมูลในกระดาษเป็น Electronic Medical Records (EMRs) โดยระบบดังกล่าว Jacob Dales (Chief Information Officer) ของโรงพยาบาลเป็นผู้ดำเนินการ

วันหนึ่งได้มีจดหมายฉบับหนึ่งมาถึงโรงพยาบาล โดยข้อความระบุว่า ”ระบบรักษาความปลอดภัยของ Network ในโรงพยาบาลนั้นแย่มาก แต่ถ้าคุณยอมจ่ายเงิน 1 แสนเหรียญ เราจะไม่ Hack ข้อมูลในระบบของคุณ” แต่ Paul Layman มองว่า เป็น E-mail ที่ไม่มีสาระสำคัญ จึงลบทิ้งไป

ผ่านไปอีก 2-3 วัน มีอีเมลล์จากคนเดิม โดยมีข้อความระบุว่า “เราเตือนคุณแล้ว” และแล้วความวุ่นวายใน
โรงพยาบาลก็เกิดขึ้น เมื่อแพทย์ที่กำลังจะทำการผ่าตัด ไม่สามารถเข้าถึงข้อมูลของคนไข้ได้
ในขณะเดียวกัน อีเมล์ฉบับที่สามก็มาถึง โดยมีข้อความระบุว่า เรารู้ว่าคุณต้องการข้อมูลของคุณคืน แต่คุณจะได้ก็ต่อเมื่อ คุณต้องจ่ายเงิน 100K เสียก่อน”

Jacob Dales (Chief Information Officer) และพนักงานระบบ IT เข้ามาเพื่อทำการแก้ไข พวกเค้าพยายามแก้ไขด้วยการ Restore Database แต่ก็ไม่สำเร็จ เนื่องจากถูกรบกวนจาก โปรแกรมของ Hacker ที่ทิ้งไว้ในระบบของโรงพยาบาล

Hacker สามารถเข้ามา Hack ข้อมูลของโรงพยาบาลได้อย่างไร

ต้นเหตุของปัญหาในครั้งนี้ เกิดจากมีผู้ใช้ Internet ในโรงพยาบาล Click icon โดยไม่อ่านถึงรายละเอียดใน icon นั้น ๆ ก่อนว่าคืออะไร จึงทำให้โปรแกรมของ Hacker เข้ามาฝังตัวอยู่ในระบบของโรงพยาบาลได้

ผลกระทบจากเหตุการณที่เกิดขึ้น

แพทย์และเจ้าหน้าที่ไม่สามารถเข้าไปถึง Database ของผู้ป่วยได้ ทำให้ไม่สามารถวิเคราะห์อาการ และวินิจฉัยการรักษา การจ่ายยาให้กับผู้ป่วยได้ ซึ่งส่งผลกระทบมากต่อความปลอดภัยของผู้ป่วย ซึ่งเป็นหัวใจสำคัญของโรงพยาบาล รวมถึงอาจส่งผลถึงความเชื่อมั่นในตัวโรงพยาบาลและแพทย์ ซึ่งอาจจะทำให้ถูกฟ้องร้องดำเนินคดีได้

แนวทางการแก้ไข

ความคิดเห็นของ LISA

Lisa หัวหน้าที่ปรึกษาทางด้านกฎหมายของบริษัทต้องการให้ทาง Paul แก้ปัญหาให้เสร็จโดยเร็ว จากการที่ Lisa เห็นว่าการแก้ไขหรือเข้าถึงข้อมูลยังไม่ประสบความสำเร็จ จึงออกความเห็นว่า เราไม่มีเวลาที่จะรอต่อไปอีกแล้ว เราควรจ่ายเงินเพื่อที่จะให้ระบบเรากลับคืนมา เพราะถ้าปล่อยไว้ความเสียหายยิ่งจะบานปลาย เนื่องจากเราต้องคำนึงถึงความปลอดภัยของผู้ป่วย อีกทั้งเรายังเสี่ยงที่จะถูกฟ้องร้องจากผู้ป่วยอีกด้วย

ความคิดเห็นของ Per Gullestrup

ข้อคิดเห็นจาก Per Gullestrup เคยเจอปัญหาในลักษณะนี้มาแล้ว คือ โดนปล้นเรือของบริษัท Clipper Group มูลค่า 15 ล้านดอลล่าสหรัฐฯ และควบคุมตัวลูกเรือไว้เป็นตัวประกันอีก 13 คน เป็นเวลา 71 วัน ซึ่งในเหตุการณ์ที่เกิดขึ้นนี้ Per Gullestrup ตัดสินใจยอมจ่ายเงินค่าไถ่ตามที่โจรสลัดเรียกร้อง ดังนั้นใน case นี้ทางโรงพยาบาลควรยอมจ่ายเงินตามที่ Hacker เรียกร้อง เพื่อเป็นการรักษาชีวิต และความปลอดภัยของผู้ป่วย และยังเป็นการรักษาภาพลักษณ์และความเชื่อมั่นอีกด้วย

ความคิดเห็นของ Jacob Dales (CIO)

ไม่ควรจ่ายเงินให้กับ Hacker แต่ขอเวลาเพื่อจะแก้ไขระบบ ซึ่งจากการสันนิษฐาน คาดว่าน่าจะเกิดจากระบบของ Hacker ที่แฝงตัวอยู่ในระบบโรงพยาบาล ซึ่งในขั้นตอนแรกทาง ITจะทำการ offline ระบบเครือข่ายของโรงพยาบาล เพื่อที่จะไม่ให้ Hacker สามารถเข้ามาได้ และจากนั้นจะเริ่มทำการกำจัดระบบของ Hacker ที่แฝงเข้ามา ออกทีละส่วน Jacob Dales ให้ความเห็นว่าถึงแม้ว่าทางโรงพยาบาลจะยอมจ่ายเงินตามที่ Hacker เรียกร้องไป แต่ก็ไม่สามารถรู้ได้ว่า Hacker จะทิ้งตัวแฝงในระบบตัวอื่นไว้ในระบบของโรงพยาบาลอีกหรือไม่ ดังนั้นการจ่ายเงินให้กับ Hacker เลยอาจไม่ใช่วิธีการแก้ปัญหา

ความคิดเห็นของทางกลุ่ม 8

1. ในเบื้องต้นทางโรงพยาบาลควรต้องยอมจ่ายเงินตามข้อเรียกร้องของ Hacker เสียก่อน เพื่อเป็นการรักษาชีวิตของผู้ป่วย และเพื่อรักษาความเชื่อมั่นในโรงพยาบาลและคณะแพทย์
2. จากนั้นจึงทำการแก้ไขระบบให้สามารถกลับมาใช้งานได้ดังเดิม
3. นอกจากการแก้ไขจะเสร็จสิ้นแล้ว ทางโรงพยาบาลควรมีการสร้างระบบป้องกันให้มีความรัดกุมและรอบคอบมากขึ้น รวมถึงการทำการ Copy ไฟล์ข้อมูลเอาไว้อีกชุดหนึ่ง เพื่อไว้ใช้ในกรณีที่ระบบมีปัญหา
4. นอกจากนั้นทางโรงพยาบาลยังควรที่จะต้องเก็บเอกสารของผู้ป่วยในลักษณะของ Hard Copy ไว้ด้วย โดยอาจกำหนดระยะเวลาการเก็บเอกสารดังกล่าว เช่น เก็บเอกสารย้อนหลังไม่เกิน 1 ปี เป็นต้น เพื่อที่หากระบบขัดข้องจะได้สามารถทำข้อมูลของคนไข้ในระยะเวลาดังกล่าวมาอ้างอิงได้
5. ทางโรงพยาบาล ควรให้ความรู้แก่พนักงานที่ใช้ระบบ IT ทุกคนถึงวิธีการใช้ ข้อดี ข้อเสีย และภัยคุมคามที่อาจเกิดขึ้นในโลกของ IT และเนื่องจาก IT มีการพัฒนาเทคโนโลยีและนวัตกรรมใหม่ ๆ อยู่เสมอ ดังนั้นควรจัดให้มีการอบรมเพื่อ Update ข้อควรระวังต่าง ๆ อยู่อย่างสม่ำเสมอ