“หมอไอที” เตือนโรงพยาบาลโดนมัลแวร์เรียกค่าไถ่

09 กันยายน 2563

มัลแวร์เรียกค่าไถ่ หรือ ransomware กำลังป่วนเครือข่ายคอมพิวเตอร์โรงพยาบาลไทย โดยเป้าหมายถูกเจาะระบบและเข้ารหัสข้อมูลสำคัญ ต้องจ่ายเงินค่าไถ่แพงลิ่วเพื่อแลกกับการได้ข้อมูลคืน อย่างไรก็ตามเรื่องนี้มีวิธีป้องกัน

 

นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ โรงพยาบาลรามาธิบดี หรือที่รู้จักกันในนาม “หมอไอที” โพสต์ข้อความผ่านเฟซบุ๊กส่วนตัว นพ.นวนรรน ธีระอัมพรพันธุ์ Dr. Nawanan Theera-Ampornpunt วันนี้ (9 ก.ย.) เตือนปัญหา “มัลแวร์เรียกค่าไถ่” (ransomware)ที่กำลังปั่นป่วน เครือข่ายคอมพิวเตอร์ในแวดวงโรงพยาบาล ขณะนี้ว่า มีแนวทางป้องกันเพื่อช่วยลดความเสี่ยง โดยเนื้อหาระบุว่า

 

ช่วงนี้มีข่าว รพ. ในไทย โดน ransomware attack รุนแรง (จริงๆ มี รพ. ในไทยโดน ransomware attack เป็นระยะๆ แหละครับ ผลกระทบก็คงมีทุกระดับ)

 

ผมขอแชร์คำแนะนำจาก Cybersecurity & Infrastructure Security Agency (CISA) ของสหรัฐอเมริกา ในการป้องกัน และรับมือกับ ransomware attacks ตาม link ข้างล่างนี้นะครับ

 

คำแนะนำสั้นๆ

1. Data backups (โดยเฉพาะ offline backup) รวมทั้งการทดสอบการกู้คืน

2. วิเคราะห์ความเสี่ยงด้าน cybersecurity ขององค์กร และมีแผนการจัดการที่เหมาะสม

3. อบรมสร้างความตระหนักให้บุคลากร โดยเฉพาะเรื่องการเปิด link และไฟล์แนบโดยไม่ระวัง, ความสำคัญของการใช้ antivirus เพื่อสแกน malware, การอัปเดต patch ของระบบปฏิบัติการและโปรแกรมต่าง ๆ อย่างสม่ำเสมอ และหากเห็นสิ่งผิดปกติควรแจ้งฝ่ายไอทีขององค์กร

4. อัปเดต patch โดยเฉพาะของระบบปฏิบัติการ (เช่น Windows) และโดยเฉพาะอย่างยิ่งสำหรับ server และอุปกรณ์ที่เก็บ file & data storage สำคัญขององค์กร (เมื่อ patch update servers แล้ว ก็ update clients ตาม)

5. มีอุปกรณ์ network firewall กั้นระหว่าง network ภายนอกองค์กรกับภายในองค์กร และตั้งค่า firewall rules อย่างเหมาะสม เพื่อป้องกัน attacks จากภายนอก และควรมี firewall ระหว่าง server farm กับระบบเครือข่ายอื่นขององค์กร รวมทั้งระหว่าง network วงสำคัญๆ หรืออุปกรณ์ medical device ที่เชื่อมต่อกับ network ด้วย

6. หลีกเลี่ยงการใช้งาน file sharing หากทำได้ หากจำเป็นต้องใช้ ควรเปิดใช้งานและจำกัดการเข้าถึงเฉพาะเท่าที่จำเป็น และเครื่องที่ใช้ file sharing และเครื่องที่เก็บข้อมูลสำคัญในรูปแบบ file storage ควร update patch เต็มที่อย่างสม่ำเสมอ

7. มีแผนรับมือ (incident response) และแผน BCP สำหรับการทำงานสำคัญอย่างต่อเนื่องแม้ระบบขัดข้อง

รายละเอียดอื่น ๆ ดู https://us-cert.cisa.gov/sites/default/files/publications/Ransomware_Executive_One-Pager_and_Technical_Document-FINAL.pdf

 

เป็นกำลังใจให้โรงพยาบาลที่ได้รับผลกระทบนะครับ

นพ.นวนรรน ธีระอัมพรพันธุ์ (หมอไอที)

 

นพ. นวนรรน ยังระบุว่า “สำหรับรามาธิบดี ผมเชื่อมั่นว่าทีมไอทีได้พยายามดูแลป้องกันในส่วนที่ทำได้อยู่แล้ว ที่ผ่านมาผู้บริหารไอทีหลายยุคให้ความสำคัญกับการ maintenance ระบบเชิงป้องกัน ซึ่งสิ่งหนึ่งที่ทีมจะต้องทำคือการอัปเดต patch ของ server เพื่อลดความเสี่ยงจากช่องโหว่ความปลอดภัยที่ผู้ไม่ประสงค์ดีอาจใช้โจมตีได้ นอกจากนี้เรายังมีการลงทุนเรื่องเทคโนโลยีที่ช่วยป้องกันการโจมตีโดยได้รับการสนับสนุนงบประมาณจากคณะกรรมการที่เกี่ยวข้องเป็นอย่างดี ซึ่งในความเห็นทางวิชาการของผม ช่วยลดความเสี่ยงของรามาธิบดีต่อภัยคุกคามเหล่านี้ได้ทีเดียว”

 

อย่างไรก็ตาม ความเสี่ยงของรามาธิบดีที่จะได้รับผลกระทบนั้น ไม่ได้เป็นศูนย์ อีกทั้งหลายๆ สาเหตุของการโจมตีก็ขึ้นอยู่กับพฤติกรรมสุขอนามัยไอทีของบุคลากรและนักศึกษาทุกคนที่เป็น user ด้วย ดังนั้น เพื่อความไม่ประมาท จึงขอให้บุคลากรและนักศึกษาทุกคนที่ใช้งานระบบคอมพิวเตอร์ มีความตระหนักในเรื่องความเสี่ยงด้านไซเบอร์ ดังนี้

- ขอให้ระวังเรื่องการเปิด link และไฟล์แนบในอีเมลโดยไม่ระวัง

- ระวังเรื่องการเข้าเว็บไซต์ที่ไม่เหมาะสมหรือไม่รู้จักโดยไม่ระวัง

- ให้ความสำคัญกับการใช้ antivirus เพื่อสแกน malware

- การอัปเดตระบบปฏิบัติการ (เช่น Windows) และโปรแกรมต่างๆ (เช่น browser) ของเครื่องของตัวเอง (รวมทั้งเครื่องส่วนตัว, notebook และ smart phone & tablet ทั้งที่ทำงานและที่บ้าน) อย่างสม่ำเสมอ

- หากเห็นสิ่งผิดปกติในการใช้งาน ควรแจ้งฝ่ายสารสนเทศ (IT Call Center โทร 4446 กด 3 สายนอกโทร 022004446 กด 3 ตลอด 24 ชั่วโมง)

- หลีกเลี่ยงการใช้งาน file sharing หากทำได้ หากจำเป็นต้องใช้ ควรเปิดใช้งานและจำกัดการเข้าถึงเฉพาะเท่าที่จำเป็น (รวมทั้งการตั้ง password สำหรับเข้าถึง หากทำได้) และเครื่องที่ใช้ file sharing และเครื่องที่เก็บข้อมูลสำคัญในรูปแบบ file storage ควร update เต็มที่อย่างสม่ำเสมอ

- backup ข้อมูลสำคัญในพื้นที่ที่ปลอดภัย (หากทำได้ ควรเป็น offline backup เช่น external hard drive ที่ถอดสายออกหลังสำรองข้อมูลเสร็จ เพื่อลดโอกาสที่ ransomware จะโจมตีทั้งข้อมูลในเครื่องและข้อมูลที่ online backup พร้อมกัน)

- เตรียมแผนรับมือสำหรับกรณีที่ถูกโจมตี เพื่อให้งานสำคัญยังดำเนินต่อไปได้

 

ข่าวที่เกี่ยวข้อง

ทำความรู้จัก" Ransomware" มัลแวร์ตัวร้ายเจาะระบบโรงพยาบาลสระบุรี

รพ.สระบุรีแจง “มัลแวร์” ป่วนระบบจริง แต่ไม่มีรีดค่าไถ่  

รัฐบาลทั่วโลกต้องตื่นตัว! "ไมโครซอฟต์" เตือนภัย "ไวรัสเรียกค่าไถ่"

"ลุงตู่"เตือนระวังมัลแวร์เรียกค่าไถ่ ระบาดทั่วโลก สั่งเกาะสถานการณ์