ข่าว
07 ก.ย. 2564 | sitthichai_nak
ผู้เชี่ยวชาญด้านภัยไซเบอร์ แจงวิวัฒน์แฮกเกอร์กับวิธีกรรโชกทรัพย์ จากยุคมืดสู่การโพสต์ ประกาศขายให้ทุกคนที่พร้อมจ่าย ชี้ ข้อมูลส่วนตัวมีค่า หลายฝ่ายยังมองไม่เห็นประโยชน์ สร้างความเดือดร้อนได้ แนะการวางระบบเข้มแข็ง ไม่การันตีความปลอดภัย 100% แต่ยังพอมีทางออก
วันที่ 7 กันยายน 2564 ดร.ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ กล่าวถึงการแฮกข้อมูลคนไข้ จากกระทรวงสาธารณสุขว่า ปัจจุบัน ภูมิทัศน์การบริหารข้อมูลในระบบดิจิทัล มองการแฮกข้อมูลอย่างมีพัฒนาการอย่างมีลำดับ
การแฮกข้อมูล คือธุรกิจสร้างรายได้ของเหล่ามิจฉาชีพ ที่แต่ก่อนถูกนำไปเผยแพร่ใน ดาร์ค เว็บ แต่ตอนนี้แฮกเกอร์สามารถโพสต์ขายได้อย่างเปิดเผย ในเว็บไซต์ทั่วไปที่สร้างขึ้นมาเพื่อตอบสนองธุรกิจนี้เป็นการเฉพาะ ซึ่งจะมีวิธีการกรรโชกทรัพย์ 3 ชั้น(Triplx Extortion Ransomware) คือ การส่งมัลแวร์เข้าไปในระบบผ่านเครือข่ายออนไลน์ แล้วทำให้ข้อมูลถูกเข้ารหัส เจ้าของข้อมูลหรือผู้ดูแลระบบไม่สามารถเข้าไปใช้งานข้อมูลนั้นๆ ได้ รายได้ก็จะเกิดจาการเรียกค่าไถ่ เพื่อแลกกับรหัสปลดมัลแวร์ ไปจนถึงมีการใช้ประโยชน์จากข้อมูลที่ถูกแฮก
วิธีการนี้เคยถูกใช้มาแล้วกับโรงพยาบาลสระบุรี เมื่อปีที่แล้ว ซึ่งหากเป็นข้อมูลที่มีการสำรองไว้ หรือ แบ็คอัพ กลับคืนมาได้ ก็ไม่จำเป็นต้องจ่าย (ไม่มีการเปิดเผยว่า มีการจ่ายค่าไถ่หรือไม่ แต่ในรายงานข่าว ระบุการชี้แจงกับประชาชนที่มาใช้บริการเพื่อสร้างความเข้าในการทำงานของทุกฝ่ายที่อาจล่าช้า ซึ่งมีการสอบถามประวัติคนไข้เพื่อจัดทำข้อมูลใหม่)
ต่อมา คือ การเผยแพร่ ซึ่งอาจโพสต์ตัวอย่างขึ้นเว็บไซต์ให้เห็นว่า นี่เป็นของจริง แล้วระบุให้เวลาตัดสินใจ พร้อมคำข่มขู่เพื่อเรียกค่าไถ่ อาจพุ่งเป้าไปที่ผู้ดูแลระบบ เจ้าของข้อมูล หรือไม่เรียกจากเจ้าของข้อมูลก็ได้ แต่ประกาศขายให้กับทุกคนที่สนใจ และนี่แหละ คือเหตุการณ์ที่เกิดขึ้นกับกระทรวงสาธารณสุข
จากคำสัมภาษณ์ของ น.อ. อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ(กมช.) ระบุว่า ฐานข้อมูลของรพ.ที่มีขนาด 3.7 กิกะไบต์ 16 ล้านเรดคอร์ด หรือข้อมูล 16 ล้านแถว ไม่ใช่ 16 ล้านคน เป็นการอวดอ้างซึ่งถือเป็นเรื่องปกติ แต่ทุกข้อมูลก็มีความสำคัญ ตรงที่เป็นมันสามารถนำไปหาประโยชน์ได้ เช่น รูปแบบสวมรอย รูปแบบคอลเซ็นเตอร์ และอื่นๆ ที่ใช้อ้างอิงจากข้อมูลเหล่านี้ กลายเป็นความเดือดร้อนของตัวผู้ป่วยเอง หรือแม้แต่แพทย์ที่มีชื่อปรากฎ
เรื่องนี้รัฐบาลมีการเตรียมพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA: Personal Data Protection Act ที่จะเป็นประโยชน์ในการให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งในกรณีนี้ คนที่ต้องรับผิดในทางกฎหมาย อาจเป็นโรงพยาบาลที่เป็นเจ้าของข้อมูล รวมถึงคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่บกพร่อง ไม่ออกมาตรการที่เคร่งครัด แต่โชคดีที่กฎหมายฉบับนี้ จะมีผลในวันที่ 1 มิถุนายน 2565 ซึ่งเชื่อว่า ความวุ่นวายจะเกิดกับผู้รับผิดชอบในงานด้านความปลอดภัยไซเบอร์ เพราะยังมีหลายเรื่องที่คนในสังคม ยังไม่ตระหนักถึงการป้องกัน และการให้ความสำคัญกับข้อมูลส่วนบุคคล
“ผอ.โรงพยาบาล จะตกที่นั่งลำบาก ในฐานะเป็นผู้รับผิดชอบข้อมูลคนไข้ ขณะเดียวกัน ก็น่าเห็นใจ ที่หน้าที่หลักของเขาคือ การรักษาคนไข้ หรือต่อให้ตั้งไฟร์วอลล์แน่นหนา ก็เชื่อว่า ไม่น่าพ้นภัยไซเบอร์ไปได้”
ทั้งนี้ สำหรับโลกไซเบอร์ ขอให้เลิกคิดถึงการป้องกันแบบ 100% เห็นได้จาก หน่วยงานที่ทำงานด้านการรับมือภัยไซเบอร์ อย่างสำนักงานความมั่นคงแห่งชาติ หรือ เอ็นเอสเอ ของสหรัฐ สำนักงานสอบสวนกลาง หรือ เอฟบีไอ ก็ยังโดนโจมตีอยู่เสมอ ฉะนั้น เราจะทำอย่างไร เมื่อต้องทำใจว่าต้องถูกเจาะระบบ กลายเป็นเรื่องยากที่จะป้องกัน คำถามจึงตามมาว่า เราจะทำให้ข้อมูลเหล่านั้น ไม่สร้างประโยชน์ให้กับแฮกเกอร์ได้อย่างไร วิธีหนึ่งที่อยากแนะนำคือ การแฝงข้อมูลและการเข้ารหัสข้อมูล (data pseudonymization and data encryption)
ยกตัวอย่าง ชื่อ - นามสกุล ของผมแทนที่จะเผยข้อมูลจริง ก็อาจแปลงเป็น อักษรย่อ HxPy เป็นต้น เท่านี้เทียบกับกรณีที่เพิ่งเกิด ก็เท่ากับ ข้อมูลที่แฮกมาได้ จะมี อายุ วันเดือนปีเกิด สิทธิในการรักษา เท่านั้น แต่จะไม่รู้ว่าใครคือคนไข้ ใครคือแพทย์ผู้รักษา แม้ข้อมูลที่เหลือก็อาจนำไปใช้ประโยชน์ได้ แต่อย่างน้อยเป็นการเตรียมการไว้ก่อนจะถูกแฮก และจะช่วยลดความเสียหายที่จะเกิดขึ้น
