เมื่อสภาสาธาณสุขสหรัฐฯ ประกาศแผนยุทธศาสตร์ต้านภัยคุกคามทางไซเบอร์
ในสถานการณ์ปัจจุบัน โรงพยาบาลและหน่วยงานสาธารณสุขในประเทศสหรัฐอเมริกาและทั่วโลกต่างถูกภัยทางไซเบอร์คุกคามอย่างหนักหน่วง สืบเนื่องจากนวัตกรรมทางเทคโนโลยีพร้อมการบริการทางสาธารณสุขที่ทันสมัย ทำให้เกิดการขยายตัวของ Attack Surface และช่องโหว่ทางไซเบอร์อย่างทวีคูณ ซึ่งในปี 2566 โรงพยาบาลตกเป็นเป้าหมายของ Ransomware ราว 141 แห่ง โดยถูกเรียกค่าไถ่เฉลี่ยอยู่ที่่ 1.5 ล้านดอลลาร์ และมีปริมาณการละเมิดข้อมูลด้านสาธารณสุขที่สำคัญสูงสุดเป็นประวัติการณ์เกือบ 740 ครั้งต่อปี
ส่งผลกระทบต่อบุคลากรและผู้รับบริการมากกว่า 136 ล้านคน อีกทั้งโรงพยาบาลบางแห่งมีบุคลากรไม่เพียงพอขาดการเรียนรู้และพัฒนาด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง ยิ่งเป็นการซ้ำเติมให้ความร้ายแรงทางไซเบอร์ในระบบสาธารณสุขตกอยู่ในสภาวะวิกฤตอย่างรุนแรง
ด้วยเหตุนี้ สภาสาธารณสุขแห่งประเทศสหรัฐอเมริกา (HCH) ได้ประกาศแผนยุทธศาสตร์ ในการต่อสู้กับภัยคุกคามทางไซเบอร์สำหรับโรงพยาบาลและองค์กรสาธารณสุข โดยได้กำหนดเป้าหมายเน้นเรื่อง “ความปลอดภัยทางไซเบอร์ระดับสูง" ที่สามารถนำวัตถุประสงค์ที่วัดผลได้ไปใช้โดยเฉพาะ เพื่อยกระดับความปลอดภัยทางไซเบอร์จากภาวะ "วิกฤต" ให้เป็น "สภาวะที่มั่นคง"
โดยวัตถุประสงค์นี้ครอบคลุมไปถึง การเพิ่มแนวทางปฏิบัติและทรัพยากรด้านความปลอดภัยทางไซเบอร์ ดังเช่น แนวปฏิบัติของแพทย์และองค์กรสาธารณสุขขนาดย่อม การพัฒนากลยุทธ์การบริหารความเสี่ยงของผู้มีส่วนเกี่ยวข้อง รวมถึงการนำระบบ Automation และเทคโนโลยีใหม่ๆ เช่น AI มาใช้เพื่อขับเคลื่อนประสิทธิภาพการรักษาความปลอดภัยทางไซเบอร์ในระบบสาธารณสุข
ซึ่งเป้าหมายแผนยุทธศาสตร์ของสภาฯ กำหนดไว้ว่าภายในปี 2572 มาตรการความปลอดภัยทางไซเบอร์จะเป็นหลักปฏิบัติด้านสาธารณสุขและความปลอดภัยของผู้ป่วยโดยอัตโนมัติ ตามมาตรฐานความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ
บริบทความปลอดภัยทางไซเบอร์ในระบบสาธารณสุขไทย
สถานการณ์ความปลอดภัยของระบบสาธารณสุขไทยในรอบ 4 ปีที่ผ่านมา ถือว่าเป็นช่วงการเปลี่ยนผ่านในการปรับตัวภายใต้สถานการณ์ COVID-19 เราได้ถูกภัยคุกคามทางไซเบอร์โจมตีจากการจารกรรมข้อมูล ทำให้มีข้อมูลที่มีความละเอียดอ่อนสูงรั่วไหลมากกว่า 55 ล้านราย ซึ่งอาจนำไปสู่การขยายผลสู่การเกิดอาชญากรรมทางไซเบอร์อื่นๆ ต่ออีก ตั้งแต่การนำข้อมูลไปทำการหลอกลวงประชาชน (Scammer) แม้กระทั่งถูกนำไปขายกับกลุ่มมิจฉาชีพเพื่อการข่มขู่บุคคลหรือนำไปสู่การแฮคครั้งต่อไปที่เสียหายหนักยิ่งกว่า
การพัฒนานโยบายความปลอดภัยทางไซเบอร์ด้านสาธารณสุขไทย
เดิมทีหากเกิดเหตุการณ์กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) จะมีหน้าที่กำกับดูแล แต่เนื่องจากข้อมูลด้านสุขภาพมีความละเอียดอ่อนและอ่อนไหวเป็นอย่างมาก หากให้ DES ดูแลระบบสาธารณสุขทั่วประเทศเพียงลำพังอาจตอบสนองไม่ทันเวลา อีกทั้งผลกระทบด้านสาธารณสุขหลังจากถูกโจมตีหลายครั้ง
ทำให้กระทรวงสาธารณสุขจัดตั้งศูนย์เฝ้าระวังมั่นคงปลอดภัยทางไซเบอร์ ด้านสุขภาพ เพื่อ Monitor หน่วยงานทั้งจากของกระทรวงสาธารณสุขเอง และโรงพยาบาลอื่นๆ ตลอดเวลา รวมทั้งตั้งหน่วยงานเพื่อตอบโต้เหตุการณ์ฉุกเฉินโดยเชื่อมโยงกับศูนย์มั่นคงปลอดภัยทางไซเบอร์แห่งชาติ ซึ่งในปัจจุบัน
กระทรวงสาธารณสุขได้ออกกฏและนโยบาย เพื่อป้องกันเหตุการณ์ทางไซเบอร์ ได้แก่
1) ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. 2564
2) นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของกระทรวงสาธารณสุข พ.ศ. 2565
3) ระเบียบกระทรวงสาธารณสุข ว่าด้วยระบบคลังข้อมูลด้านสาธารณสุข พ.ศ. 2566
4) มาตรการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2566
ซึ่งระเบียบมาตรการดังกล่าวโดยสรุป ได้แบ่งมาตรการออกเป็น 3 ระดับ คือ
1) มาตรการระดับประเทศ: โดยร่วมมือกับหน่วยงานที่เกี่ยวข้อง รวมถึงสนับสนุนนโยบายระดับประเทศเพื่อแก้ไขปัญหาด้านความมั่นคงปลอดภัยทางไซเบอร์
2)มาตรการจากส่วนกลาง: โดยการจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Thai Cert) ทำหน้าที่กำกับดูแลเว็บไซต์และโดเมนที่อยู่ในระบบสาธารณสุขทั้งหมด เพื่อทำการเฝ้าระวังภัยคุกคามทางไซเบอร์ พร้อมทั้งตรวจจับความผิดปกติและดำเนินการปิดช่องโหว่ทันที ภายใน 24 ชั่วโมง
3) มาตรการภายในหน่วยงาน: ให้หน่วยงานในสังกัดกระทรวงสาธารณสุข ดำเนินการตามแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. 2564 โดยเคร่งครัด อาทิ ทำการตรวจสอบปัจจัยตามรายการที่กำหนด และปิดช่องโหว่ทันทีหากตรวจพบ, กรณีการเผยแพร่ข้อมูลส่วนบุคคลจะต้องได้รับความเห็นชอบ (อย่างมีหลักฐาน) จากผู้บริหารสูงสุดของหน่วยงาน ฯลฯ
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
