แพทยสภาร่วมสำนักงานพัฒนารัฐบาลดิจิทัล และบ.ซิสโก้ จัดอบรมโรงพยาบาล บุคลากรทางการแพทย์ เพิ่มทักษะป้องกันปัญหาภัยคุกคามทางไซเบอร์ พร้อมเผยรายละเอียดภัยคุกคาม 6 ประเภทกับหน่วยงาน Healthcare ย้ำ! ต้องมีระบบยืนยันตัวตนเข้าถึงข้อมูลภายในองค์กร และระบบป้องกันเหนียวแน่น ที่สำคัญขอให้เลี่ยงใช้แอปฯสื่อสารแบบฟรีแชท
เมื่อวันที่ 7 ธ.ค.2565 ที่อาคารมหิตลาธิเบศร กระทรวงสาธารณสุข(สธ.) แพทยสภา ร่วมกับสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) และบริษัท ซิสโก้ ซีสเต็มส์ (ประเทศไทย) จำกัด แถลงความร่วมมือด้านวิชาการ “Awareness ด้าน Cyber แพทย์จะรับมือได้อย่างไร” โดย นพ.ธนกฤต จินตวร ผู้ช่วยเลขาธิการแพทยสภา กล่าวถึงที่มาของความร่วมมือครั้งนี้ ว่า ปัจจุบันหน่วยงานภาครัฐได้นำเทคโนโลยีสารสนเทศมาใช้พัฒนาและปรับปรุงระบบบริการมากขึ้น รวมทั้งหน่วยงานด้านสาธารณสุข โรงพยาบาลต่างๆ แต่แม้จะมีการใช้เทคโนโลยีดิจิทัล แต่ยังจำเป็นต้องได้รับการพัฒนาและสนับสนุนเทคโนโลยีดิจิทัลอีกจำนวนมาก เพื่อให้มีระบบป้องกันการถูกคุกคามทางไซเบอร์ แพทยสภามีหน้าที่สำคัญในการควบคุมผู้ประกอบวิชาชีพเวชกรรมให้ดำเนินการถูกต้องทางวิชาชีพ รวมถึงการสนับสนุนการเผยแพร่ข้อมูลความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งระบบสารสนเทศของรพ.เป็นเป้าหมายสำคัญของผู้ไม่หวังดีในการโจมตีข้อมูลต่างๆ เรื่องนี้สำคัญมาก จึงจำเป็นต้องมีการส่งเสริมและสนับสนุนระบบป้องกัน นำมาสู่การร่วมมือครั้งนี้
“ที่ผ่านมาสถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัลหรือสถาบัน TDGA ซึ่งเป็นสถาบันฝึกอบรมของรัฐภายใต้การดำเนินงานของสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) มีการอบรมยกระดับทักษะดิจิทัลให้กับหน่วยงานภาครัฐตั้งแต่ปี 2565 และปีนี้มีการขยายความร่วมมืออีกครั้ง โดยจัดหลักสูตรอีกครั้งให้แก่หน่วยงานด้านสาธารณสุข โรงพยาบาลต่างๆ เพื่อให้มีความรู้ในการปกป้องข้อมูลประชาชน ซึ่งจะช่วยสร้างความเชื่อมั่นให้แก่ผู้รับบริการ นอกจากนี้ สถาบันมหิตลาธิเบศร แพทยสภา กำลังจะเปิดหลักสูตรการพัฒนาทักษะดิจิทัลที่จำเป็นสำหรับผู้บริหารอีกด้วย โดยจะมีการประชาสัมพันธ์และแจ้งรายละเอียดต่อไป” นพ.ธนกฤต กล่าว
ผู้ช่วยเลขาธิการแพทยสภา กล่าวอีกว่า ทั้งนี้ แพทยสภายังจัดโครงการชวนหมอรู้ เพื่อให้บุคลากรทางการแพทย์ได้อัปเดตความรู้กัน ซึ่งพื้นฐานของเราคือ แพทย์ที่ดีต้องมีความรู้ที่ทันสมัยและนำไปปรับใช้ในสังคมได้ โดยเฉพาะความรู้ในการป้องกันภัยทางไซเบอร์
ด้านนายบูรฉัตร ประเสริฐสำราญ Cybersecurity Sales Specialist บริษัท ซิสโก้ ซีสเต็มส์ (ประเทศไทย) จำกัด กล่าวถึง cyber security ในระบบสถานพยาบาล ว่า จากข้อมูลที่ผ่านมาพบว่า ค่าความเสียหายของการโจมตีข้อมูลหน่วยงาน Healthcare เพิ่มขึ้นเรื่อยๆ และกลุ่มโรงพยาบาลถือเป็นกลุ่มเสี่ยงอันดับต้นๆ ในการถูกโจมตี ซึ่งสาเหตุที่แฮกเกอร์โจมตี เพราะข้อมูลมีมูลค่ามาก ทั้ง 1.ข้อมูลคนไข้ 2.ข้อมูลบุคลากรและอุปกรณ์ทางการแพทย์มีจำนวนมาก 3.อุปกรณ์หรือเทคโนโลยีที่หน่วยงาน หรือรพ.มีนั้นอาจไม่อัปเดต หรือมีไม่มากพอในการรับมือพวกนี้ นอกจากนี้ ยังมีปัจจัยอื่นๆ อีก เช่น 2 ปีที่ผ่านมาเจอโควิดหนัก หน่วยงานทำงานหนักมากสุดคือ หน่วยงานทางการแพทย์ เมื่อทำงานหนักอาจละเลยเรื่อง cyber security จนทำให้เกิดการโจมตีได้เช่นกัน
สำหรับภัยคุกคาม 6 ประเภทที่มักเกิดขึ้นในหน่วยงานทางการแพทย์และสาธารณสุข ประกอบด้วย
1.การมีข้อมูลอีเมล์ Phishing มาหลอกลวงว่ามาจากทางรพ. หรือจากหมอ ซึ่งมักจะเป็น SMS มาหลอก หรือลิงค์ข้อมูลให้เรากดเข้าไป ตรงนี้อันตรายและพบเจอมาก อย่างพวกคอลเซนเตอร์มาหลอกก็อยู่ในข่ายนี้ และที่ต้องระวังอีกอย่างคือ การใช้ฟรีแชทในโซเชียลมีเดีย เพราะแอปพลิเคชันพวกนี้ ส่งข้อมูลเร็วและตรวจสอบหรือป้องกันข้อมูลยาก ดังนั้น หากจะแชทข้อมูลควรเป็นช่องทางภายในรพ.ของตนเองดีกว่า อย่าใช้ฟรีแชท เพราะควบคุมยาก ที่ผ่านมามีข้อมูลหลุดมาแล้วเช่นกัน อย่างไรก็ตาม สิ่งสำคัญเมื่อมี SMS อะไรแปลกๆเข้ามา หรือโทรศัพท์เข้ามาขออย่าหลงเชื่อ อย่ากด ให้คิดก่อนว่าไม่ปกติ
2.ข้อมูลพวก Malware ปัจจุบันหน่วยงานหรือรพ. จะใช้เครื่องพีซี โน๊ตบุคที่ใช้ในหน่วยงาน ซึ่งใช้งานเป็นเครือข่ายทั้งหมดขององค์กร ดังนั้น หากเกิดมัลแวร์ขึ้นมาย่อมแพร่กระจายได้ จึงจำเป็นต้องมีระบบป้องกันมัลแวร์ต่างๆ สามารถรู้แหล่งที่มาได้เพื่อลบหรือสกัดได้ก่อนแพร่กระจาย
3.Ransomware อย่างโดนล็อกเครื่องพีซี หรือโน๊ตบุคที่ใช้อยู่ การมีระบบป้องกันมัลแวร์อย่างเดียวอาจไม่เพียงพอ เนื่องจากการทำงาน Ransomware เพราะมีการแลกเปลี่ยนกุญแจกับเครื่องเรา ให้สามารถเข้ามาเครื่องเราได้ ซึ่งหากเข้ามาแล้วจะป้องกันไม่ได้เลย สิ่งสำคัญต้องป้องกันตั้งแต่เริ่มต้น ตั้งแต่ยังไม่เข้ามาในตัวเครื่องที่เราใช้ โดยจะมีระบบในการบล็อกข้อมูลที่เราอาจเผลอไปกดลิงค์
4.Patient Data Theft หรือการขโมยข้อมูลส่วนบุคคล ประวัติคนไข้ เจอกันมาก และ 5.Insider Threat ภัยจากคนภายในของเราเอง โดยข้อมูลเหล่านี้จะมีส่วนหนึ่งจากคนภายในเราเอง ยกตัวอย่าง พยาบาลคนหนึ่งมีสิทธิ์เข้าระบบภายในขององค์กร ซึ่งก่อนจะเข้ามาอาจใส่แค่ข้อมูลยูสเซอร์ พาสเวิร์ด ก็สามารถเข้าดูข้อมูลได้แล้ว ดังนั้น เราต้องจัดระบบว่า สามารถเข้าดูข้อมูลได้แค่ไหน เพื่อป้องกันการเข้าถึงข้อมูลเพื่อประสงค์ร้ายได้ อย่างไรก็ตาม สิ่งสำคัญหน่วยงานต้องมีระบบ Zero Trust เพื่อตรวจสอบหรือยืนยันตัวตนบุคคลที่มีสิทธิ์เข้าถึงข้อมูลได้ก่อน เพื่อให้ทราบว่าบุคคลที่เข้าใช้ถูกต้องหรือไม่ มีสิทธิ์เข้าใช้ข้อมูลจริงหรือไม่ รวมถึงแอปพลิเคชันที่ใช้ปลอดภัยแค่ไหน
6.Hacked IOT Devices หรือการแฮกซ์ข้อมูลอุปกรณ์ไม่อัปเดต ดังนั้น ทางรพ.ควรมีการทำข้อมูล Zoning และProfiling ให้ถูกต้องและเหมาะสม เช่น อุปกรณ์ที่เป็น IOT ต้องอยู่โซนเดียวกัน และให้สิทธิ์การใช้งานไม่มากจนเกินไป
นายบูรฉัตร กล่าวว่า สิ่งที่ต้องทำเพื่อให้หน่วยงานปลอดภัยมากขึ้น อาทิ ระบบเครือข่ายที่ปลอดภัย ทุกองค์กรมีอยู่แล้ว แต่มีมากหรือน้อย ใช้มากแค่ไหน การป้องกันมัลแวร์ต่างๆ ต้องอัปเดตตลอด การใช้เซิร์ฟเวอร์ หรือแอปพลิเคชันต้องปลอดภัยจริงๆ ไม่ใช้ให้คนอื่นมาใช้งานแทนได้ เป็นต้น
ทั้งนี้ บุคลากรหรือโรงพยาบาลที่สนใจในการอบรมหลักสูตรข้อมูลต่างๆ สามารถติดต่อได้ที่แพทยสภา หรือทางบริษัทซิสโก้ ผ่าน https://www.facebook.com/ciscoth?mibextid=ZbWKwL
ผู้ที่สนใจรับชมข้อมูลเพิ่มเติมได้ที่ https://www.facebook.com/thaimedcouncil/videos/517699260307221
- 975 views