เจาะลึกโรมาเนียรับมือการโจมตีทางไซเบอร์ครั้งใหญ่ในปี 2024 ได้อย่างไร ด้วยการใช้ปากกาและกระดาษในโรงพยาบาล

Surgeon Dr Oana Goidescu on shift at Buzău Hospital in blue scrubs. She has mid length black hair
คำบรรยายภาพ, โออานา กอยเดสคู ศัลยแพทย์กำลังเข้าเวรอยู่ตอนที่โรงพยาบาลของเธอถูกโจมตีทางไซเบอร์
    • Author, โจ ไทดี
    • Role, ผู้สื่อข่าวไซเบอร์
    • Reporting from, โรมาเนีย
  • Published
  • เวลาอ่าน: 6 นาที

เกิดอะไรขึ้นเมื่อสายโทรศัพท์ทีละสาย ๆ กำลังโทรเข้ามาเพิ่มขึ้นเรื่อย ๆ จากหลากหลายโรงพยาบาล พวกเขาพูดเป็นเสียงเดียวกันว่า เหล่าอาชญากรกำลังแพร่เชื้อมัลแวร์เข้าสู่เครือข่ายคอมพิวเตอร์ในการแฮกครั้งใหญ่ที่คุกคามชีวิตผู้คนนับไม่ถ้วน

ณ ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของบูคาเรสต์ (DNSC) เจ้าหน้าที่ทำได้แต่มองอย่างหมดหนทางขณะที่แฮกเกอร์แพร่กระจายไปทั่วโรมาเนียผ่านซอฟต์แวร์ทางการแพทย์ยอดนิยมชิ้นหนึ่ง

แดน ชิมเปียน หัวหน้าหน่วยงานไซเบอร์แห่งนี้ต้องตัดสินใจในสิ่งที่ยากลำบาก แต่นั่นเป็นทางเลือกเดียวที่เขามี

คำสั่งถูกสั่งการไปยังโรงพยาบาลกว่า 100 แห่ง ให้ตัดการเชื่อมต่ออินเทอร์เน็ตทันที

การโจมตีทางไซเบอร์ต่อโรงพยาบาลในโรมาเนียเมื่อเดือน ก.พ. 2024 ถือเป็นหนึ่งในเหตุการณ์ที่เลวร้ายที่สุดที่เคยเกิดขึ้นกับระบบสาธารณสุขทั่วโลก และเหตุการณ์เช่นนี้กำลังเกิดบ่อยครั้งขึ้นเรื่อย ๆ

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา หรือ เอฟบีไอ ระบุว่าตอนนี้ระบบสาธารณสุขกลายเป็นเป้าหมายอันดับหนึ่งในมิติที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญของประเทศ

การตัดการเชื่อมต่ออินเทอร์เน็ตของกว่า 100 โรงพยาบาลในโรมาเนียเป็นการหยุดยั้งปฏิบัติการของกลุ่มแฮกเกอร์ได้ และช่วยซื้อเวลาให้เจ้าหน้าที่ได้ตรวจสอบว่าการแฮกครั้งนี้เลวร้ายแค่ไหน

ทว่านั่นหมายถึงการตัดการเชื่อมต่อกับเครื่องมือ อีเมล หรือเว็บเบราว์เซอร์

Skip ได้รับความนิยมสูงสุด and continue reading
ได้รับความนิยมสูงสุด

End of ได้รับความนิยมสูงสุด

เหล่าบุคลากรทางการแพทย์ต้องหันมาใช้กระดาษและปากกา แก้ปัญหากันหน้างานเพื่อปกป้องผู้ป่วย ขณะที่ทีมไอทีเร่งแก้ไขสถานการณ์ และศูนย์รับมือภัยไซเบอร์แห่งชาติพยายามค้นหาว่าแฮกเกอร์เจาะระบบเข้ามาได้อย่างไร และจะหยุดยั้งพวกเขาได้อย่างไร

ปฏิบัติการตลอดสี่วันนับตั้งแต่วันที่ 10 ก.พ. 2024 ทั้งของเจ้าหน้าที่ไอทีและบรรดาแพทย์พยาบาล ได้รับการยกย่องอย่างกว้างขวาง

วิธีที่พวกเขารับมือและฝ่าฟันวิกฤตครั้งนี้กลายเป็นกรณีศึกษาสำหรับนักวางแผนรับมือภัยพิบัติในระดับนานาชาติ ขณะที่เจ้าหน้าที่ทั่วโลกต่างมองหาแนวทางรับมือกับเหตุการณ์แฮกโรงพยาบาลในวงกว้าง

Dan Cimpean - standing explaining things to reporter Joe Tidy. Cimpean has brown hair and is wearing an orange tie
คำบรรยายภาพ, ในฐานะหัวหน้าสำนักงานความมั่นคงปลอดภัยไซเบอร์แห่งโรมาเนีย แดน ชิมเปียน (ซ้าย) เป็นผู้รับผิดชอบในการประสานงานรับมือวิกฤตครั้งนี้

โออานา กอยเดสคู ศัลยแพทย์กำลังอยู่เวรที่โรงพยาบาลบูเซา ซึ่งตั้งอยู่ห่างจากกรุงบูคาเรสต์ไปทางตะวันออกเฉียงเหนือ 120 กิโลเมตร ตอนที่มีการแจ้งเตือนว่าผู้โจมตีได้เจาะระบบของบริษัทซอฟต์แวร์ อาร์เอสซี (RSC) ในกรุงบูคาเรสต์ และบุกเข้าสู่ระบบสารสนเทศทางการแพทย์ที่ใช้กันอย่างแพร่หลายชื่อว่า "ฮิปโปเครตีส" (Hippocrates)

"มันเป็นประสบการณ์ที่ไม่น่าอภิรมย์อย่างมาก เพราะเวชระเบียนอิเล็กทรอนิกส์ไม่ใช่แค่รายชื่อผู้ป่วย" เธอกล่าว "สำหรับผู้ป่วยแต่ละราย เราสั่งตรวจทางห้องปฏิบัติการ รังสีวิทยา ยา และเวชภัณฑ์ต่าง ๆ ข้อมูลนั้นหายไปทั้งหมด"

ฮิปโปเครตีส เป็นระบบที่แพทย์ พยาบาล และศัลยแพทย์ใช้บริหารจัดการทุกอย่าง ตั้งแต่การรับผู้ป่วยเข้ารักษา การจ่ายเงินเดือน การจัดการเภสัชกรรม ไปจนถึงผลการตรวจ

แฮกเกอร์ได้เริ่มแพร่มัลแวร์เรียกค่าไถ่ชื่อ "BackMyData" เข้าสู่โรงพยาบาลทั่วประเทศที่ใช้ระบบดังกล่าวอย่างเงียบ ๆ ไฟล์ข้อมูลถูกเข้ารหัสจนกลายเป็นข้อมูลที่อ่านไม่ออก พร้อมกับข้อเรียกร้องให้จ่ายค่าไถ่เป็นบิตคอยน์

เจ้าหน้าที่ของโรงพยาบาลเด็กปิเตชตี ทางตะวันตกเฉียงเหนือของกรุงบูคาเรสต์ เป็นกลุ่มแรกที่สังเกตเห็นความผิดปกติในเช้าวันอาทิตย์ ซึ่งเป็นวันถัดจากที่การโจมตีเริ่มขึ้น

เมื่อถึงรุ่งสางของวันจันทร์ โรงพยาบาลอีกหลายแห่งรายงานว่าระบบฮิปโปเครตีสล่ม

ขณะที่โรงพยาบาลต่าง ๆ ตัดการเชื่อมต่ออินเทอร์เน็ตออกไป ผู้เชี่ยวชาญด้านไซเบอร์ทำงานร่วมกับผู้พัฒนาระบบฮิปโปเครตีสอย่างใกล้ชิด เพื่อประเมินว่ามีระบบใดบ้างที่ถูกแฮก และขับไล่แฮกเกอร์ออกไป

แพทย์ในโรงพยาบาลต่าง ๆ รับมือด้วยการคิดหาวิธีสำรองเพื่อดูแลผู้ป่วยให้ต่อเนื่องจนกว่าระบบจะกลับมาใช้งานได้

"เมื่อเราเห็นว่าระบบจะไม่ได้รับการซ่อมแซมในเร็ว ๆ นี้ เราจึงพัฒนาวิธีการแบบออฟไลน์เพื่อให้สามารถลงทะเบียนผู้ป่วยได้ทุกราย" วลัด ปาอิช จากโรงพยาบาลคารอล ดาวิลา ในกรุงบูคาเรสต์กล่าว

"เราขอให้ห้องปฏิบัติการส่งผลตรวจมาในรูปกระดาษ เราใช้ Excel และเครื่องมือออฟไลน์อื่น ๆ เพื่อให้มั่นใจว่าการดูแลผู้ป่วยไม่ได้รับผลกระทบ"

แพทย์บางส่วนระบุว่าการหันกลับไปใช้ขั้นตอนแบบแอนะล็อกนั้นทำได้ไม่ยากนัก เนื่องจากโรมาเนียเพิ่งเปลี่ยนผ่านสู่ระบบดิจิทัลมาได้ไม่นาน

นักสืบสวนด้านไซเบอร์ทำงานตลอดคืนและพบว่ามีโรงพยาบาล 26 แห่งที่ติดมัลแวร์ BackMyData

Man with glasses sat in the cyber operations centre in front of computer
คำบรรยายภาพ, ในฐานะหัวหน้าฝ่ายสื่อสารของศูนย์ความมั่นคงไซเบอร์แห่งชาติ มิไฮ โรตาริอู มีหน้าที่อัปเดตข้อมูลแก่สื่อมวลชนอย่างสม่ำเสมอในระหว่างการโจมตี

ในวันรุ่งขึ้น โรงพยาบาลที่ไม่ถูกโจมตีสามารถกลับไปใช้งานอินเทอร์เน็ตได้ พร้อมกับระบบป้องกันเพิ่มเติม

DNSC กล่าวว่า ความสำเร็จส่วนหนึ่งมาจากการที่พวกเขาใช้สื่อเพื่อสื่อสารกับโรงพยาบาลและสาธารณชน

สารที่ส่งออกไปสู่สาธารณะคือให้เลี่ยงการมาโรงพยาบาลหากไม่จำเป็นจริง ๆ

ทว่าห้องพักคอยก็ยังเต็มไปด้วยผู้ป่วย และ ดร.กอยเดสคู กล่าวว่า ผู้ป่วยที่โกรธเกรี้ยวบางรายก็เลือกมาลงกับบุคลากรของโรงพยาบาล

"เราถูกถามว่า 'ถ้าเป็นแม่ของคุณบ้างหล่ะ' ก็ถูกที่พวกเขาจะโกรธ แต่เราพยายามอธิบายว่าเราไม่ได้เป็นคนทำผิด" เธอกล่าว

สารอีกข้อหนึ่งที่สำคัญคือการบอกกับโรงพยาบาลว่าพวกเขาไม่ควรติดต่อแฮกเกอร์เพื่อจ่ายเงินใด ๆ ทั้งสิ้น

A screenshot of many computer files with BACKMYDATA as the filename
คำบรรยายภาพ, ไฟล์ทั้งหมดถูกเปลี่ยนชื่อหลังจากมัลแวร์โจมตี และไม่สามารถใช้งานได้

แฮกเกอร์เรียกค่าไถ่เป็นเงินจำนวน 160,000 ยูโร (ประมาณ 6 ล้านบาท) ในรูปแบบบิตคอยน์ แต่ทางการตัดสินใจไม่ยอมจ่าย

ในขณะที่โรงพยาบาลบางแห่งยังคงออฟไลน์อยู่ ทีมไอทีต่างเร่งมือกู้คืนระบบจากข้อมูลสำรอง

โรงพยาบาลส่วนใหญ่มีสำเนาข้อมูลที่ค่อนข้างทันสมัย ซึ่งถือเป็นบทเรียนสำคัญ เพราะการสำรองข้อมูลอย่างสม่ำเสมอช่วยให้องค์กรฟื้นตัวได้เร็วขึ้น

ภายใน 5 วัน โรงพยาบาลส่วนใหญ่กลับมาเชื่อมต่อระบบออนไลน์และดำเนินการได้ใกล้เคียงปกติ โดยไม่มีรายงานผู้เสียชีวิตหรือผู้ป่วยได้รับอันตรายร้ายแรงแต่อย่างใด

ทว่ายังต้องใช้เวลาอีกหลายสัปดาห์หลังจากนั้น ก่อนที่กระบวนการบันทึกข้อมูลทั้งหมดที่จดไว้บนกระดาษระหว่างช่วงที่ระบบล่มจะเสร็จสมบูรณ์ และข้อมูลบางส่วนก็สูญหายไปอย่างถาวร

ตำรวจไม่ได้ให้ความเห็นใด ๆ เกี่ยวกับการสืบสวนว่าใครอยู่เบื้องหลังการโจมตีครั้งนี้

อย่างไรก็ตาม เมื่อปีที่แล้ว เว็บไซต์ของแก๊งแรนซัมแวร์ที่เชื่อมโยงกับ BackMyData ถูกปิดตัวลงในปฏิบัติการระหว่างประเทศ โดยมีชาวรัสเซีย 4 รายถูกจับกุมนอกประเทศรัสเซีย ซึ่งทางการรัสเซียไม่ให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายของฝั่งตะวันตก

ชิมเปียนกล่าวว่าการโจมตีลักษณะนี้สามารถเกิดขึ้นได้ทุกที่

"ยิ่งคุณมีเทคโนโลยีมากเท่าไหร่ ยิ่งถูกทำให้เป็นดิจิทัลมากเท่าไหร่ ความเสี่ยงก็ยิ่งสูงขึ้นเท่านั้น" เขากล่าว

เมื่อปีที่แล้ว บริการสุขภาพ NHS ของสหราชอาณาจักรยืนยันว่าการแฮกบริษัทตรวจเลือดแห่งหนึ่งซึ่งส่งผลกระทบต่อศูนย์การแพทย์ราว 10 กว่าแห่งในกรุงลอนดอน

นับเป็นกรณีแรกที่มีผู้ป่วยเสียชีวิตที่เชื่อมโยงกับการโจมตีทางไซเบอร์อย่างเป็นทางการ

ในช่วงเวลาเดียวกัน บริษัท เชนจ์ เฮลธ์แคร์ (Change Healthcare) ในสหรัฐอเมริกาถูกแฮก ส่งผลให้เกิดความวุ่นวายในวงกว้าง บริษัทจ่ายค่าไถ่ 22 ล้านดอลลาร์สหรัฐ (ประมาณ 770 ล้านบาท) ให้แก่แฮกเกอร์ และในช่วงปลายปีเดียวกัน แฮกเกอร์ยังสร้างความโกลาหลด้วยการโจมตีผู้ให้บริการด้านสุขภาพรายอื่นในสหรัฐฯ ที่ชื่อว่า แอสเซนชัน (Ascension) อีกด้วย

อลีนา บิซกา จากบริษัทความมั่นคงไซเบอร์บิตดีเฟนเดอร์ (Bitdefender) ซึ่งตั้งอยู่ในกรุงบูคาเรสต์ กล่าวว่าการโจมตีโรงพยาบาลนั้นดึงดูดใจอาชญากรที่พยายามสร้างความวุ่นวายเพื่อเงิน

"โรงพยาบาลให้บริการที่มีความสำคัญอย่างยิ่ง และอาชญากรคิดว่ายิ่งสร้างความวุ่นวายได้มากเท่าไหร่ โอกาสที่จะได้รับค่าไถ่ก็ยิ่งสูงขึ้นเท่านั้น" เธอกล่าว