อย่างที่ทุกท่านทราบดี โรงพยาบาลและหน่วยงานสาธารณสุขในปัจจุบันเริ่มตกเป็นเป้าหมายของ Ransomware มากขึ้นเรื่อยๆ เนื่องจากแฮ็คเกอร์ใช้ชีวิตคนไข้เป็นตัวประกัน ส่งผลให้โรงพยาบาลเหล่านั้นจำเป็นต้องจ่ายค่าไถ่แทบจะทันทีเพื่อแลกกับการปกป้องชีวิตคนไข้ ทาง Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลกจึงได้เสนอเทคนิคสำหรับช่วยลดผลกระทบและป้องกัน Ransomware มาทั้งหมด 8 ข้อ ดังนี้

 

1. พัฒนาและจัดการแผนสำหรับสร้างความตระหนักรู้ให้แก่ผู้ใช้

ประสิทธิภาพ: สูง
ประเภท: ลดผลกระทบ

  • ยิ่งเราทำให้ผู้ใช้ เช่น หมอ พยาบาล พนักงานในโรงพยาบาลมีความรู้ความเข้าใจเกี่ยวกับ Cyber Security มากเท่าไหร่ ยิ่งทำให้เกิดเหตุการณ์ Ransomware โจมตีลดลงได้มากเท่านั้น
  • การอบรมอย่างเดียวอาจไม่เพียงพอ ควรทำควบคู่ไปกับการซ้อมรับมือเหตุการณ์จริง เช่น Phishing Exercise ซึ่งจะช่วยให้ผู้ใช้สามารถรับมือกับ Ransomware ได้อย่างเป็นระบบและถูกวิธี

2. ทบทวนและยืนยันกระบวนการสำรองข้อมูล

ประสิทธิภาพ: สูง
ประเภท: ลดผลกระทบ

  • บางองค์กรไม่ตระหนักว่าระบบสำรองข้อมูลของตนมีช่องโหว่หรือตั้งค่าไม่เหมาะสมจนสายเกินไป จึงต้องมีการตรวจสอบและทบทวนให้ดี
  • เริ่มต้นที่ File Server ที่เป็นศูนย์รวมไฟล์ข้อมูลสำคัญของโรงพยาบาล
  • ต้องมั่นใจว่าผู้ใช้ทั่วไปและผู้ป่วยไม่สามารถเข้าถึงข้อมูลสำรองได้ และมีการกำหนดสิทธิ์ในการเข้าถึงเท่าที่จำเป็น
  • ทดสอบระบบสำรองข้อมูลเป็นระยะๆ เพื่อตรวจสอบว่าสามารถกู้คืนข้อมูลได้อย่างถูกต้อง

3. ตรวจสอบสิทธิ์การใช้ Network Drive เพื่อลดผลกระทบที่อาจเกิดจากผู้ใช้ให้ได้มากที่สุด

ประสิทธิภาพ: ปานกลาง
ประเภท: ลดผลกระทบ

  • ตรวจสอบสิทธิ์ของผู้ใช้ปลายทาง – ประเมินสิทธิ์ที่ผู้ใช้แต่ละคนพึงมีบน Network Drive ภายใต้แนวคิด Least Privilege
  • ตรวจสอบสิทธิ์ของผู้ดูแลระบบ – ตรวจสอบสิทธิ์ของผู้ดูแลระบบแต่ละคนให้มีความเหมาะสม รวมถึงแยก Account ที่ใช้งานปกติออกจาก Account ที่มีสิทธิ์สูงสุด และใช้งาน Account ที่มีสิทธิ์สูงเฉพาะงานที่จำเป็นต้องใช้เท่านั้น นอกจากนี้ควรจำกัดสิทธิ์ในการรับอีเมลของ Account ผู้ดูแลระบบ เพื่อป้องกันไม่ให้เผลอเปิดไฟล์ที่มีมัลแวร์แฝงตัวอยู่

4. ยกเลิกการใช้สคริปต์ Macro บน MS Office ผ่านทาง AD Group Policy

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • Microsoft ระบุว่า 98% ของภัยคุกคามที่โจมตีออฟฟิสจะมาทาง Macro การยกเลิกการใช้สคริปต์ Macro บน MS Office ช่วยหยุด Ransomware บางชนิด เช่น Locky ได้
  • ส่วนใหญ่แล้ว Macro ไม่จำเป็นต่อการใช้งานบน PC ของโรงพยาบาล ให้เลือกใช้งาน Macro เฉพาะบางแผนกหรือบางคนเท่านั้น

5. ทบทวนกระบวนการบริหารจากการแพทช์

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • หลายโรงพยาบาลมีปัญหากับการอัพเดทแพทช์ล่าสุดในระยะเวลา 30 วัน โดยเฉพาะจาก Microsoft Patch Tuesday
  • ทบทวนกระบวนการอัพเดทแพทช์ และจัดการกับสิ่งกีดขวางที่ทำให้กระบวนการอัพเดทเป็นไปได้อย่างล่าช้า
  • พิจารณาการติดตั้ง Advanced Endpoint Protection ที่ช่วยป้องกันการเจาะระบบผ่านช่องโหว่ที่ยังไม่ได้แพทช์

6. ประเมินระบบป้องกันมัลแวร์และสแปม

ประสิทธิภาพ: ปานกลาง
ประเภท: ป้องกัน

ตรวจสอบให้มั่นใจว่ามีการบล็อกอีเมลตามคำแนะนำของ Vendor เช่น บล็อก Executable ในไฟล์แนบ เป็นต้น

7. ติดตั้ง Next-generation Firewall เพื่อปกป้องระบบเครือข่ายของโรงพยาบาล

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • ตั้งค่าให้ Firewall บล็อกภัยคุกคามตามฐานข้อมูลที่มีการอัพเดทล่าสุดอย่างสม่ำเสมอ
  • ตรวจสอบว่า Firewall มีคุณสมบัติการทำ Sandboxing เพื่อช่วยตรวจับ Unknown Threats ก่อนที่ภัยคุกคามนั้นจะเข้าถึงเครื่องปลายทาง
  • ตั้งค่า Firewall/Proxy ให้สอบถามผู้ใช้เพื่อยืนยันการเข้าถึงเว็บไซต์ที่ไม่ถูกจัดหมวดหมู่ (Uncategorized Websites) เช่น กดปุ่ม Proceed ก่อน จึงจะเข้าถึงเว็บไซต์ได้ เนื่องจากเว็บไซต์ที่ไม่ถูกจัดหมวดหมู่เหล่านี้มักจะเป็นเว็บ Phishing สำหรับใช้กระจายมัลแวร์

8. ติดตั้งระบบ Advanced Endpoint Protection เพื่อปกป้องเครื่องปลายทาง

ประสิทธิภาพ: สูง
ประเภท: ป้องกัน

  • โปรแกรม Antivirus ทั่วไปไม่สามารถป้องกัน Advanced Malware เช่น Ransomware ได้ จำเป็นต้องหาโซลูชัน Endpoint Protection แบบใหม่ ที่มีความสามารถในการหยุดยั้งกระบวนการโจมตี (Cyber Kill Chain) แทนที่จะตรวจสอบเฉพาะ Signature เพียงอย่างเดียว
  • Whitelisting เป็นหนึ่งในวิธีที่เหมาะสำหรับรับมือกับภัยคุกคาม แต่โรงพยาบาลส่วนใหญ่จำเป็นต้องอนุญาตให้ใช้งานหลายร้อยแอพพลิเคชัน จึงอาจเป็นเรื่องยากสำหรับฝ่าย IT ในการบริหารจัดการ Whitelist ที่มีอยู่ ระบบตรวจจับมัลแวร์แบบ Behavior-based อาจเป็นวิธีที่มีประสิทธิภาพมากกว่า รวมทั้งยังไม่กินทรัพยากรเครื่องปลายทางมากนัก

เทคนิคในการป้องกัน Ransomware เหล่านี้มีตั้งแต่เทคนิคทั่วไป จนไปถึงเทคนิคระดับสูง บางเทคนิคจำเป็นต้องอาศัยฮาร์ดแวร์หรือซอฟต์แวร์ที่มีราคาแพง แต่ทุกเทคนิคต่างแนะนำให้โรงพยาบาลและหน่วยงานสาธารณสุขนำไปใช้ ยิ่งสามารถปฏิบัติตามเทคนิคเหล่านี้ได้มากเท่าไหร่ ย่อมลดความเสี่ยงในการถูก Ransomware โจมตีมากขึ้นเท่านั้น

ที่มา: http://researchcenter.paloaltonetworks.com/2016/05/tips-to-prevent-ransomware-in-healthcare-environments/