CASE:
When Hackers turn to Blackmail
เมื่อ 5 ปีก่อน Paul Layman CEO ของโรงพยาบาล Sunnylake มีวิสัยทัศน์ที่จะนำ Cutting-Edge Technology มาใช้ โดยทางโรงพยาบาลต้องเปลี่ยนแปลงสิ่งทำอยู่ในปัจจุบันและขั้นตอนการทำงานใหม่ หมด หนึ่งในนั้นก็คือ การเปลี่ยนจากการบันทึกข้อมูลลงกระดาษเป็น Electronic Medical Records (EMRs) ซึ่งช่วยเพิ่มคุณภาพในการรักษาผู้ป่วย และPaul ได้ตัดสินใจจ้าง Jacob Dales มาเป็นผู้อำนวยการโรงพยาบาลฝ่าย IT แล้วทั้งคู่ก็ได้ตั้งใจทำงานเพื่อให้บรรลุตามวิสัยทัศน์ที่ตั้งไว้ ซึ่งระบบ IT ของโรงพยาบาล ได้ออกแบบโดยให้เฉพาะหมอ, พยาบาล และAdmin ที่มีความจำเป็นจะต้องใช้ข้อมูล สามารถเข้าไปดูข้อมูลผู้ป่วยได้
ต่อมามีจดหมายฉบับหนึ่งมาถึงโรงพยาบาล กล่าวว่า “ระบบรักษาความปลอดภัยของ Network ในโรงพยาบาลนั้นแย่มาก แต่ถ้าคุณยอมจ่ายเงิน 1 แสนเหรียญ เราจะไม่ Hack ข้อมูลในระบบของคุณ” ซึ่ง Paul ไม่ได้สนใจ หลังจากนั้นสิ่งที่คุณหมอพบคือที่อุปกรณ์ของพนักงานเหล่านั้น ก็ขึ้นเป็นข้อความเดียวกันว่า Access Denied
สรุป
โรงพยาบาลเปลี่ยนแปลงการเก็บข้อมูลจากกระดาษเป็นระบบ electronic ใช้เวลาประมาน 3 ปี ต่อมาเมื่อเห็นประโยชน์จากการใช้ จึงทำให้มีการใช้ระบบนี้แบบ 100% Paperless
ปัญหา Account ของผู้ใช้ระบบ IT ของโรงพยาบาลถูกขโมยไป โดย hacker ต้องการ Account ที่เป็น Admin โดย Hacker เข้าไป control ระบบของโรงพยาบาลไว้ทั้งหมด แล้วส่ง email มาถึงผู้บริหารโรงพยาบาลว่าระบบจะถูก hack ถ้าไม่จ่ายเงิน 100000 เหรียญ
Alternative
1.จ่ายค่าไถ่ให้กับ hacker
ข้อดี : สามารถช่วยชีวิตคนไข้ไว้ได้
2. พยายามตามหาคนทำผิดพร้อมกันทำการกู้ระบบคืนมา
ข้อดี : ไม่ต้องจ่ายเงิน แต่อาจต้องแลกกับชีวิตคนไข้
3. แจ้งเจ้าหน้าที่ตำรวจ
ข้อดี : ถ้าข่าวรั่ว จะส่งผลกับความเชื่อมั่นต่อผู้ที่จะเข้ามาใช้บริการ
ตามสถิติ : โดยทั่วไป พยายามตามหาตัวคนร้ายเอง เพราะไม่อยากให้ข่าวมันเเพร่ออกไป
ประเด็นทางกฏหมาย : CASE นี้เกี่ยวข้องกับมาตรา๕, มาตรา๙,มาตรา๑o
ข้อเสนอจากบุคคล 3 ท่าน
Per Gullestrup
- เขาได้สรุปว่า โรงพยาบาลควรจ่ายเงินให้กับ Hacker
- เพื่อป้องกันผู้ป่วยฟ้องร้อง ซึ่งจะทำให้เกิดหนี้จำนวนมาก
- เขาเสนอว่า ควรจะจ้างนักการฑูตมาเจรจา และในระหว่างนี้ ก็พยายามหาทางแก้ระบบไปด้วย และเมื่อแก้ได้แล้ว ก็ต้องนำระบบรักษาความปลอดภัยมาใช้ เพื่อลดโอกาสเกิดเหตุซ้ำสอง
Richard L.Nolan
- Paul ไม่ควรปล่อยปะละเลยกับภัยคุกคามทาง IT (Paul ลบเมลล์ทิ้งโดยไม่สนใจ)
- โรงพยาบาลควรมีระบบสำรอง เพื่อสามารถให้บริการผู้ป่วยได้อย่างต่อเนื่อง
- แพทย์และพยาบาล ต้องสามารถทำงานได้โดยไม่พึ่ง IT
- Paul ไม่ควรยอมรับข้อเสนอของ Hacker
- เขามองว่า ถ้าจ่ายเงินให้ Hacker ไปแล้ว ไม่มีอะไรรับประกันว่า จะไม่เกิดเหตุการณ์เช่นนี้ขึ้นอีก
Peter R.Stephenson
- ควรพัฒนาระบบ firewall กับ malware ให้ดีมากขึ้น
- ถ้า Paul ให้ความสำคัญกับ E-mail ฉบับนั้น เขาก็จะสามารถแจ้งให้แผนก IT ทราบ แผนก IT ก็จะทำการปิดระบบ Hacker ก็ทำอะไรไม่ได้
- Jacob และลูกทีมจะต้องเช็ค log ของระบบเพื่อจะหาว่ามีการเปลี่ยนแปลงเกิดขึ้นหรือไม่ ถ้าสามารถตอบสนองได้อย่างทันท่วงที พวกเขาก็จะสามารถป้องกัน second e-mail หรือการโจมตีที่เกิดขึ้นได้
ความเห็นของทางกลุ่มที่นำเสนอ
ในระยะสั้น : เมื่อระบบโดนเฮคแล้ว น่าจะจ่ายครึ่งนึงก่อน แล้วต่อรองให้เปิดระบบ แล้วแจ้งตำรวจ
ในระยะยาว : ทำการออกแบบระบบใหม่, มีการป้องกันข้อมูล, มีการback up ข้อมูลที่ค่อนข้างถี่
CASE:
iPremier
iPremier เปิดเว็บไซต์ขายสินค้าที่หายาก แต่มีราคาไม่แพงบนอินเทอร์เน็ต โดยลูกค้าสามารถใช้บัตรเครดิตชำระเงินได้ทันที ในช่วงที่เปิดตัวยังไม่มีคู่แข่งมากนัก ทำให้ iPremier ประสบความสำเร็จมาก แต่เนื่องจากต้องการผลกำไรสูงสุด ทำให้ iPremier ขาดความสนใจในการรักษาความปลอดภัยของเว็บไซต์ เป็นผลให้ถูกโจมตีได้โดยง่าย
ปัญหา
เกิดการโจมตีแบบ Distributed Denial of Service (DDoS) ที่หมายถึง การโจมตี Server โดยที่มีจุดประสงค์ทำให้ Server ผู้ให้บริการไม่สามารถให้บริการได้ (ปฏิเสธการให้บริการนั่นเอง) มักจะนำเครื่องมือที่จะใช้ในการโจมตีไปติดตั้งบนเครื่องที่ถูกเจาะไว้แล้ว ซึ่งมีจำนวนพอสมควร จากนั้นจึงจะระดมส่งข้อมูลในรูปแบบที่ควบคุมได้โดยผู้ควบคุมการโจมตีไปยัง เหยื่อหรือเป้าหมายที่ต้องการ ซึ่งการโจมตีรูปแบบนี้มักจะก่อให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่จนผู้ อื่นไม่สามารถใช้งานได้ตามปกติ หรือทำให้ระบบที่ถูกโจมตีไม่มีทรัพยากรเหลือพอที่จะให้บริการผู้ใช้ธรรมดาได้ โดยปัญหาทั้งหมดที่เกิดขึ้นกินเวลาทั้งหมด 75 นาที
ปัญหาที่เกิดขึ้นมีสาเหตุมาจาก
iPremier ขาดกระบวนการรับมือกับการโจมตี/บุกรุก
- ขาด Emergency operation procedure (ผู้ที่ประสบเหตุ ไม่รู้ว่าจะต้องปฏิบัติอย่างไร)
- ขาดการกำหนด Security policy
- ขาดระบบการประสานงานที่ดีกับ Qdata
- จะเห็นว่า Bob และ Joanne เองไม่สามารถเคลียร์กับเจ้าหน้าที่ของ Qdata เมื่อเกิดเหตุได้ (ต้องให้ CEO ออกโรงเอง)
นอกจากนี้ยังขาดกระบวนการในการสื่อสารเมื่อเกิดเหตุการณ์ถูกโจมตี
- การสื่อสารภายใน คือ การสื่อสารระหว่างฝ่ายต่างๆ
- การสื่อสารภายนอก คือ ลูกค้า, ผู้ลงทุน, สื่อสารมวลชน
ปัญหาทางด้านบริหาร
1. การนำชื่อของบริษัทไปเล่นเกมส์
2. การตัดสินใจที่ไม่เด็ดขาดของ CIO
3. ขาดการให้ความสำคัญทางด้านIT , ความปลอดภัย
4. ผู้บริหารไม่ต้องการให้ตำรวจทราบเรื่องที่เกิดขึ้น
5. ผู้ที่เกี่ยวข้องไม่ทราบว่าปัญหาเกิดจากการโจมตีรูปแบบใด และไม่รู้ว่าข้อมูลบัตรเครดิตถูกโจมตีไปหรือไม่
ปัญหา
ถ้าเป็นผู้บริหารใน iPremier จะแก้ไขปัญหาที่เกิดขึ้นอย่างไร
Alternative :
1. ปล่อยให้ hacker เข้ามาก่อน แล้วติดตามคนทำผิด
2. ถอดปลั๊ก server ทิ้ง
ทางกลุ่ม : เห็นความควรที่จะถอดปลั๊ก เพราะควรจะรักษาข้อมูลของลูกค้าเอาไว้ก่อน และเราไม่ทราบว่าการโจมตีนี้เป็นการโจมตีรูปแบบใด
การแก้ปัญหาของผู้บริหาร
ทำให้ทางผู้บริหารได้ทำการแก้ไขปัญหากันที่ปลายเหตุ และไม่มีการเตรียมการหรือป้องกันเหตุการณ์เช่นนี้ไว้ล่วงหน้าโดย ดังนี้
- เมื่อปัญหาเกิดขึ้นทางผู้บริหารได้เข้าใจผิดว่ามี Hacker เพื่อเข้ามาขโมยข้อมูลบัตรเครดิตของลูกค้า จึงได้พยายามที่จะรีเซ็ตเซิร์ฟเวอร์ใหม่แต่ก็ยังมีปัญหาเช่นเดิมอยู่
- ทาง CEO ต้องการให้ดึงปลั๊กหรือดับเซิร์ฟเวอร์เพื่อป้องกัน Hacker เจาะถึงระบบ แต่การทำเช่นนี้จะทำให้ไม่สามารถตามหาตัวผู้กระทำผิดหรือจับมือใครดมไม่ได้
- ปัญหาที่เกิดขึ้นก็หายไปเอง โดยยังไม่ได้แก้ปัญหาใดๆ แต่สามารถหาสาเหตุของปัญหาได้ว่าเกิดจากการโจมตีแบบ DOS ซึ่งเหตุการณ์เช่นนี้อาจจะซ้ำได้อีก
ข้อดี-ข้อเสียของการแก้ปัญหาของผู้บริหาร
ข้อดี
- มีสติต่อสิ่งที่เกิดขึ้นรวบรวมข้อมูลที่เกิดขึ้นทั้งหมด ไม่ทำอะไรโดยรีบเร่ง
- มีการติดสินใจแก้ไขปัญหาโดยพิจารณาผลที่จะตามมาอย่างรอบคอบ
- รับฟังความคิดเห็นของผู้อื่น และรู้จักขอคำปรึกษาจากผู้ที่มีความชำนาญ มีการวางแผนที่จะทำในอนาคต
- มีสติในการแก้ไขปัญหาต่างๆ
ข้อเสีย
- สื่อสารกันทางโทรศัพท์อาจทำให้เกิดการผิดพลาดในการสื่อสารข้อมูล
- การแก้ปัญหาเฉพาะหน้าแล้วไม่ได้อยู่ในที่เกิดเหตุ อาจทำให้แก้ไขปัญหาได้ไม่ดีพอ
- รอคอยข้อมูลจากผู้อื่นทำให้ได้ข้อมูลที่ล่าช้า ไม่มีการกระจายข้อมูลและการสั่งการในฐานะหัวหน้า
- การติดต่อขอความร่วมมือและช่วยเหลือจากฝ่ายสนับสนุนยังไม่ดี
สิ่งที่ทำได้ต่างจากผู้บริหาร
- รีบกระจายปัญหาให้ทุกๆคนที่มีส่วนเกี่ยวข้องทางด้าน technical ทั้งภายในและภายนอกองค์กรรับทราบ
- ให้ช่วยกันลงมือปฏิบัติหาสาเหตุและแนวทางการแก้ไขเป็นทีม แทนที่จะรอพึ่งผู้ใดเพียงผู้เดียว
- ควรมีการรายงานปัญหาต่อหัวหน้าหรือผู้บริหารในระดับสูง เพื่อขอรับความช่วยเหลือและการสนับสนุนเพิ่มเติม
ผลกระทบหรือสิ่งที่ต้องกังวลหลังจากเกิดปัญหานี้ขึ้น
ผู้ที่ได้รับผลกระทบ : ลูกค้า, บริษัทiPremier, ผู้จัดการธุรกิจของiPremier, Qdata, พนักงานในฝ่ายบริหารและด้านเทคนิค
สิ่งที่ต้องกังวลหลังจากเกิดปัญหาขึ้น : เมื่อการโจมตีสิ้นสุดลง จะเกิดการโจมตีซ้ำขึ้นอีกหรือไม่ ก่อนทีระบบคอมพิวเตอร์ และระบบงานด้าน Security จะได้รับการอัพเดตหรือแก้ไข หากการโจมตีเกิดขึ้นอีก iPremier อาจร้ายแรงถึงขั้นต้องปิดกิจการได้ และใครจะอธิบายให้ลูกค้าเข้าใจว่าเกิดอะไรขึ้น และความเชื่อมั่นของลูกค้าที่มีต่อ iPremier จะได้รับการฟื้นฟูให้ดีดังเดิมอย่างไร เพราะ Bob ยังอยู่ที่ New York แต่ลูกค้าคงต้องการคำอธิบายจากผู้เกี่ยวข้องเร็วที่สุด ส่วนด้านความเสียหายด้านธุรกิจที่ลูกค้าได้รับ iPremier ตวรชดเชยให้ลูกค้าพึงพอใจ เพราะลูกค้าอาจรู้สึกว่าเสียหายรุนแรง เกินกว่าความเป็นจริงที่เกิดขึ้น อาจจะฟ้องร้องกันได้
ข้อเสนอแนะสำหรับ iPremier
ระยะสั้น
- หาบุคลาการที่เชี่ยวชาญมาดูแล
- เตรียมรับมือการโจมตีซ้ำ โดยนัดประชุมด่วนร่วมกับ Qdata เพื่อหามาตรการป้องกันปัญหา
- อบรมเร่งด่วนให้พนักงานที่ดูแลด้านระบบความปลอดภัย
- Update ความปลอดภัยของข้อมูล
- ป้องกันการปลอมแปลง IP และออกข้อมูลการแก้ปัญหาฉุกเฉิน
- ทำการปิด port ที่ไม่เกี่ยวข้องกับการทำงานในบริษัท
- ออกคู่มือการทำงานแบบฉุกเฉิน แจกจ่าย และให้ปฏิบัติแก้ไขเมื่อมีปัญหาเกิดขึ้น
ระยะยาว
- อาจลงทุนด้านระบบรักษาความปลอดภัยเอง เพราะเป็นความเสี่ยงต่อกิจการ
- เปลี่ยนไปใช้บริการของรายอื่น หรือยังใช้บริการของ Qdata แต่ต้องมีการให้บริการที่ดีขึ้น
- ปรับปรุงระบบการจัดการด้านความปลอดภัยใหม่
- สร้างระบบสำรองทั้งเครือข่ายและเครื่องให้บริการ
- ประเมินผลบริษัท Qdata อย่างสม่ำเสมอ
- เพิ่มช่องทางการชำระเงิน เช่น โอนผ่าน Payapl
ประเด็นกฎหมายที่เกี่ยวข้อง : มาตรา๕ , มาตรา๗ , มาตรา๙ , มาตรา๑๐ , มาตรา๑๒
บทเรียนที่ได้จาการศึกษา
1. ควรให้ความสำคัญในเรื่องความปลอดภัยของระบบ
2 กฎหมายไม่สามารถเอาผิดผู้กระทำความผิดได้
3. มีการประสานงานกันระหว่างพนักงานด้วยกันเอง
