การรักษาความปลอดภัยการเข้าถึงระยะไกลสำหรับบุคลากรทางการแพทย์
หลักปฏิบัติสามข้อที่ควรพิจารณาเพื่อการปกป้องการปฏิบัติทางการแพทย์แบบผสมผสาน
ในช่วงไม่กี่ปีที่ผ่านมา องค์กรด้านการดูแลสุขภาพหลายแห่งได้จ้างพนักงานระยะไกลมากขึ้น แต่กลับประสบปัญหาในการอัปเดตระบบป้องกันไซเบอร์ซีเคียวรีตี้ให้ทันสมัยอยู่เสมอ พวกเขาต้องพึ่งพา "การแก้ไขปัญหา" ในระยะสั้นเพื่อปกป้องพนักงานแบบผสมผสานจากการโจมตีที่ทวีความรุนแรงมากขึ้น ท่ามกลางแรงกดดันทางการเงินและการขาดแคลนพนักงาน
ตัวอย่างเช่น ในช่วงการระบาดใหญ่ทั่วโลกเมื่อพนักงานเริ่มทำงานจากระยะไกลมากขึ้น คลินิกทางการแพทย์ 51% ใช้เงินไม่ถึง 5,000 ดอลลาร์ ในการจัดตั้งคลินิกแบบผสมผสานหรือแบบระยะไกล ตัวอย่างไซเบอร์ซีเคียวรีตี้ของการดูแลสุขภาพทั่วไป ได้แก่ การปรับใช้เครือข่า��ยส่วนตัวเสมือน (VPN)มากขึ้นพร้อมย้ายแอปพลิเคชันบางตัว (แต่ไม่ใช่ฟังก์ชันความปลอดภัยทั้งหมด) ไปไว้ที่คลาวด์
แต่การแก้ไขปัญหาในระยะสั้นดังกล่าวทำให้ องค์กรด้านการดูแลสุขภาพ เสี่ยงที่จะถูกโจมตีทางไซเบอร์มากขึ้น คลินิกที่ยังคงยึดถือรูปแบบการทำงานแบบผสมผสานและ ประโยชน์ที่จะได้รับ (ซึ่งได้แก่ ขวัญกำลังใจของพนักงานที่ดีขึ้น ภาวะหมดไฟลดลง และผลผลิตที่เพิ่มขึ้น) จำเป็นต้องมีกลยุทธ์ด้านความปลอดภัยในระยะยาว
ความเสี่ยงสามประการที่สำคัญในการ "ทำงานจากทุกที่" สำหรับบุคลากรทางการแพทย์ที่ทำงานจากระยะไกล ได้แก่ การพึ่งพา VPN, การฟิชชิ่งแบบหลายช่องทาง และ Shadow IT ด้านล่างนี้คือวิธีการที่แ�นวทาง Zero Trust สมัยใหม่สามารถจัดการกับความเสี่ยงเหล่านั้นได้อย่างยั่งยืนมากขึ้น
ข้อเสียของ VPN
โดยทั่วไป องค์กรด้านการดูแลสุขภาพจะอาศัยรูปแบบการรักษาความปลอดภัยแบบ "ปราสาทและคูน้ำ" ซึ่งเน้นไปที่การปกป้องขอบเขตของเครือข่าย ในบริบทการทำงานแบบไฮบริด รูปแบบนี้หมายถึงการใช้ VPN และซอฟต์แวร์เดสก์ท็อประยะไกลเพื่อตรวจสอบข้อมูลประจำตัวสำหรับผู้ใช้ระยะไกลและเข้ารหัสทราฟฟิกระหว่างผู้ใช้และแอปพลิเคชันหรืออุปกรณ์ต่าง ๆ ในสภาพแวดล้อมองค์กรส่วนกลาง
อย่างไรก็ตาม ความเสี่ยงของ VPN เช่น ช่องโหว่แบบ zero-day ในผลิตภัณฑ์ Ivanti และ Palo Alto Networks บางรายการ และการพยายามใช้รหัสผ่านแบบสุ่มเดาข้อมูลกับโซลูชัน VPN ของ Cisco แสดงให้เห็นถึงข้อบกพร่องโดยธรรมชาติของแนวทางที่เน้นขอบเขต การเข้าถึง VPN คือ:
เสี่ยงเกินไป: ตามที่แสดงให้เห็นจากข้อบกพร่องแบบ zero-day ที่พบใน VPN หลายตัว (ตัวอย่างเพิ่มเติม ที่นี่ และ ที่นี่) ความปลอดภัยของ VPN นั้นไม่น่าเชื่อถือ การเข้าถึงเครือข่ายและความน่าเชื่อถือเริ่มต้นที่ได้รับจาก VPN ยังเปิดโอกาสให้เกิดการเคลื่อนย้ายไปยังระบบอื่น ได้อีกด้วย
ช้าเกินไป: การเข้าถึงขึ้นอยู่กับตำแหน่งของผู้ใ��ช้ อุปกรณ์ บทบาท และผู้ให้บริการข้อมูลประจำตัว ส่งผลให้ผู้ใช้ VPN อาจพบกับเวลาแฝง
ไม่มีประสิทธิภาพมากเกินไป: VPN อาจทำให้การออนบอร์ดผู้ใช้ช้าลง การเปิดตัวแอพใหม่ล่าช้า และฝ่ายไอทีเสียเวลาอันมีค่าเมื่อแอพเสียหาย
เป็นเรื่องที่เข้าใจได้ถึงเหตุผลที่องค์กรด้านการดูแลสุขภาพหันมาใช้ VPN ในช่วงการระบาดเมื่อองค์กรต้องเผชิญกับปัญหาทางการเงินที่ไม่เคยเกิดขึ้นมาก่อนและการขาดแคลนพนักงานไอที อย่างไรก็ตาม เป็นที่ชัดเจนกว่าว่า VPN (ซึ่งได้รับการออกแบบมาเพื่อการเชื่อมต่อระยะสั้นโดยไม่กี่ระบบ) ไม่ใช่ทางแก้ที่ยั่งยืนสำหรับขอบเขตงานการดูแลสุขภาพทางไกลที่มีการขยายตัว
แนวทางที่มีประสิทธิผลและยั่ง��ยืนมากขึ้นคือ ความปลอดภัยแบบ Zero Trust บริการ Zero Trust แตกต่างจาก VPN ที่มีความเสี่ยง เพราะบริการ Zero Trust จำเป็นต้องมีการยืนยันตัวตนที่เข้มงวดสำหรับทุกคนและอุปกรณ์ทุกอย่างที่พยายามเข้าถึงทรัพยากรบนเครือข่ายส่วนตัว โดยไม่คำนึงถึงตำแหน่งที่ตั้ง
ตัวอย่างเช่น เทคโนโลยี Zero Trust ช่วยให้องค์กรด้านการดูแลสุขภาพสามารถ:
ตรวจสอบคำขอเข้าถึงแอปพลิเคชันทุกรายการโดยพิจารณาจากปัจจัยอื่น ๆ มากกว่าการระบุตัวตน: การระบุตำแหน่งทางภูมิศาสตร์ สถานะความปลอดภัยของอุปกรณ์ มาตรฐานความปลอดภัยขององค์กร การประเมินความเสี่ยง/ความน่าเชื่อถืออย่างต่อเนื่อง และปัจจัยอื่น ๆ จะถูกนำมาพิจารณาก่อนที่บุคคลใดบุคคลหนึ่งจะได้รับสิทธิ์เข้าถึงทรัพยากร
ตรวจสอบและกรองทราฟฟิกทางอินเทอร์เน็ตของพนักงานทั้งหมด: ไม่ว่าพนักงานจะทำงานที่ใด การท่องอินเทอร์เน็ตของพวกเขาก็อาจเสี่ยงต่อการถูกฟิชชิ่ง มัลแวร์ แรนซัมแวร์ และการโจมตีอื่น ๆ Zero Trust ไม่เหมือนกับ VPN เพราะ Zero Trust ให้ความสามารถในการบล็อกการโจมตีที่ใช้เบราว์เซอร์ ทั้งยังสามารถป้องกันไม่ให้พนักงานเยี่ยมชมหรือโต้ตอบกับเว็บไซต์ที่น่าสงสัยได้
การโจมตีฟิชชิ่ง
จาก การศึกษากรณีการละเมิดข้อมูลที่เกี่ยวข้องกับการดูแลสุขภาพ ระหว่างปี 2015 ถึง 2020 พบว่าข้อมูลผู้ป่วยจำนวนมากถูกบุกรุกผ่านการหลอกลวงทางฟิชชิ่งมากกว่าสาเหตุอื่นใด
ตัวอย่างเช่น ฟิชชิ่งเป็นสาเหตุหลักของการโจมตี เครือข่ายสุขภาพมหาวิทยาลัยเวอร์มอนต์ (UVM)ด้วยแรนซัมแวร์ การโจมตีนี้เริ่มต้นจากพนักงานที่ต้องเดินทางได้ใช้แล็ปท็อปที่ทำงานเพื่อตรวจสอบอีเมลส่วนตัว อีเมลฉบับหนึ่งซึ่งดูเหมือนว่าจะมาจากสมาคมเจ้าของบ้านของพนักงาน ได้ปล่อยมัลแวร์ที่ทำให้ผู้โจมตี สามารถเคลื่อนที่ในแนวนอน จนเข้าถึงระบบของ UVM Health Network ได้ การโจมตีดังกล่าวทำให้การดำเนินงานหยุดชะงักไปหลายสัปดาห์ พนักงานหลายร้อยคนไม่สามารถทำงานได้ ขั้นตอนการรักษาผู้ป่วยล่าช้า และองค์กรต้องประสบกับความสูญเสียมากกว่า 63 ล้านดอลลาร์
การฟิชชิ่งอีเมลธุรกิจแบบกำหนดเป้าหมายสูงและไม่มีมัลแวร์ (BEC) ก็เพิ่มมากขึ้นเช่นกัน ในเดือนมิถุนายน 2024 เอฟบีไอและกระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ ได้ออกคำเตือน เกี่ยวกับผู้โจมตีที่เข้าถึงบัญชีอีเมลของพนักงานด้านการดูแลสุขภาพ และใช้ข้อมูลการเข้าสู่ระบบเพื่อเปลี่ยนเส้นทางการชำระเงินค่าประกันสุขภาพ
สำหรับบุคลากรในยุคใหม่ งานและข้อมูลไม่ได้อยู่แค่ในอีเมลเท่านั้น ตัวอย่างเช่น SMS (การส่งข้อความ) และแอปพลิเคชันการส่งข้อความสาธารณะและส่วนตัวเป็นเวกเตอร์การโจมตีที่ใช้ประโยชน์จากความสามารถในการส่งลิงก์ผ่านช่องทางเหล่านั้น และยังใช้ประโยชน์จากวิธีที่ผู้คนใช้ข้อมูลและทำงานอีกด้วย มีการทำงานร่วมกันบนคลาวด์ โดยผู้โจมตี จะอาศัยลิงก์ ไฟล์ และฟิชชิ่ง BEC บนเครื่องมือต่าง ๆ เช่น Google Workspace, Atlassian และ Microsoft Office 365 นอกจากนี้ ยังมีการฟิชชิ่งทางเว็บและโซเชียลที่มุ่งเป้าไปที่เหยื่อบน LinkedIn และแพลตฟอร์มอื่น ๆ
เพื่อป้องกันการโจมตีแบบ "หลายช่องทาง" ดังกล่าว ผู้ให้บริการด้านการดูแลสุขภาพสามารถใช้แนวทางหลายชั้น โดยเริ่มจากการปกป้องอีเมลก่อน จากนั้นจึงขยาย Zero Trust ไปยังการรับส่งข้อมูลบนเว็บอื่น ๆ
เมื่อใช้แนวทาง Zero Trust ในการจัดการกับฟิชชิ่ง องค์กรต่าง ๆ จะสามารถ:
แยกลิงก์อีเมลที่น่าสงสัยโดยอัตโนมัติและป้องกันไม่ให้อุปกรณ์ของพนักงานเผชิญกับเนื้อหาเว็บที่เป็นอันตราย
จำกัดการโต้ตอบของผู้ใช้กับเว็บไซต์ที่น่าสงสัย และป้องกันไม่ให้สคริปต์ที่เป็นอันตรายฝังอยู่ในหน้าเว็บสามารถทำงานภายในเครื่องบนอุปกรณ์ของพนักงานได้
บล็อกการเข้าถึงไซต์ที่มีความเสี่ยงสูงโดยตรง (เช่น ไซต์ที่ทราบว่ามีส่วนร่วมในการฟิชชิ่ง)
จำกัดสิ่งที่สามารถอัพโหลด พิมพ์ หรือคัดลอกและวางลงในแอปของบุคคลที่สามได้ พร้อมกับการป้องกันไม่ให้พนักงานอัพโหลดข้อมูลที่เป็นกรรมสิทธิ์ลงในเครื่องมือ Generative AI ของบุคคลที่สามได้อีกด้วย
ความเสี่ยงจาก Shadow IT
สภาพแวดล้อมการทำงานแบบไฮบริดเพิ่มความเสี่ยงต่อการเกิด "Shadow IT " ซึ่งก็คือการใช้งานซอฟต์แวร์ ฮาร์ดแวร์ หรือระบบอื่น ๆ โดยไม่ได้รับอนุญาต จากการสำรวจในปี 2024 พบว่าผู้นำด้านไอทีส่วนใหญ่ (81%) ในระบบสุขภาพของสหรัฐฯ รายงานการซื้อซอฟต์แวร์ Shadow IT และเกือบครึ่งหนึ่ง (48%) ไม่ได้ตรวจสอบซอฟต์แวร์ขององค์กรภายในปีที่ผ่านมา
Shadow IT ถือเป็นภัยคุกคามที่ร้ายแรงต่อองค์กรด้านการดูแลสุขภาพโดยเฉพาะ ส่งผลให้ความสามารถของฝ่ายไอทีในการรักษาความปลอดภัยและตรวจสอบระบบที่สำคัญลดลง จนเป็นสาเหตุให้ข้อมูลของผู้ป่วยตกอยู่ในความเสี่ยง ตัวอย่างเช่น แอป SaaS ที่ไม่ได้รับอนุญาตทำให้แทบเป็นไปไม่ได้เลยที่จะตรวจยืนยัน การปฏิบัติตาม HIPAA ของข้อมูลสุขภาพที่ได้รับการปกป้อง (PHI) แ�ละเพิ่มความเสี่ยงของการโจมตีแบบ zero-day และการละเมิดข้อมูล
องค์กรต่าง ๆ ควรพิจารณาเป็นรายการ ไม่ว่าจะเป็นผู้ใช้ ไฟล์ หรือ SaaS และตรวจสอบทุกอย่างเพื่อดูว่าสิ่งใดที่อาจเป็นปัญหาได้หรือไม่ สำหรับองค์กรส่วนใหญ่แล้ว วิธีการเหล่านี้ไม่สามารถทำได้จริง
วิธีลดการใช้แอปที่ไม่ได้รับอนุญาตประกอบด้วยการจัดอบรมการจัดการความเสี่ยงอย่างต่อเนื่องให้กับพนักงาน และสร้างวัฒนธรรม "ปลอดการตำหนิ" (สำหรับผู้ที่อาจเคยนำ Shadow IT มาใช้แล้ว)
แนวทางเหล่านี้ควรได้รับการเสริมด้วยการควบคุมทางเทคนิคแบบ Zero Trust ที่:
ให้การมองเห็นแอปพลิเคชัน SaaS และแหล่งที่มาของเครือข่ายที่พนักงานกำลังเยี่ยมชม จากนั้น องค์กรสามารถกำห��นดนโยบายเพื่ออนุญาต จำกัด หรือบล็อกการใช้งาน Shadow IT ตามต้องการ
ปกป้องแอป SaaS และบริการที่โฮสต์บนคลาวด์อื่น ๆ ด้วยการสแกนอย่างต่อเนื่องเพื่อค้นหาไฟล์ที่อาจเป็นอันตราย กิจกรรมที่น่าสงสัย และการกำหนดค่าที่ไม่ถูกต้อง ( สาเหตุทั่วไปของการละเมิดข้อมูล)
ลดการเปิดเผยข้อมูลโดยการตรวจจับและปิดกั้นไม่ให้ผู้ใช้แบ่งปันข้อมูลสำคัญมากเกินไปผ่านคลาวด์ แอปพลิเคชัน อีเมล และอุปกรณ์
ลดความซับซ้อนของการรักษาความปลอดภัยการทำงานแบบไฮบริดด้วยระบบคลาวด์เพื่อความสามารถในการเชื่อมต่อ
บริการ Cloudflare Zero Trust รวบรวมบริการเทคโนโลยีที่แยกจากกันหลายอย่างเพื่อให้สามารถรักษาความปลอดภัยของการเชื่อมต่อต่าง ๆ ได้ง่ายยิ่งขึ้น และทำให้พนักงานที่ทำงานบนอุปกรณ์ใด ๆ ในสถานที่ต่าง ๆ มีความปลอดภัยและทำงานผ่านอินเทอร์เน็ต แอปพลิเคชัน และโครงสร้างพื้นฐานได้อย่างมีประสิทธิผล บริการทั้งหมดส่งมอบโดย ระบบคลาวด์เพื่อความสามารถในการเชื่อมต่อ ซึ่งเป็นแพลตฟอร์มอัจฉริยะแบบรวมศูนย์ของบริการคลาวด์เนทีฟที่ช่วยลดความซับซ้อนของการเชื่อมต่อแบบ "any-to-any" ที่ปลอดภัยบนทุกสภาพแวดล้อมไอที
ด้วยระบบคลาวด์เพื่อความสามารถในการเชื่อมต่อของ Cloudflare ผู้ให้บริการด้านการดูแลสุขภาพสามารถรักษาความปลอดภัยของข้อมูลของผู้ป่วย มอบประสบการณ์ทางเทคโนโลยีที่ราบรื่นให้กับแพทย์ และมอบการดูแลเสมือนจริ��งระดับชั้นนำ ซึ่งทั้งหมดนี้ทำได้ด้วยความคล่องตัวและการควบคุมที่มากขึ้น
บทความนี้เป็นส่วนหนึ่งของ ชุดบทความ เกี่ยวกับแนวโน้มและหัวข้อล่าสุดที่ส่งผลต่อผู้ตัดสินใจด้านเทคโนโลยีในปัจจุบัน
ประเด็นสำคัญ
หลังจากอ่านบทความนี้ คุณจะสามารถเข้าใจ:
ความเสี่ยง ด้านไซเบอร์ซีเคียวรีตี้ร์ สามอันดับแรก สำหรับบุคลากรทางการแพทย์ที่ทำงานจากระยะไกล
ข้อเสียของ VPN สำหรับพนักงานที่กระจายในหลายพื้นที่
ประโยชน์ของการใช้ Zero Trust ในระบบดูแลสุขภาพเพื่อการเข้าถึงระยะไกลที่ปลอดภัย
แหล่งข้อมูลที่เกี่ยวข้อง
เจาะลึกหัวข้อนี้มากขึ้น
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการปิดช่องว่างด้านความปลอดภัยที่ขัดขวางนวัตกรรมการดูแลสุขภาพด้วยอีบุ๊ก การปรับปรุงความปลอดภัยทางไซเบอร์ของผู้ให้บริการด้านการดูแลสุขภาพให้ทันสมัย