การรักษาความปลอดภัยการเข้าถึงระยะไกลสำหรับบุคลากรทางการแพทย์
หลักปฏิบัติสามข้อที่ควรพิจารณาเพื่อการปกป้องการปฏิบัติทางการแพทย์แบบผสมผสาน
Many healthcare organizations have hired more remote workers in recent years, but have struggled to keep their cybersecurity defenses up-to-date. Amidst financial pressures and staff shortages, they have had to rely on shorter-term “fixes” to protect the hybrid workforce against intensifying attacks.
For instance, during the global pandemic, when more employees began working remotely, 51% of medical practices spent less than $5,000 setting up their hybrid or remote practice. Common healthcare cybersecurity examples included adopting more virtual private networks (VPNs) and shifting some applications (but not all security functions) to the cloud.
แต่การแก้ไขปัญหาในระยะสั้นดังกล่าวทำให้ องค์กรด้านการดูแลสุขภาพ เสี่ยงที่จะถูกโจมตีทางไซเบอร์มากขึ้น คลินิกที่ยังคงยึดถือรูปแบบการทำงานแบบผสมผสานและ ประโยชน์ที่จะได้รับ (ซึ่งได้แก่ ขวัญกำลังใจของพนักงานที่ดีขึ้น ภาวะหมดไฟลดลง และผลผลิตที่เพิ่มขึ้น) จำเป็นต้องมีกลยุทธ์ด้านความปลอดภัยในระยะยาว
Three of the top “work-from-anywhere” risks for remote healthcare workers include the reliance on VPNs, multi-channel phishing, and shadow IT. Below are how a modern zero trust approach addresses those risks in a more sustainable way.
ข้อเสียของ VPN
โดยทั่วไป องค์กรด้านการดูแลสุขภาพจะอาศัยรูปแบบการรักษาความปลอดภัยแบบ "ปราสาทและคูน้ำ" ซึ่งเน้นไปที่การปกป้องขอบเขตของเครือข่าย ในบริบทการทำงานแบบไฮบริด รูปแบบนี้หมายถึงการใช้ VPN และซอฟต์แวร์เดสก์ท็อประยะไกลเพื่อตรวจสอบข้อมูลประจำตัวสำหรับผู้ใช้ระยะไกลและเข้ารหัสทราฟฟิกระหว่างผู้ใช้และแอปพลิเคชันหรืออุปกรณ์ต่าง ๆ ในสภาพแวดล้อมองค์กรส่วนกลาง
อย่างไรก็ตาม ความเสี่ยงของ VPN เช่น ช่องโห�ว่แบบ zero-day ในผลิตภัณฑ์ Ivanti และ Palo Alto Networks บางรายการ และการพยายามใช้รหัสผ่านแบบสุ่มเดาข้อมูลกับโซลูชัน VPN ของ Cisco แสดงให้เห็นถึงข้อบกพร่องโดยธรรมชาติของแนวทางที่เน้นขอบเขต การเข้าถึง VPN คือ:
เสี่ยงเกินไป: ตามที่แสดงให้เห็นจากข้อบกพร่องแบบ zero-day ที่พบใน VPN หลายตัว (ตัวอย่างเพิ่มเติม ที่นี่ และ ที่นี่) ความปลอดภัยของ VPN นั้นไม่น่าเชื่อถือ การเข้าถึงเครือข่ายและความน่าเชื่อถือเริ่มต้นที่ได้รับจาก VPN ยังเปิดโอกาสให้เกิดการเคลื่อนย้ายไปยังระบบอื่น ได้อีกด้วย
ช้าเกินไป: การเข้าถึงขึ้นอยู่กับตำแหน่งของผู้ใช้ อุปกรณ์ บทบาท และผู้ให้บริการข้อมูลประจำตัว ส่งผลให้ผู้ใช้ VPN อาจพบกับเวลาแฝง
ไม่มีประสิทธิภาพมากเกินไป: VPN อาจทำให้การออนบอร์ดผู้ใช้ช้าลง การเปิดตัวแอพใหม่ล่าช้า และฝ่ายไอทีเสียเวลาอันมีค่าเมื่อแอพเสียหาย
เป็นเรื่องที่เข้าใจได้ถึงเหตุผลที่องค์กรด้านการดูแลสุขภาพหันมาใช้ VPN ในช่วงการระบาดเมื่อองค์กรต้องเผชิญกับปัญหาทางการเงินที่ไม่เคยเกิดขึ้นมาก่อนและการขาดแคลนพนักงานไอที อย่างไรก็ตาม เป็นที่ชัดเจนกว่าว่า VPN (ซึ่งได้รับการออกแบบมาเพื่อการเชื่อมต่อระยะสั้นโดยไม่กี่ระบบ) ไม่ใช่ทางแก้ที่ยั่งย��ืนสำหรับขอบเขตงานการดูแลสุขภาพทางไกลที่มีการขยายตัว
The more effective, sustainable approach is zero trust security. Unlike risky VPNs, zero trust services require strict identity verification for every person and device trying to access resources on a private network, regardless of location.
For instance, zero trust technologies enable healthcare organizations to:
ตรวจสอบคำขอเข้าถึงแอปพลิเคชันทุกรายการโดยพิจารณาจากปัจจัยอื่น ๆ มากกว่าการระบุตัวตน: การระบุตำแหน่งทางภูมิศาสตร์ สถานะความปลอดภัยของอุปกรณ์ มาตรฐานความปลอดภัยขององค์กร การประเมินความเสี่ยง/ความน่าเชื่อถืออย่างต่อเนื่อง และปัจจัยอื่น ๆ จะถูกนำมาพิจารณาก่อนที่บุคคลใดบุคคลหนึ่งจะได้รับสิทธิ์เข้าถึงทรัพยากร
Inspect and filter all employee Internet traffic: Wherever employees work, their Internet browsing is susceptible to phishing, malware, ransomware, and other attacks. Unlike a VPN, zero trust provides the ability to block browser-based attacks. It can also prevent workers from visiting or interacting with suspicious websites.
การโจมตีฟิชชิ่ง
จาก การศึกษากรณีการละเมิดข้อมูลที่เกี่ยวข้องกับการดูแลสุขภาพ ระหว่างปี 2015 ถึง 2020 พบว่าข้อมูลผู้ป่วยจำนวนมากถูกบุกรุกผ่านการหลอกลวงทางฟิชชิ่งมากกว่าสาเหตุอื่นใด
ตัวอย่างเช่น ฟิชชิ่งเป็นสาเหตุหลักของการโจมตี เครือข่ายสุขภาพมหาวิทยาลัยเวอร์มอนต์ (UVM)ด้วยแรนซัมแวร์ การโจมตีนี้เริ่มต้นจากพนักงานที่ต้องเดินทางได้ใช้แล็ปท็อปที่ทำงานเพื่อตรวจสอบอีเมลส��่วนตัว อีเมลฉบับหนึ่งซึ่งดูเหมือนว่าจะมาจากสมาคมเจ้าของบ้านของพนักงาน ได้ปล่อยมัลแวร์ที่ทำให้ผู้โจมตี สามารถเคลื่อนที่ในแนวนอน จนเข้าถึงระบบของ UVM Health Network ได้ การโจมตีดังกล่าวทำให้การดำเนินงานหยุดชะงักไปหลายสัปดาห์ พนักงานหลายร้อยคนไม่สามารถทำงานได้ ขั้นตอนการรักษาผู้ป่วยล่าช้า และองค์กรต้องประสบกับความสูญเสียมากกว่า 63 ล้านดอลลาร์
การฟิชชิ่งอีเมลธุรกิจแบบกำหนดเป้าหมายสูงและไม่มีมัลแวร์ (BEC) ก็เพิ่มมากขึ้นเช่นกัน ในเดือนมิถุนายน 2024 เอฟบีไอและกระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ ได้ออกคำเตือน เกี่ยวกับผู้โจมตีที่เข้าถึงบัญชีอีเมลของพนักงานด้านการดูแลสุขภาพ และใช้ข��้อมูลการเข้าสู่ระบบเพื่อเปลี่ยนเส้นทางการชำระเงินค่าประกันสุขภาพ
สำหรับบุคลากรในยุคใหม่ งานและข้อมูลไม่ได้อยู่แค่ในอีเมลเท่านั้น ตัวอย่างเช่น SMS (การส่งข้อความ) และแอปพลิเคชันการส่งข้อความสาธารณะและส่วนตัวเป็นเวกเตอร์การโจมตีที่ใช้ประโยชน์จากความสามารถในการส่งลิงก์ผ่านช่องทางเหล่านั้น และยังใช้ประโยชน์จากวิธีที่ผู้คนใช้ข้อมูลและทำงานอีกด้วย มีการทำงานร่วมกันบนคลาวด์ โดยผู้โจมตี จะอาศัยลิงก์ ไฟล์ และฟิชชิ่ง BEC บนเครื่องมือต่าง ๆ เช่น Google Workspace, Atlassian และ Microsoft Office 365 นอกจากนี้ ยังมีการฟิชชิ่งทางเว็บและโซเชียลที่มุ่งเป้าไปที่เหยื่อบน LinkedIn และแพลตฟอร์มอื่น ๆ
To prevent such “multichannel” attacks, healthcare providers can use a multi-layered approach that first protects email, then extends zero trust to other web-based traffic.
With a zero trust approach to combatting phishing, organizations can:
แยกลิงก์อีเมลที่น่าสงสัยโดยอัตโนมัติและป้องกันไม่ให้อุปกรณ์ของพนักงานเผชิญกับเนื้อหาเว็บที่เป็นอันตราย
จำกัดการโต้ตอบของผู้ใช้กับเว็บไซต์ที่น่าสงสัย และป้องกันไม่ให้สคริปต์ที่เป็นอันตรายฝังอยู่ในหน้าเว็บสามารถทำงานภายในเครื่องบนอุปกรณ์ของพนักงานได้
บล็อกการเข้าถึงไซต์ที่มีความเสี่ยงสูงโดยตรง (เช่น ไซต์ที่ทราบว่ามีส่วนร่วมในการฟิชชิ่ง)
จำกัดสิ่งที่สามารถอัพโหลด พิมพ์ หรือคัดลอกและวางลงในแอปของบุคคลที่สามได้ พร้อมกับการป้องกันไม่ให้พนักงานอัพโหลดข้อมูลที่เป็นกรรมสิทธิ์ลงในเครื่องมือ Generative AI ของบุคคลที่สามได้อีกด้วย
ความเสี่ยงจาก Shadow IT
สภาพแวดล้อมการทำงานแบบไฮบริดเพิ่มความเสี่ยงต่อการเกิด "Shadow IT " ซึ่งก็คือการใช้งานซอฟต์แวร์ ฮาร์ดแวร์ หรือระบบอื่น ๆ โดยไม่ได้รับอนุญาต จากการสำรวจในปี 2024 พบว่าผู้นำด้านไอทีส่วนใหญ่ (81%) ในระบบสุขภาพของสหรัฐฯ รายงานการซื้อซอฟต์แวร์ Shadow IT และเกือบครึ่งหนึ่ง (48%) ไม่ได้ตรวจสอบซอฟต์แวร์ขององค์กรภายในปีที่ผ่านมา
Shadow IT ถือเป็นภัยคุกคามที่ร้ายแรงต่อองค์กรด้านการดูแลสุขภาพโดยเฉพาะ ส่งผลให้ความสามารถของฝ่ายไอทีในการรักษาความปลอดภัยและตรวจสอบระบบที่สำคัญลดลง จนเป็นสาเหตุให้ข้อมูลของผู้ป่วยตกอยู่ในความเสี่ยง ตัวอย่างเช่น แอป SaaS ที่ไม่ได้รับอนุญาตทำให้แทบเป็นไปไม่ได้เลยที่จะตรวจยืนยัน การปฏิบัติตาม HIPAA ของข้อมูลสุขภาพที่ได้รับการปกป้อง (PHI) และเพิ่มความเสี่ยงของการโจมตีแบบ zero-day และการละเมิดข้อมูล
องค์กรต่าง ๆ ควรพิจารณาเป็นรายการ ไม่ว่าจะเป็นผู้ใช้ ไฟล์ หรือ SaaS และตรวจสอบทุกอย่างเพื่อดูว่าสิ่งใดที่อาจเป็นปัญหาได้หรือไม่ สำหรับองค์กรส่วนใหญ่แล้ว วิธีการเหล่านี้ไม่สามารถทำได้จริง
วิธีลดการใช้แอปที่ไม่ได้รับอนุญาตประกอบด้วยการจัดอบรมการจัดการความเสี่ยงอย่างต่อเนื่องให้กับพนักงาน และสร้างวัฒนธรรม "ปลอดการตำหนิ" (สำหรับผู้ที่อาจเคยนำ Shadow IT มาใช้แล้ว)
Those approaches should also be augmented with zero trust technical controls that:
ให้การมองเห็นแอปพลิเคชัน SaaS และแหล่งที่มาของเครือข่ายที่พนักงานกำลังเยี่ยมชม จากนั้น องค์กรสามารถกำหนดนโยบายเพื่ออนุญาต จำกัด หรือบล็อกการใช้งาน Shadow IT ตามต้องการ
ปกป้องแอป SaaS และบริการที่โฮสต์บนคลาวด์อื่น ๆ ด้วยการสแกนอย่างต่อเนื่องเพื่อค้นหาไฟล์ที่อาจเป็นอันตราย กิจกรรมที่น่าสงสัย และการกำหนดค่าที่ไม่ถูกต้อง ( สาเหตุทั่วไปของการละเมิดข้อมูล)
ลดการเปิดเผยข้อมูลโดยการตรวจจับและปิดกั้นไม่ให้ผู้ใช้แบ่งปันข้อมูลสำคัญมากเกินไปผ่านคลาวด์ แอปพลิเคชัน อีเมล และอุปกร��ณ์
ลดความซับซ้อนของการรักษาความปลอดภัยการทำงานแบบไฮบริดด้วยระบบคลาวด์เพื่อความสามารถในการเชื่อมต่อ
บริการ Cloudflare Zero Trust รวบรวมบริการเทคโนโลยีที่แยกจากกันหลายอย่างเพื่อให้สามารถรักษาความปลอดภัยของการเชื่อมต่อต่าง ๆ ได้ง่ายยิ่งขึ้น และทำให้พนักงานที่ทำงานบนอุปกรณ์ใด ๆ ในสถานที่ต่าง ๆ มีความปลอดภัยและทำงานผ่านอินเทอร์เน็ต แอปพลิเคชัน และโครงสร้างพื้นฐานได้อย่างมีประสิทธิผล บริการทั้งหมดส่งมอบโดย ระบบคลาวด์เพื่อความสามารถในการเชื่อมต่อ ซึ่งเป็นแพลตฟอร์มอัจฉริยะแบบรวมศูนย์ของบริการคลาวด์เนทีฟที่ช่วยลดความซับซ้อนของการเชื่อมต่อแบบ "any-to-any" ที่ปลอดภัยบนทุกสภาพแวดล้อมไอที
ด้วยระบบคลาวด์เพื่อความสามารถในการเชื่อมต่อของ Cloudflare ผู้ให้บริการด้านการดูแลสุขภาพสามารถรักษาความปลอดภัยของข้อมูลของผู้ป่วย มอบประสบการณ์ทางเทคโนโลยีที่ราบรื่นให้กับแพทย์ และมอบการดูแลเสมือนจริงระดับชั้นนำ ซึ่งทั้งหมดนี้ทำได้ด้วยความคล่องตัวและการควบคุมที่มากขึ้น
บทความนี้เป็นส่วนหนึ่งของ ชุดบทความ เกี่ยวกับแนวโน้มและหัวข้อล่าสุดที่ส่งผลต่อผู้ตัดสินใจด้านเทคโนโลยีในปัจจุบัน
ประเด็นสำคัญ
หลังจากอ่านบทความนี้ คุณจะสา��มารถเข้าใจ:
ความเสี่ยง ด้านไซเบอร์ซีเคียวรีตี้ร์ สามอันดับแรก สำหรับบุคลากรทางการแพทย์ที่ทำงานจากระยะไกล
ข้อเสียของ VPN สำหรับพนักงานที่กระจายในหลายพื้นที่
ประโยชน์ของการใช้ Zero Trust ในระบบดูแลสุขภาพเพื่อการเข้าถึงระยะไกลที่ปลอดภัย
แหล่งข้อมูลที่เกี่ยวข้อง
เจาะลึกหัวข้อนี้มากขึ้น
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการปิดช่องว่างด้านความปลอดภัยที่ขัดขวางนวัตกรรมการดูแลสุขภาพด้วยอีบุ๊ก การปรับปรุงความปลอดภัยทางไซเบอร์ของผู้ให้บริการด้านการดูแลสุขภาพให้ทันสมัย