เมื่อวันศุกร์ ทนายความของ Ascension Health ซึ่งเป็นผู้ดำเนินการโรงพยาบาลรายใหญ่ของสหรัฐฯเขียนถึงอัยการสูงสุดของรัฐเมนเพื่อแจ้งให้เขาทราบถึงข้อมูลสุขภาพส่วนบุคคลแบบอิเล็กทรอนิกส์ (e-PHI) ของผู้ป่วยและพนักงานที่ Ascension ถูกโจมตีระหว่างการโจมตีด้วยแรนซัมแวร์ที่เกิดขึ้นในเดือนพฤษภาคม ซึ่งส่งผลกระทบต่อผู้คนเกือบ 5.6 ล้านคน
การโจมตีดังกล่าวได้ขัดขวางการดำเนินงานของ Ascension ทั่วทั้งเครือข่ายที่กว้างขวางของบริษัท ซึ่งประกอบด้วยพนักงาน 134,000 ราย ผู้ให้บริการในเครือ 35,000 ราย และโรงพยาบาล 140 แห่งใน 19 รัฐและเขตโคลัมเบีย ผลที่ตามมาในทันที ได้แก่ การเปลี่ยนเส้นทางรถพยาบาล การปิดร้านขายยา และการกลับไปใช้วิธีเก็บบันทึกด้วยตนเอง เนื่องจากระบบไอทีที่สำคัญต้องออฟไลน์
ทนายความของ Ascension Sunil Shenoi กล่าวในจดหมายเมื่อวันที่ 19 ธันวาคมถึงแผนกคุ้มครองผู้บริโภคของรัฐเมนอัยการสูงสุดว่าบริษัท “จะเริ่มแจ้งให้ผู้อยู่อาศัยในรัฐเมนที่เกี่ยวข้องทราบถึงเหตุการณ์ด้านความปลอดภัย” ผ่านทางบริการไปรษณีย์ของสหรัฐอเมริกา
แม้ว่าภัยคุกคามทางไซเบอร์ต่ออุตสาหกรรมการดูแลสุขภาพจะมีขนาดเพิ่มขึ้น แต่รายงานของ Congressional Research Service (CRS) เมื่อต้นเดือนนี้เน้นย้ำว่า “ไม่มีกฎหมายคุ้มครองข้อมูลดิจิทัลที่ครอบคลุมในสหรัฐอเมริกา” กฎหมายความเป็นส่วนตัวและความปลอดภัยของข้อมูลที่แปรผันทำให้เกิดปัญหานี้ นอกจากนี้ แม้ว่าจะมีเอกสารคำแนะนำในการปกป้องข้อมูลจำนวนมาก แต่ก็เป็นไปโดยสมัครใจ
การโจมตี Ascension เป็นการโจมตีทางไซเบอร์ครั้งล่าสุดที่มุ่งเป้าไปที่ภาคการดูแลสุขภาพ ซึ่งมีความเสี่ยงเป็นพิเศษเนื่องจากลักษณะที่ละเอียดอ่อนของข้อมูลผู้ป่วย และความสำคัญอย่างยิ่งยวดของบริการทางการแพทย์ที่ไม่หยุดชะงัก เมื่อต้นปีนี้มีการโจมตีแรนซัมแวร์ที่คล้ายกันซึ่งเป็นบริษัทในเครือของ UnitedHealth Group ที่ส่งผลกระทบต่อข้อมูลสุขภาพส่วนบุคคลของผู้คน 100 ล้านคน ตอกย้ำอีกครั้งถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่ทวีความรุนแรงขึ้นที่ผู้ให้บริการด้านการดูแลสุขภาพต้องเผชิญ
การโจมตีแรนซัมแวร์เมื่อเดือนกุมภาพันธ์ที่ Change Healthcare ซึ่งเป็นผลมาจากกลุ่มอาชญากรรมไซเบอร์ BlackCat ทำให้การชำระเงินทางอิเล็กทรอนิกส์และการเรียกร้องค่าสินไหมทดแทนทางการแพทย์ส่งผลกระทบต่อผู้ให้บริการด้านการดูแลสุขภาพและผู้ป่วยทั่วประเทศ
แอนดรูว์ ซีอีโอของ UnitedHealthมีไหวพริบบอกกับคณะอนุกรรมการกำกับดูแลและการสืบสวนของคณะกรรมาธิการสภาพลังงานและการพาณิชย์ในเดือนพฤษภาคมว่า “อาชญากรใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงพอร์ทัล Change Healthcare Citrix จากระยะไกล ซึ่งเป็นแอปพลิเคชันที่ใช้ในการเปิดใช้งานการเข้าถึงเดสก์ท็อประยะไกล (ซึ่ง) ไม่มีหลายปัจจัย การรับรองความถูกต้อง เมื่อผู้คุกคามเข้าถึงได้ พวกเขาจะย้ายไปด้านข้างภายในระบบด้วยวิธีที่ซับซ้อนยิ่งขึ้นและถูกขโมยข้อมูล Ransomware ถูกใช้งานในอีกเก้าวันต่อมา”
Witty บอกกับคณะกรรมาธิการการคลังของวุฒิสภาว่า การตัดสินใจจ่ายเงินค่าไถ่ 22 ล้านดอลลาร์ “เป็นการตัดสินใจที่ยากที่สุดครั้งหนึ่งที่ฉันเคยทำ”
ในปี 2022 มีรายงานการละเมิด 626 รายการที่ส่งผลกระทบต่อบุคคลมากกว่า 41 ล้านคน ซึ่งส่วนใหญ่เกิดจากการแฮ็กข้อมูล การละเมิดเล็กๆ น้อยๆ ซึ่งมักเป็นผลจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการจัดการข้อมูลผิดพลาด ส่งผลกระทบต่อบุคคลอีก 257,105 คน
CRS ระบุเมื่อต้นเดือนที่ผ่านมาในรายงานต่อฝ่ายนิติบัญญัติเกี่ยวกับข้อมูลความปลอดภัยทางไซเบอร์และข้อมูลด้านสุขภาพดิจิทัลว่า “การโจมตีทางไซเบอร์ที่กำหนดเป้าหมายข้อมูลด้านสุขภาพที่ละเอียดอ่อนซึ่งดูแลโดยผู้ให้บริการด้านสุขภาพและแผนด้านสุขภาพได้เพิ่มขึ้นอย่างรวดเร็วในช่วงทศวรรษที่ผ่านมา ข้อมูลและข้อมูลด้านการดูแลสุขภาพเป็นเป้าหมายที่น่าสนใจสำหรับการโจมตีทางไซเบอร์” และ “ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์คาดการณ์ว่าการโจมตีเหล่านี้จะยังคงส่งผลกระทบต่อผู้คนจำนวนมากขึ้นในอนาคต”
เทคโนโลยีด้านสุขภาพดิจิทัล เช่น บันทึกสุขภาพอิเล็กทรอนิกส์ แพลตฟอร์มสุขภาพทางไกล และอุปกรณ์ทางการแพทย์ กลายเป็นรากฐานสำคัญของการดูแลสุขภาพยุคใหม่ พวกเขาเพิ่มประสิทธิภาพและการเข้าถึง พวกเขายังเพิ่มพื้นผิวการโจมตีแบบทวีคูณสำหรับนักแสดงที่เป็นอันตราย ผู้ให้บริการด้านการดูแลสุขภาพ บริษัทประกัน และหน่วยงานที่เกี่ยวข้องรวบรวมและส่งข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองจำนวนมหาศาล ทำให้อุตสาหกรรมนี้เป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์เนื่องจากข้อมูลด้านสุขภาพมีมูลค่าสูง ข้อมูลด้านสุขภาพของชาวอเมริกันมีมูลค่านับล้านดอลลาร์ในตลาดมืด
ทนายความของ Ascension กล่าวว่า “การสอบสวนของบริษัทระบุว่าไฟล์ [ที่ถูกบุกรุก] บางไฟล์มีชื่อและข้อมูลของบุคคลในหมวดหมู่ใดหมวดหมู่หนึ่งต่อไปนี้: ข้อมูลทางการแพทย์ (เช่น หมายเลขเวชระเบียน วันที่รับบริการ ประเภทของการทดสอบในห้องปฏิบัติการ หรือรหัสขั้นตอน) ข้อมูลการชำระเงิน (เช่น ข้อมูลบัตรเครดิตหรือหมายเลขบัญชีธนาคาร) ข้อมูลการประกันภัย (เช่น หมายเลข Medicaid/Medicare หมายเลขกรมธรรม์ หรือการเคลมประกัน) บัตรประจำตัวที่ออกโดยหน่วยงานราชการ (เช่น หมายเลขประกันสังคม หมายเลขประจำตัวผู้เสียภาษี คนขับ หมายเลขใบอนุญาต หรือหมายเลขหนังสือเดินทาง) และข้อมูลส่วนบุคคลอื่นๆ (เช่น วันเกิดหรือที่อยู่) อย่างไรก็ตาม ประเภทของข้อมูลที่เกี่ยวข้องนั้นแตกต่างกันไปตามแต่ละบุคคล”
เพื่อตอบสนองต่อการละเมิด Ascension ได้ร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บุคคลที่สามเพื่อตรวจสอบเหตุการณ์และระบุบุคคลที่ได้รับผลกระทบ ภายในเดือนธันวาคม การตรวจสอบเสร็จสิ้น และ Ascension เริ่มแจ้งให้ผู้ที่มีข้อมูลส่วนบุคคลถูกบุกรุก โดยเสนอบริการติดตามเครดิตและปกป้องข้อมูลประจำตัวฟรี
Ascension บอกว่าได้ฟื้นฟูมันแล้วและยังคงปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์เพื่อป้องกันเหตุการณ์ที่อาจเกิดขึ้นในอนาคต
รากฐานสำคัญของความเป็นส่วนตัวของข้อมูลด้านสุขภาพในสหรัฐอเมริกาคือกฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ซึ่งประกาศใช้เพื่อให้แน่ใจว่าการจัดการข้อมูลผู้ป่วยมีความปลอดภัยและเป็นส่วนตัว HIPAA ได้แนะนำข้อกำหนดสำคัญหลายประการ รวมถึงกฎความเป็นส่วนตัว กฎความปลอดภัย และกฎการแจ้งเตือนการละเมิด อย่างไรก็ตาม ในขณะที่เทคโนโลยีพัฒนาไป กรอบงานของ HIPAA ต้องเผชิญกับการตรวจสอบอย่างละเอียดเกี่ยวกับการเข้าถึงที่จำกัดและมีประสิทธิภาพในการรับมือกับความท้าทายด้านความปลอดภัยในโลกไซเบอร์ยุคใหม่
การเพิ่มขึ้นของเทคโนโลยีดิจิทัลในการดูแลสุขภาพได้ปฏิวัติการดูแลผู้ป่วย กระบวนการปรับปรุงประสิทธิภาพ และให้การเข้าถึงข้อมูลทางการแพทย์อย่างที่ไม่เคยมีมาก่อน แต่เช่นเดียวกับความก้าวหน้าทางเทคโนโลยีอื่นๆ การเปลี่ยนแปลงทางดิจิทัลนี้ยังทำให้เกิดช่องโหว่ที่สำคัญ โดยเฉพาะอย่างยิ่งในการปกป้องความเป็นส่วนตัวของข้อมูลด้านสุขภาพที่ละเอียดอ่อน ข้อมูลเชิงลึกล่าสุดเกี่ยวกับภูมิทัศน์ความปลอดภัยทางไซเบอร์ด้านสุขภาพดิจิทัล เน้นย้ำถึงความต้องการที่สำคัญสำหรับการปกป้องความเป็นส่วนตัวที่แข็งแกร่ง เนื่องจากการโจมตีทางไซเบอร์มีขนาดและความซับซ้อนเพิ่มมากขึ้น
กฎความปลอดภัย HIPAA กำหนดมาตรการป้องกันด้านการบริหาร กายภาพ และทางเทคนิคในการปกป้องข้อมูลสุขภาพส่วนบุคคลแบบอิเล็กทรอนิกส์ (e-PHI) โดยให้สิทธิ์ในการดำเนินการตามดุลยพินิจของหน่วยงานที่ครอบคลุม ความยืดหยุ่นนี้มีจุดมุ่งหมายเพื่อรองรับขนาดและความสามารถขององค์กรที่แตกต่างกัน แต่ยังอาจส่งผลให้เกิดการใช้งานและการบังคับใช้ที่ไม่สอดคล้องกัน ที่น่ากังวลยิ่งกว่านั้น รายงาน CRS ระบุว่า HIPAA ใช้กับหน่วยงานที่ครอบคลุมเฉพาะเจาะจงเท่านั้น เช่น ผู้ให้บริการด้านการดูแลสุขภาพและบริษัทประกัน โดยละทิ้งนักพัฒนาแอปด้านสุขภาพส่วนบุคคลและผู้สร้างนวัตกรรมเทคโนโลยีอื่น ๆ ที่จัดการข้อมูลที่ละเอียดอ่อนคล้ายคลึงกัน ด้วยเหตุนี้ จึงทำให้เกิดช่องว่างสำคัญที่ข้อมูลด้านสุขภาพยังคงเสี่ยงต่อการถูกแสวงหาผลประโยชน์
นักวิจารณ์ยังเน้นย้ำถึงการที่กฎความปลอดภัยไม่สามารถจัดการกับภัยคุกคามที่เกิดขึ้นใหม่ได้อย่างเพียงพอ เช่น แรนซัมแวร์ และการใช้ข้อมูลในทางที่ผิดในการพัฒนาโมเดล AI ตัวอย่างเช่น AI อาศัยชุดข้อมูลจำนวนมากสำหรับการฝึกอบรมและการตรวจสอบ ทำให้เกิดความกังวลว่าความเป็นส่วนตัวของผู้ป่วยได้รับการปกป้องอย่างเพียงพอในกระบวนการดังกล่าวหรือไม่
กฎการแจ้งเตือนการละเมิดของ HIPAA ได้รับการออกแบบมาเพื่อให้เกิดความโปร่งใสเมื่อมีการละเมิดเกิดขึ้น และกำหนดให้หน่วยงานที่ครอบคลุมต้องแจ้งบุคคลที่ได้รับผลกระทบ กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) และสื่อในบางกรณี อย่างไรก็ตาม กฎดังกล่าวยังคงมีการตอบสนอง โดยจัดการกับผลที่ตามมาของการละเมิด แทนที่จะป้องกันเหตุการณ์ตั้งแต่แรก CRS กล่าว
เมื่อหน่วยงานที่อยู่นอกขอบเขตประสบการณ์ของ HIPAA ละเมิด กฎการแจ้งเตือนการละเมิดด้านสุขภาพของคณะกรรมาธิการการค้าแห่งสหพันธรัฐ (FTC) จะถูกนำมาใช้ อย่างไรก็ตาม ระบบคู่นี้สร้างความสับสนให้กับผู้มีส่วนได้ส่วนเสีย ซึ่งต้องนำทางเขตอำนาจศาลที่ทับซ้อนกัน การขาดกรอบการทำงานที่เป็นหนึ่งเดียวและครอบคลุมทำให้ปัญหารุนแรงขึ้น ส่งผลให้ผู้ป่วยไม่แน่ใจเกี่ยวกับความปลอดภัยของข้อมูลสุขภาพของตนเอง
ข้อกังวลเร่งด่วนอีกประการหนึ่งคือความปลอดภัยทางไซเบอร์ของอุปกรณ์การแพทย์ อุปกรณ์ทางการแพทย์สมัยใหม่จำนวนมากเชื่อมต่อกับเครือข่ายหรืออินเทอร์เน็ต ซึ่งเพิ่มความอ่อนไหวต่อการโจมตีทางไซเบอร์ โรงพยาบาลมักจะใช้งานอุปกรณ์ที่เชื่อมต่อถึงกันหลายพันเครื่อง ทำให้การตรวจสอบและรักษาความปลอดภัยอุปกรณ์ปลายทางทุกจุดเป็นเรื่องที่ท้าทาย อุปกรณ์ที่ไม่ปลอดภัยไม่เพียงแต่เป็นอันตรายต่อความเป็นส่วนตัวของผู้ป่วยเท่านั้น แต่ยังเป็นอันตรายต่อการดูแลอีกด้วย ตัวอย่างเช่น ปั๊มแช่หรือเครื่องกระตุ้นหัวใจที่ถูกบุกรุกอาจส่งผลร้ายแรงถึงชีวิตได้
สำนักงานคณะกรรมการอาหารและยา (FDA) ได้ดำเนินการตามขั้นตอนเพื่อแก้ไขช่องโหว่เหล่านี้ผ่านแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ก่อนการวางตลาดและหลังการวางตลาด อย่างไรก็ตาม ความรับผิดชอบในการรับรองความปลอดภัยของอุปกรณ์มักตกเป็นพื้นที่สีเทาระหว่างผู้ผลิตและผู้ให้บริการด้านการดูแลสุขภาพ ความคลุมเครือนี้เน้นย้ำถึงความจำเป็นในการมีความรับผิดชอบที่ชัดเจนยิ่งขึ้นและการกำกับดูแลที่เข้มงวดมากขึ้นเพื่อป้องกันการละเมิดที่อาจเป็นอันตรายต่อความเป็นส่วนตัวและความปลอดภัยของผู้ป่วย
ผลกระทบของการละเมิดความเป็นส่วนตัวในการดูแลสุขภาพมีมากกว่าต้นทุนทางการเงิน ผู้ป่วยอาจได้รับอันตรายต่อชื่อเสียง การเลือกปฏิบัติ หรือการขโมยข้อมูลส่วนตัวอันเนื่องมาจากข้อมูลด้านสุขภาพที่รั่วไหล การโจมตีทางไซเบอร์ยังนำไปสู่การปิดโรงพยาบาลและการหยุดชะงักในการให้การดูแลอีกด้วย ในกรณีที่ร้ายแรง การหยุดชะงักเหล่านี้อาจส่งผลต่อผลลัพธ์ด้านสุขภาพหรือการเสียชีวิต
ความถี่ที่เพิ่มขึ้นของการโจมตีแรนซัมแวร์ยิ่งเพิ่มความเสี่ยงเหล่านี้ ในเหตุการณ์ดังกล่าว แฮกเกอร์จะเข้ารหัสข้อมูลสุขภาพที่สำคัญและเรียกร้องการชำระเงินเพื่อเผยแพร่ข้อมูลดังกล่าว การหยุดทำงานที่เกิดขึ้นมักทำให้ผู้ให้บริการด้านการดูแลสุขภาพต้องกลับไปใช้กระบวนการแบบแมนนวล ทำให้การรักษาล่าช้า และทำให้คุณภาพการดูแลลดลง
แนวทางที่กระจัดกระจายในการปกป้องข้อมูลการดูแลสุขภาพส่วนบุคคลทำให้ภาคส่วนด้านสุขภาพต้องพึ่งพาแนวปฏิบัติของรัฐบาลกลาง รัฐ และโดยสมัครใจ แม้ว่า HHS และ FTC จะบังคับใช้ HIPAA และกฎการแจ้งเตือนการละเมิดด้านสุขภาพ แต่ขอบเขตที่จำกัดของทั้งสองก็ไม่สามารถครอบคลุมหน่วยงานทั้งหมดที่จัดการข้อมูลด้านสุขภาพได้
ความพยายามในการเสริมสร้างกฎระเบียบด้านความปลอดภัยทางไซเบอร์ยังคงค้างอยู่ HHS เผยแพร่ประกาศเกี่ยวกับการสร้างกฎที่เสนอเพื่ออัปเดตกฎความปลอดภัย HIPAA เมื่อห้าปีที่แล้ว ในขณะเดียวกัน ได้มีการออกกฎหมายหลายฉบับ แต่ความคืบหน้ายังช้า ทำให้เกิดช่องว่างที่อาชญากรไซเบอร์ยังคงแสวงหาประโยชน์ต่อไป
เมื่อเทคโนโลยีด้านการดูแลสุขภาพพัฒนาขึ้น การสร้างสมดุลที่เหมาะสมระหว่างนวัตกรรมและความเป็นส่วนตัวจึงเป็นสิ่งสำคัญยิ่ง ผู้มีส่วนได้ส่วนเสียจะต้องร่วมมือกันสร้างกรอบการทำงานที่ปกป้องข้อมูลผู้ป่วยโดยไม่ขัดขวางความก้าวหน้าทางเทคโนโลยี ซึ่งรวมถึงการขยายความครอบคลุมด้านกฎระเบียบ การปรับปรุงมาตรฐานความปลอดภัยทางไซเบอร์ การลงทุนในความยืดหยุ่น และการเพิ่มความโปร่งใส
กฎหมายเช่น HIPAA จะต้องพัฒนาเพื่อรวมหน่วยงานที่ไม่ใช่แบบดั้งเดิม เช่น นักพัฒนาแอปและบริษัท AI ที่จัดการข้อมูลด้านสุขภาพ มาตรฐานพื้นฐานที่บังคับทั่วทั้งระบบนิเวศด้านการดูแลสุขภาพสามารถลดความแปรปรวนและปรับปรุงความปลอดภัยโดยรวมได้ เงินช่วยเหลือและทรัพยากรสำหรับหน่วยงานที่ได้รับทุนสนับสนุนน้อย โดยเฉพาะสถานพยาบาลในชนบท สามารถช่วยให้พวกเขานำมาตรการรักษาความปลอดภัยทางไซเบอร์มาใช้ได้ และแนวทางปฏิบัติในการแจ้งเตือนการละเมิดที่ชัดเจนและสม่ำเสมอสามารถสร้างความไว้วางใจในหมู่ผู้ป่วยและรับประกันความรับผิดชอบ
ความเป็นส่วนตัวของข้อมูลด้านสุขภาพถือเป็นรากฐานสำคัญของความไว้วางใจในระบบการดูแลสุขภาพ เมื่อภัยคุกคามต่อความเป็นส่วนตัวนี้เพิ่มมากขึ้น ความพยายามร่วมกันในการปกป้องความเป็นส่วนตัวจึงต้องเพิ่มมากขึ้นเช่นกัน ผู้กำหนดนโยบาย ผู้ให้บริการด้านการดูแลสุขภาพ นักพัฒนาเทคโนโลยี และหน่วยงานกำกับดูแลจะต้องดำเนินการอย่างเด็ดขาดเพื่อปิดช่องว่าง เสริมสร้างการป้องกัน และสร้างกรอบการทำงานที่ยืดหยุ่นซึ่งรักษาความปลอดภัยข้อมูลผู้ป่วยในโลกดิจิทัลที่เพิ่มมากขึ้น การไม่ปฏิบัติตามนั้นไม่เพียงแต่มีความเสี่ยงต่อความเป็นส่วนตัวเท่านั้น แต่ยังรวมถึงความสมบูรณ์ของระบบการดูแลสุขภาพด้วย
หัวข้อบทความ
------
