การแฮ็กระบบสุขภาพ-ISAC 11-20-2015

สัปดาห์นี้ รายการ Hacking Healthcare® ของ Health-ISAC® จะวิเคราะห์ร่างกฎหมายฉบับใหม่ของสหราชอาณาจักร (UK) ที่จะปรับปรุงกฎระเบียบด้านความปลอดภัยเครือข่ายและสารสนเทศ (NIS) มาร่วมวิเคราะห์กันว่ารัฐบาลสหราชอาณาจักรหวังจะบรรลุผลสำเร็จอะไรจากกฎหมายฉบับใหม่นี้ และผลกระทบที่อาจเกิดขึ้นกับภาคสาธารณสุข

ขอเตือนว่านี่คือเวอร์ชันสาธารณะของบล็อก Hacking Healthcare หากต้องการการวิเคราะห์และความคิดเห็นเชิงลึกเพิ่มเติม โปรดสมัครเป็นสมาชิกของ H-ISAC และรับบล็อกเวอร์ชัน TLP Amber (มีให้ในพอร์ทัลสมาชิก)

เวอร์ชัน PDF: 

เวอร์ชันข้อความ:

ยินดีต้อนรับกลับสู่ Hacking Healthcare®

การปฏิรูปกฎระเบียบเครือข่ายและความปลอดภัยข้อมูล (NIS) ของสหราชอาณาจักรนำเสนอต่อรัฐสภา 

ภาพรวมสินค้า

ก่อนที่สหราชอาณาจักรจะถอนตัวออกจากสหภาพยุโรป (EU) เช่นเดียวกับสมาชิกสหภาพยุโรปทั้งหมด สหราชอาณาจักรได้นำกฎระเบียบและคำสั่งของสหภาพยุโรปมาใช้ เช่น ข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูล (GDPR) โดยนำมารวมไว้ในกฎหมายของประเทศ อย่างไรก็ตาม นับตั้งแต่ออกจากสหภาพยุโรปในปี 2020 สหราชอาณาจักรไม่ได้ผูกพันตามแนวทางนโยบายของสหภาพยุโรปอีกต่อไป และต้องกำหนดแนวทางของตนเองในประเด็นต่างๆ เช่น ความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัว ผลจากการแยกตัวครั้งนี้ทำให้สหราชอาณาจักรค่อยๆ ปรับปรุงกฎหมายและข้อบังคับในยุค EU ซึ่งมักจะได้รับแรงบันดาลใจจากการปรับปรุงกฎระเบียบของสหภาพยุโรปเอง และยังคงล้าหลังอยู่บ้าง

หนึ่งในกฎระเบียบที่เกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์ในยุคสหภาพยุโรปที่สำคัญที่สุดในสหราชอาณาจักรคือ กฎระเบียบเครือข่ายและระบบสารสนเทศ พ.ศ. 2018 (NIS) ดังที่คุณคาดการณ์ไว้ การนำ NIS มาใช้ของสหราชอาณาจักรมีความคล้ายคลึงกับประเทศสมาชิกสหภาพยุโรปอื่นๆ อย่างมาก กฎระเบียบเหล่านี้ทำหน้าที่ “[กำหนด] มาตรการทางกฎหมายเพื่อยกระดับความปลอดภัยโดยรวม (ทั้งด้านความมั่นคงปลอดภัยทางไซเบอร์และทางกายภาพ) ของระบบเครือข่ายและระบบสารสนเทศ ซึ่งมีความสำคัญอย่างยิ่งต่อการให้บริการดิจิทัล (ตลาดออนไลน์ เครื่องมือค้นหาออนไลน์ บริการคลาวด์คอมพิวติ้ง) และบริการที่จำเป็น (การขนส่ง พลังงาน น้ำ สุขภาพ และบริการโครงสร้างพื้นฐานดิจิทัล)”[I]

แม้ว่าสหภาพยุโรปจะผลักดันการอัปเดต NIS ล่วงหน้ามาหลายปีแล้ว โดยที่การดำเนินการเต็มรูปแบบยังดำเนินอยู่และล่าช้ากว่ากำหนด แต่ขณะนี้ สหราชอาณาจักรเพิ่งจะดำเนินการอัปเดต NIS โดยการพัฒนาล่าสุดคือการนำร่างกฎหมายความมั่นคงปลอดภัยทางไซเบอร์และความยืดหยุ่น (CSRB) เข้าสู่รัฐสภา[Ii] ร่างกฎหมายฉบับนี้จะปรับปรุง NIS เดิมเพื่อให้สามารถตอบสนองต่อการพัฒนาด้านเทคโนโลยี สภาพแวดล้อมภัยคุกคามที่เปลี่ยนแปลงไป และแก้ไขข้อบกพร่องบางประการของรอบแรกได้ดีขึ้น

ทำไมต้องอัปเดต?

ดังที่ได้กล่าวไปแล้วข้างต้น มีการเปลี่ยนแปลงมากมายนับตั้งแต่ปี 2018 ทั้งพัฒนาการทางเทคโนโลยี สภาพแวดล้อมภัยคุกคามที่เปลี่ยนแปลงไป ข้อบกพร่องของ NIS รุ่นแรก และอิสระในการร่างนโยบายเฉพาะของสหราชอาณาจักร ล้วนเป็นแรงผลักดันให้เกิดการปรับปรุงนี้ โดยเฉพาะอย่างยิ่ง การปรับปรุงนี้จะกล่าวถึง:

• การพัฒนาทางเทคโนโลยี: การพัฒนาทางเทคโนโลยี เช่น ความสำคัญที่เพิ่มมากขึ้นของศูนย์ข้อมูล ผู้ให้บริการที่ได้รับการจัดการ และตัวควบคุมโหลดขนาดใหญ่ ทำให้เกิดแรงจูงใจในการแก้ไขขอบเขตของข้อบังคับ NIS เพื่อครอบคลุมเทคโนโลยีใหม่ๆ[iii]
• สภาพแวดล้อมภัยคุกคามที่เปลี่ยนแปลงไป: ในสรุปร่างกฎหมาย กระทรวงวิทยาศาสตร์ นวัตกรรมและเทคโนโลยี (DSIT) อธิบายว่า “เมื่อปีที่แล้ว สหราชอาณาจักรเป็นประเทศที่ตกเป็นเป้าหมายมากที่สุดในยุโรป” และได้อ้างอิงสถิติที่พบว่า “องค์กรโครงสร้างพื้นฐานระดับชาติที่สำคัญของสหราชอาณาจักร 95% ประสบปัญหาการละเมิดข้อมูลในปี 2024”[Iv] นอกจากนี้ DSIT ยังระบุอีกว่า “เนื่องจากภัยคุกคามมีความรุนแรงมากขึ้น เกิดขึ้นบ่อยครั้งขึ้น และซับซ้อนมากขึ้น ระบบป้องกันของเราก็อ่อนแอลงเมื่อเทียบกัน”[V]
• ข้อบกพร่องของ NIS: มีการดำเนินการทบทวนหลังการนำไปปฏิบัติ (PIR) ของข้อบังคับ NIS สองครั้งในปี 2020[Vi] และ 2022[Vii] โดยรัฐบาลสหราชอาณาจักร การตรวจสอบเหล่านี้พบข้อบกพร่องหลายประการในกฎระเบียบ NIS รวมถึงข้อค้นพบที่ว่า “แม้ว่าองค์กรต่างๆ กำลังดำเนินมาตรการเพื่อประกันความปลอดภัยของเครือข่ายและระบบสารสนเทศของตน แต่อัตราการปรับปรุงจำเป็นต้องเร่งให้เร็วขึ้น” และ NIS “ไม่ได้ทำงานตามที่ตั้งใจไว้ในหลายประเด็นสำคัญ เช่น ขอบเขตของกฎระเบียบและจำนวนรายงานเหตุการณ์ที่ส่งเข้ามาน้อย”[Viii]

CSRB จะจัดการกับปัญหาเหล่านี้อย่างไร?

เราจะไม่กล่าวถึงการแก้ไขที่เสนอทั้งหมดภายใน 100 หน้าของ CSRB โดยเฉพาะอย่างยิ่งเมื่อหลายข้ออาจไม่ได้เกี่ยวข้องกับภาคสาธารณสุขโดยตรง อย่างไรก็ตาม ในระดับที่สูงขึ้น DSIT อธิบายว่า CSRB ถูกสร้างขึ้นบนเสาหลักสามประการ ได้แก่

• ขยายขอบเขต:CSRB จะขยายขอบเขตของ NIS ให้ครอบคลุม “บริการที่จำเป็นอย่างยิ่งยวด ซึ่งการหยุดชะงักของบริการเหล่านี้จะส่งผลกระทบต่อชีวิตประจำวันของเรา” ได้ดียิ่งขึ้น นอกเหนือจากศูนย์ข้อมูล ผู้ให้บริการที่ได้รับการจัดการ และตัวควบคุมโหลดขนาดใหญ่แล้ว ส่วนเพิ่มเติมที่น่าสนใจที่สุดคือ “ซัพพลายเออร์สำคัญที่ได้รับการแต่งตั้ง” ซึ่งเราจะกล่าวถึงต่อไป
• หน่วยงานกำกับดูแลที่มีประสิทธิผล:CSRB จะมอบชุดเครื่องมือที่แข็งแกร่งยิ่งขึ้นให้แก่หน่วยงานกำกับดูแล เพื่อให้มั่นใจว่าจะมีการนำกฎระเบียบ NIS ฉบับใหม่มาใช้และบังคับใช้ ซึ่งรวมถึงระบบการรายงานเหตุการณ์ใหม่ กลไกและการคุ้มครองการแบ่งปันข้อมูลใหม่ และบทลงโทษใหม่สำหรับการไม่ปฏิบัติตาม
• เปิดใช้งานความยืดหยุ่น:CSRB จะประกอบด้วยเครื่องมือที่ช่วยให้รัฐบาลสหราชอาณาจักรปรับตัวได้อย่างคล่องตัวมากขึ้นต่อภัยคุกคามที่เปลี่ยนแปลงไปและข้อบกพร่องที่เกิดขึ้นใหม่ โดยเฉพาะอย่างยิ่ง CSRB จะเปิดใช้งานกฎหมายรองที่สามารถ “เพิ่มขอบเขตของภาคส่วนต่างๆ หรือปรับปรุงและนำข้อกำหนดด้านความมั่นคงและความยืดหยุ่นใหม่ๆ มาใช้” และมอบอำนาจใหม่แก่รัฐบาลที่จะช่วยให้รัฐบาลสามารถ “สั่งการให้หน่วยงานกำกับดูแลหรือหน่วยงานกำกับดูแลดำเนินการอย่างตรงเป้าหมายและได้สัดส่วนเพื่อรับมือกับภัยคุกคามที่ใกล้เข้ามาซึ่งก่อให้เกิดความเสี่ยงต่อความมั่นคงแห่งชาติของสหราชอาณาจักร”[Ix]

เส้นทางข้างหน้า 

CSRB เพิ่งได้รับการนำเสนอต่อสภาสามัญชนและยังมีขั้นตอนอีกมากก่อนที่จะได้รับการลงนามเป็นกฎหมาย

การดำเนินการและการวิเคราะห์
**รวมอยู่ในการเป็นสมาชิก Health-ISAC**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] ตัวควบคุมโหลดขนาดใหญ่ถูกกำหนดให้เป็น "องค์กรที่ควบคุมโหลดไฟฟ้า 300MW หรือมากกว่าเพื่อควบคุมเครื่องใช้ไฟฟ้าของผู้บริโภคจากระยะไกล"

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] หน่วยงานที่อยู่ภายใต้การควบคุมในบริบทนี้จะรวมถึงซัพพลายเออร์ที่สำคัญที่ได้รับการกำหนดตาม DSIT

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] หมายเหตุอธิบายสำหรับ CSRB ให้ตัวอย่างการจัดตำแหน่งล่วงหน้าและเหตุการณ์แรนซัมแวร์

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

• แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง
• การแฮ็กระบบสุขภาพ-ISAC 4-14-2026
• เครื่องมือ AI อย่าง Mythos และเครื่องมือที่คล้ายคลึงกัน ยกระดับความสำคัญของเทคโนโลยีความปลอดภัยทางไซเบอร์ในอุตสาหกรรมการดูแลสุขภาพ
• โรงพยาบาลในรัฐแมสซาชูเซตส์ปฏิเสธการรับรถพยาบาลหลังถูกโจมตีทางไซเบอร์
• พอดแคสต์: ฟิล เอนเกลอร์ท กับ ความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์
• ภัยคุกคามจากบุคคลภายในกลับมาอีกครั้ง
• 'โอกาสที่พลาดไป': การที่รัฐบาลสหรัฐฯ ไม่เข้าร่วมการประชุม RSAC ทำให้เกิดช่องว่างอย่างเห็นได้ชัด
• การแฮ็กระบบสุขภาพ-ISAC 3-26-2026
• การแฮ็กระบบสุขภาพ-ISAC 3-19-2026
• จดหมายข่าวรายเดือนของ Health-ISAC – เมษายน 2026
• รายงานสรุปหลังการปฏิบัติการ: โครงการฝึกซ้อมเสริมสร้างความยืดหยุ่นด้านสุขภาพ-ISAC ปี 2025