زمانی که هکر‌ها شروع به باجگیری می‌کنند

سریما نازاریان

منبع: HBR

در‌ایمیلی که پاول دریافت کرد، نوشته شده بود: «امنیت شبکه شما افتضاح است. ولی ما در ازای صد هزار دلار نقد کمکتان می‌کنیم که بیمارستان کوچک‌تان متحمل هیچ فاجعه‌ای نشود!» پاول با خودش فکر کرد: «چرند است» و نامه را پاک کرد. پاول، مدیر عامل بیمارستان سانی لیک عصر یک روز جمعه‌این نامه را از فرستنده‌ای ناشناس دریافت کرد. او پنج سال پیش با هدف الکترونیکی کردن سیستم سانی لیک به‌این بیمارستان آمده بود. او مطمئن بود که‌این بیمارستان در صورتی که به جای استفاده از پرونده‌های کاغذی به فایل‌های کامپیوتری (EMR) رو بیاورد، کیفیت مراقبت از بیماران را افزایش می‌دهد. پاول پس از استخدام شدن در‌این بیمارستان، جیکوب را که مردی جوان و مصمم بود به عنوان مدیر آی‌تی بیمارستان استخدام کرده بود و آنها دو نفری سعی کرده بودند رویای جیکوب را واقعی کنند.

موفقیت سیستم EMR بیمارستان سانی لیک را از بیمارستانی گمنام به مدل همه بیمارستان‌ها تبدیل کرده بود. امروز همه تیم پزشکی برای دسترسی به پرونده بیماران از ریدر‌های الکترونیکی استفاده می‌کردند. بسیاری از دکتر‌ها در ابتدا با تغییر مخالفت کرده بودند؛ ولی با گذشت زمان همه دیده بودند که این سیستم عملکرد همه را بهبود بخشیده است.

این موفقیت، بخش‌ آی‌تی بیمارستان را به یک بخش با ارزش تبدیل کرده بود. حالا پاول احساس می‌کرد که سیستم EMR میراث او برای بیمارستان است.

تهدید موجود در‌ایمیل، پاول را به هیچ وجه مضطرب نکرد. او به جیکوب عمیقا اعتقاد داشت. در زمان تولید سیستم، پاول مرتبا به جیکوب گوشزد می‌کرد که حریم خصوصی بیماران بسیار مهم است و جیکوب هم به او می‌گفت که فایل‌های کامپیوتری بسیار امن تر از سیستم کاغذی هستند. با‌این وجود، پاول تا زمانی که سیستم شروع به کار کرد نگران بود و تنها زمانی خیالش راحت شد که با گذشت زمان هیچ مشکلی برای سیستم پیش نیامد. حالا اگرچه او می‌دانست که هیچ سیستم کامپیوتری بی‌نقص نیست، ولی مطمئن بود که شبکه‌اش از طرف افراد تازه کار در خطر نیست.

او در آخر هفته موضوع را فراموش کرد تا زمانی که صبح روز دوشنبه،‌ ایمیل دیگری با‌این مضمون دریافت کرد که: «ما هشدار دادیم!»

سخت ترین روز زندگی پاول داشت شروع می‌شد!

دسترسی امکان پذیر نیست!

دکتر بر سر انترن فریاد زد: «بیمار دارد به اتاق عمل می‌رود. ما به فایلش همین الان احتیاج داریم!» و با خودش فکر کرد: «این انترن تازه یک هفته است که آمده و هنوز هیچی نشده بی‌لیاقتیش را ثابت کرده است.»

سپس با عصبانیت ریدر را از دست او کشید و خودش کد بیمار را وارد کرد.‌این پیام روی صفحه نمایان شد: «دسترسی امکان‌پذیر نیست». با خودش فکر کرد: «یعنی چی؟ من دیروز به فایل‌های‌ این بیمار دسترسی داشتم.»

بخش‌ آی‌تی شبکه را به گونه‌ای طراحی کرده بود که تنها پزشکان، پرستاران و مدیرانی که به فایل‌ها نیاز داشتند به آنها دسترسی داشتند. ولی به نظر امروز یک جای کار‌ایراد داشت. دکتر در حالی که سعی می‌کرد جلوی خودش را بگیرد و دستگاه را به جایی نکوبد، به سمت بخش آی‌تی حرکت کرد و آنقدر عصبانی بود که متوجه نشد که پرستاران نگران به صفحه مانیتورشان خیره شده بودند و صفحه‌های تبلیغاتی خالی بودند.

در مرکز آی‌تی هم چیزی‌ایراد داشت. پزشکان بسیاری هر کدام در حالی که ریدرشان را در دست داشتند، دور دیوار شیشه‌ای بخش ازدحام کرده بودند و در داخل اتاق، کارکنان دیوانه وار در حال کار بودند. روی ریدر همه پزشکان عبارتی مشابه دیده می‌شد: «دسترسی امکان‌پذیر نیست.»

باج

چند دقیقه بعد، جیکوب در دفتر پاول بود که‌ ایمیل سوم رسید. هر دو آن را خواندند: «حتما اطلاعاتتان را پس می‌خواهید. در ازای ۱۰۰ هزار دلار ناقابل همه ‌این مشکلات از بین می‌رود.»

پاول گفت: «چه اتفاقی دارد می‌افتد؟ پزشکان در راهروها دارند فریاد می‌زنند.»

جیکوب گفت: «آنها سیستم را هک کرده‌اند و صد هزار دلار می‌خواهند تا کد آزاد کردن آن را به ما بگویند.» همه تیم او به سختی مشغول کار بودند. ولی حتی برنامه نویسانی که تنها تعداد معدودی از آنها به سیستم دسترسی داشتند هم امروز تنها می‌توانستند صفحه دسترسی امکان‌پذیر نیست را ببینند.

«آنها چگونه وارد سیستم ما شده‌اند؟»

«احتمالا از طریق یکی از ریدر‌ها. احتمالا یکی از کاربران فکر کرده است که دارد یک نرم‌افزار آنتی ویروس نصب می‌کند.»

«یعنی یکی از کارکنان احمق خودمان باعث همه ‌این مشکلات شده است؟» پاول در همین لحظه فهمید که بخش ‌آی‌تی بیمارستان به‌اندازه کافی بزرگ و پیچیده نیست که بتواند چنین مشکل ویرانگری را برطرف کند. در سه سال گذشته، تکنولوژی امنیتی پیشرفت‌های بسیاری کرده بود ولی به نظر می‌رسید که سانی لیک با سرعت کافی آن را دنبال نکرده بود.

البته همه رکورد‌ها روی شبکه هم ذخیره پشتیبان داشتند؛ پس اطلاعات بیماران گم نشده بود. ولی در حال حاضر بیمارستان راهی برای دادن آن فایل‌ها به پزشکانی که به آنها نیاز داشتند، نداشت.

پاول با ناراحتی به جیکوب نگاه کرد و گفت: «این واقعا، واقعا بد است! خیلی بد.» جیکوب با ناراحتی گفت: «کدام بی‌شعوری یک بیمارستان را هک می‌کند؟ آنها نگران آسیب زدن به بیماران نیستند؟»

«راستش جیکوب، من فکر نمی‌کنم که هکر‌ها به نوعی کد اخلاقی متعهد باشند.» او در حالی که سعی می‌کرد جلوی خودش را بگیرد و سر جیکوب داد نزند ادامه داد: «احتمالا آنها فهمیده‌اند که ما به سیستم الکترونیکی‌مان خیلی وابسته‌ایم. اگر تو یک سایت عادی را هک کنی، احتمالا سازمانی کلی پول از دست می‌دهد. ولی اگر بیمارستانی را هک کنی، احتمال دارد به بیمارانی آسیب بزنی که بیمارستان دارد سعی می‌کند به آنها کمک کند.‌اینجا دیگر بحث فقط پول نیست. جان انسان‌ها در خطر است.»

جیکوب گفت: «ما داریم با تمام نیرو می‌جنگیم. اگر زمان کافی داشته باشیم، دوباره کنترل سیستم را به دست می‌آوریم و اطمینان حاصل می‌کنیم که چنین اتفاقی هرگز دوباره رخ نمی‌دهد.»

«سوال‌ این است که، کی دوباره کنترل را به دست می‌آوریم؟ نمی‌توانیم بدون رکورد‌ها زیاد ادامه دهیم.» جیکوب گفت: «ما سیستم را بهتر از آنها می‌شناسیم، ولی آنها مزیت سورپریز کردن را دارند. من مطمئنم که ما برنده می‌شویم. برای چنین مشکلی یک

راه‌حل آنی وجود ندارد.»

پاول در حالی که به مانیتور اشاره می‌کرد گفت: «آنها یکی را پیشنهاد کرده‌اند.» پاول ناباورانه گفت: «ولی تو نمی‌توانی ‌این پول را به آنها بدهی، اگر‌این کار را بکنی، برای همیشه هدف آنها خواهی بود.‌این کار درست نیست. فقط کمی‌به من زمان بده پاول. ما می‌توانیم‌اینها را شکست دهیم.»

یک بمب در حال انفجار

لیزا، مشاور ارشد سازمان گفت: «پاول باید مشکل را حل کنیم.» بعد از آخرین ‌ایمیل هکر‌ها، بخش آی‌تی دو بار سیستم را راه‌اندازی مجدد کرده بود، ولی چند دقیقه بعد، سیستم دوباره از کار افتاده بود. هر بار هکر‌ها دوباره کنترل را در دست می‌گرفتند. کارکنان داشتند ناامید می‌شدند. به دکتر‌ها دستور داده بودند که دارو‌ها را روی کاغذ بنویسند. ولی اکثرا با‌این موضوع مشکل داشتند. پزشکان جوان و بسیاری از پزشکان مسن‌تر اصلا نمی‌دانستند چگونه باید ۵۰۰ میلی گرم آموکسی سیلین را به شیوه‌ای قابل خواندن بنویسند. پاول لیزا را فرا خوانده بود که راه حلی بیابند.

«این وضعیت هر چه بیشتر طول بکشد، وضعمان بدتر می‌شود. هر ثانیه مسوولیت می‌آورد. پزشکان دارند از فایل‌های کاغذی قدیمی ‌استفاده می‌کنند ولی آنها اصلا به روز نیستند. همین صبح به بیماری دارویی را دادیم که به آن آلرژی داشت. شانس آوردیم که آلرژیش جدی نبود. ولی دفعه بعد شاید‌اینقدر شانس نیاوریم. ما باید به فایل‌ها دسترسی پیدا کنیم. به نظر نمی‌آید که بخش آی‌تی بتواند مشکل را به سرعت کافی حل کند.»

پاول که سعی می‌کرد اطمینان در حال کاهشش به جیکوب را حفظ کند گفت: «جیکوب گفت برای‌این کار زمان می‌خواهند.»

«ولی ما‌اینقدر زمان نداریم. می‌دانی که برای‌این مواقع یک بودجه اضطراری داریم. بخش آی‌تی هم که بیمه است و بیمه‌، این هزینه را پوشش می‌دهد. صد هزار دلار در مقابل میلیون‌ها دلاری که در صورت شکایت کردن از بیمارستان باید غرامت پرداخت کنیم چیزی نیست. فکر می‌کنم که بهتر باشد‌این پول را بدهیم. هر چه بیشتر صبر کنیم، خطر بیشتری را به جان می‌خریم.»

«در‌این صورت آنها را تشویق می‌کنیم که باز هم کارشان را تکرار کنند و شاید به سراغ بیمارستان‌های دیگر بروند.»

لیزا تازه خارج شده بود که جورج، سرپرست کارکنان با خشم وارد شد. «کی می‌خواهی‌این را حل کنی؟ می‌دانی‌این مشکل چه بلای سر اعتبارمان می‌آورد؟» او قبل از آنکه پاول به‌ این بیمارستان بیاید در‌اینجا کار می‌کرد و احتمالا بعد از او هم می‌ماند. او در ابتدا با سیستم مخالفت کرده بود، ولی بعد که فواید آن را دیده بود، راضی شده بود.

«همه دارند سخت کار می‌کنند.‌این موضوع برای همه ما مشکل است.»

«فکر نمی‌کنم میزان سخت بودن آن را بدانی. تنها در صورتی آن را درک می‌کنی که سعی کنی برای بیماری دارویی تجویز کنی و در همان زمان فکر کنی شاید همین دارو او را به کشتن دهد.»

«جورج تو خودت هم به فواید‌این سیستم اعتقاد داری. خودت گفتی»

«خوب، آن موقع نمی‌دانستم که چه مشکلاتی می‌تواند‌ایجاد کند. شاید استفاده از کاغذ کند تر بود، ولی لااقل مطمئن تر بود. پاول اگر‌این مشکل را زودتر حل نکنی، نه من و نه خیلی‌های دیگر هرگز دوباره به‌این ریدر‌ها دست نمی‌زنیم.»

....

ساعت یک نصف شب بود و پاول هنوز در دفترش بود. تیم آی‌تی هر بار تنها مدت کوتاهی توانسته بود کنترل را در دست بگیرد. جیکوب و تیمش دیوانه‌وار داشتند همه راهکارها را امتحان می‌کردند. مسوولیت آن روز را به سختی روی سینه‌اش احساس می‌کرد. پاول به خوبی به یاد داشت روزهایی که سعی کرده بود همه را قانع کند که‌این سیستم خوب است. اگر او مشکل را به زودی حل نمی‌کرد، نه تنها جورج که بسیاری دیگر شاید هرگز دوباره به EMR و خود او اطمینان نمی‌کردند.

اگر او همین یک بار‌این باج را می‌داد، سانی لیک می‌توانست امنیت سیستمش را بهتر کند و اطمینان حاصل کند که چنین مشکلی دیگر پیش نمی‌آید. باورش نمی‌شد که واقعا داشت به باج دادن فکر می‌کرد.

سوال: سانی لیک چگونه باید با‌ این حمله رو به رو شود؟