زمانی که هکر‌ها شروع به باجگیری می‌کنند - ۲۰ اردیبهشت ۹۰

سریما نازاریان

پاسخ مطالعه موردی هفته گذشته

بیمارستان سانی لیک که از سیستم الکترونیکی برای پرونده‌های بیماران استفاده می‌کند، مورد حمله هکر‌ها قرار گرفته است. در حال حاضر هیچ کدام از کارکنان بیمارستان به پرونده بیماران دسترسی ندارند و امور رسیدگی به بیماران با مشکل مواجه شده است. هکر‌ها برای حل کردن مشکل سیستم درخواست رشوه کرده‌اند و بخش آی‌تی بیمارستان هم با وجود تلاش فراوان موفق به حل مشکل نشده است؛ ولی ادعا می‌کند که در صورت داشتن زمان کافی می‌تواند مشکل را حل کند. از طرف دیگر در صورتی که به هکر‌ها رشوه پرداخت شود، احتمال اینکه آنها در آینده هم کارهای مشابهی در این بیمارستان یا بیمارستان‌های دیگر انجام دهند به وجود می‌آید. حال سوال این است که پائول مدیرعامل باید چه راهکاری را پیش گیرد.

پائول باید همه واقعیت را با کارکنان، هیات مدیره، بیماران و مردم در میان بگذارد. او به هیچ‌وجه نباید به خواسته مهاجمان تن در بدهد. هیچ تضمینی مبنی بر اینکه آنها حملات بیشتری را در سیستم تعبیه نکرده باشند، وجود ندارد.

این مورد نمونه‌ای از حملاتی است که امروزه هر سازمانی، بزرگ یا کوچک در مقابل آن آسیب‌پذیر است. همه سازمان‌ها به تکنولوژی وابسته هستند؛ هیچ کدام در مقابل گروه عظیم افرادی که در تمام دنیا سعی در نابود کردن عملیات آنها دارند، ایمن نیستند. افرادی که بسیاری از آنها تنها به دلیل لذت بردن و گاه برای سود شخصی اقدام به حمله کردن به این سازمان‌ها می‌کنند.

اولین اشتباه پاول، نادیده گرفتن اولین ایمیل تهدیدآمیز بود. همه حملات آی‌تی را باید جدی گرفت، کاری که او در صورتی که به ‌اندازه کافی باهوش می‌بود، انجام داده بود این بود که به جیکوب از همان ابتدا در مورد این موضوع هشدار دهد. هیچ سیستم آی‌تی ضد ضربه نیست.

علاوه بر این، زمانی که سازمان‌ها مطمئن نیستند که سیستم‌های‌شان تا چه حدی آسیب دیده‌اند، به برنامه نیاز دارند. سانی لیک به یک برنامه بک-آپ مطمئن و کاملا تست شده نیاز داشت که مطمئن شود در صورت مورد حمله قرار گرفتن می‌تواند خدمات مناسبی ارائه کند و از بیمارانش به خوبی حمایت کند. پزشکان و پرستاران آموزش دیده‌اند که مراقب بیماران باشند و آنها را بهبود بخشند. سیستم آی‌تی در عین اینکه بسیار مهم است، جایگزین درمان بیماران نیست. این واقعیت که بیمارستان نرم افزار ویروس‌یابی به روز شده و یک سیستم جایگزین نداشته است، غیرقابل بخشش است.

ولی در عین حال، این بحران هر قدر هم که بد به نظر برسد، در مقابل حملات شدیدتری مانند برنامه‌هایی که به صورت تصادفی به اطلاعات پایگاه‌های داده حمله می‌کنند، بهتر است. چرا که حداقل سانی لیک می‌داند چه حمله‌ای صورت گرفته است؛ به نظر می‌رسد یک نفر اطلاعات دسترسی را تغییر داده است.

خوب، پس پاول مدیرعامل چه باید بکند؟ اول اینکه بهتر است از روی مبل برخیزد و دست از امید واهی به این که بخش‌ای تی سیستم را به وضعیت نرمال بر می‌گرداند، بردارد. زمانی که بیمارستان‌های کرگروپ واقع در ماساچوست شرقی در سال ۲۰۰۲ وضعیت مشابهی را تجربه کردند، مدیر عامل، سایر مدیران، پزشکان و پرستاران همه شروع کردند به سیستم دهه ۷۰ کارشان را انجام دادن، زمانی که هنوز هیچ سیستم EMR در بیمارستان نصب نشده بود. آنهایی که قدیمی‌تر بودند و به این سبک کار کردن آشنا بودند، شروع به راهنمایی افرادی کردند که همیشه به کامپیوتر وابسته بودند. همان طور که مدیر اطلاعاتی آنها به اخبار گفته بود: «خبر خوب این است که از بیماران به خوبی مراقبت شده است.»

در عین حال پاول باید با همه بخش‌ها، ارتباط خوبی داشته باشد. او باید بفهمد که در دنیای شبکه‌ای امروز، در واقع هیچ رازی پنهان نمی‌ماند. هر حادثه بد در ‌آی‌تی، سازمان را مجبور می‌کند از خودش بپرسد که چه مقدار اطلاعاتی را باید فاش کند. در این موقعیت، او باید همه واقعیت‌ها را با کارکنان، هیات مدیره، بیماران و مردم در میان بگذارد.

او به هیچ وجه نباید به خواسته مهاجمین تن در بدهد. هیچ تضمینی مبنی بر اینکه آنها حملات بیشتری را در سیستم تعبیه نکرده باشند، وجود ندارد. کد برنامه باید خط به خط چک شود و کاملا از هر آسیبی پاک سازی شود. زیرساخت شبکه بیمارستان و سایر سیستم‌های آی‌تی باید برای آسیب‌های احتمالی چک شوند و با استفاده از نرم افزار‌های امنیتی به روز از آنها مواظبت شود. در نهایت نیز پاول باید با این واقعیت که ممکن است شغلش را از دست بدهد رو به رو شود. او کسی است که مسوول همه منابع استراتژیک سازمان و بخش ‌ای‌تی بوده است. هیات مدیره هم به دلیل نداشتن دور‌اندیشی استراتژیک باید مورد مواخذه قرار گیرند.

مورد بیمارستان سانی لیک، یک هشدار قبلی در مورد مشکل بزرگی است که همه مدیران عامل و اعضای هیات مدیره در سازمان‌های مختلف در اقصی‌نقاط دنیا با آن رو به‌رو هستند. موردی که ممکن است برای بسیاری از سازمان‌ها اتفاق بیفتد و مسلما اگر سازمانی آمادگی لازم برای مقابله با آن را نداشته باشد، ممکن است صدمات جبران‌ناپذیری هم به سازمان وارد کنند.

منبع: HBR