مورد کاوی
زمانی که هکرها شروع به باجگیری میکنند - ۲۰ اردیبهشت ۹۰
پاسخ مطالعه موردی هفته گذشته
بیمارستان سانی لیک که از سیستم الکترونیکی برای پروندههای بیماران استفاده میکند، مورد حمله هکرها قرار گرفته است.
سریما نازاریان
پاسخ مطالعه موردی هفته گذشته
بیمارستان سانی لیک که از سیستم الکترونیکی برای پروندههای بیماران استفاده میکند، مورد حمله هکرها قرار گرفته است. در حال حاضر هیچ کدام از کارکنان بیمارستان به پرونده بیماران دسترسی ندارند و امور رسیدگی به بیماران با مشکل مواجه شده است. هکرها برای حل کردن مشکل سیستم درخواست رشوه کردهاند و بخش آیتی بیمارستان هم با وجود تلاش فراوان موفق به حل مشکل نشده است؛ ولی ادعا میکند که در صورت داشتن زمان کافی میتواند مشکل را حل کند. از طرف دیگر در صورتی که به هکرها رشوه پرداخت شود، احتمال اینکه آنها در آینده هم کارهای مشابهی در این بیمارستان یا بیمارستانهای دیگر انجام دهند به وجود میآید. حال سوال این است که پائول مدیرعامل باید چه راهکاری را پیش گیرد.
پائول باید همه واقعیت را با کارکنان، هیات مدیره، بیماران و مردم در میان بگذارد. او به هیچوجه نباید به خواسته مهاجمان تن در بدهد. هیچ تضمینی مبنی بر اینکه آنها حملات بیشتری را در سیستم تعبیه نکرده باشند، وجود ندارد.
این مورد نمونهای از حملاتی است که امروزه هر سازمانی، بزرگ یا کوچک در مقابل آن آسیبپذیر است. همه سازمانها به تکنولوژی وابسته هستند؛ هیچ کدام در مقابل گروه عظیم افرادی که در تمام دنیا سعی در نابود کردن عملیات آنها دارند، ایمن نیستند. افرادی که بسیاری از آنها تنها به دلیل لذت بردن و گاه برای سود شخصی اقدام به حمله کردن به این سازمانها میکنند.
اولین اشتباه پاول، نادیده گرفتن اولین ایمیل تهدیدآمیز بود. همه حملات آیتی را باید جدی گرفت، کاری که او در صورتی که به اندازه کافی باهوش میبود، انجام داده بود این بود که به جیکوب از همان ابتدا در مورد این موضوع هشدار دهد. هیچ سیستم آیتی ضد ضربه نیست.
علاوه بر این، زمانی که سازمانها مطمئن نیستند که سیستمهایشان تا چه حدی آسیب دیدهاند، به برنامه نیاز دارند. سانی لیک به یک برنامه بک-آپ مطمئن و کاملا تست شده نیاز داشت که مطمئن شود در صورت مورد حمله قرار گرفتن میتواند خدمات مناسبی ارائه کند و از بیمارانش به خوبی حمایت کند. پزشکان و پرستاران آموزش دیدهاند که مراقب بیماران باشند و آنها را بهبود بخشند. سیستم آیتی در عین اینکه بسیار مهم است، جایگزین درمان بیماران نیست. این واقعیت که بیمارستان نرم افزار ویروسیابی به روز شده و یک سیستم جایگزین نداشته است، غیرقابل بخشش است.
ولی در عین حال، این بحران هر قدر هم که بد به نظر برسد، در مقابل حملات شدیدتری مانند برنامههایی که به صورت تصادفی به اطلاعات پایگاههای داده حمله میکنند، بهتر است. چرا که حداقل سانی لیک میداند چه حملهای صورت گرفته است؛ به نظر میرسد یک نفر اطلاعات دسترسی را تغییر داده است.
خوب، پس پاول مدیرعامل چه باید بکند؟ اول اینکه بهتر است از روی مبل برخیزد و دست از امید واهی به این که بخشای تی سیستم را به وضعیت نرمال بر میگرداند، بردارد. زمانی که بیمارستانهای کرگروپ واقع در ماساچوست شرقی در سال ۲۰۰۲ وضعیت مشابهی را تجربه کردند، مدیر عامل، سایر مدیران، پزشکان و پرستاران همه شروع کردند به سیستم دهه ۷۰ کارشان را انجام دادن، زمانی که هنوز هیچ سیستم EMR در بیمارستان نصب نشده بود. آنهایی که قدیمیتر بودند و به این سبک کار کردن آشنا بودند، شروع به راهنمایی افرادی کردند که همیشه به کامپیوتر وابسته بودند. همان طور که مدیر اطلاعاتی آنها به اخبار گفته بود: «خبر خوب این است که از بیماران به خوبی مراقبت شده است.»
در عین حال پاول باید با همه بخشها، ارتباط خوبی داشته باشد. او باید بفهمد که در دنیای شبکهای امروز، در واقع هیچ رازی پنهان نمیماند. هر حادثه بد در آیتی، سازمان را مجبور میکند از خودش بپرسد که چه مقدار اطلاعاتی را باید فاش کند. در این موقعیت، او باید همه واقعیتها را با کارکنان، هیات مدیره، بیماران و مردم در میان بگذارد.
او به هیچ وجه نباید به خواسته مهاجمین تن در بدهد. هیچ تضمینی مبنی بر اینکه آنها حملات بیشتری را در سیستم تعبیه نکرده باشند، وجود ندارد. کد برنامه باید خط به خط چک شود و کاملا از هر آسیبی پاک سازی شود. زیرساخت شبکه بیمارستان و سایر سیستمهای آیتی باید برای آسیبهای احتمالی چک شوند و با استفاده از نرم افزارهای امنیتی به روز از آنها مواظبت شود. در نهایت نیز پاول باید با این واقعیت که ممکن است شغلش را از دست بدهد رو به رو شود. او کسی است که مسوول همه منابع استراتژیک سازمان و بخش ایتی بوده است. هیات مدیره هم به دلیل نداشتن دوراندیشی استراتژیک باید مورد مواخذه قرار گیرند.
مورد بیمارستان سانی لیک، یک هشدار قبلی در مورد مشکل بزرگی است که همه مدیران عامل و اعضای هیات مدیره در سازمانهای مختلف در اقصینقاط دنیا با آن رو بهرو هستند. موردی که ممکن است برای بسیاری از سازمانها اتفاق بیفتد و مسلما اگر سازمانی آمادگی لازم برای مقابله با آن را نداشته باشد، ممکن است صدمات جبرانناپذیری هم به سازمان وارد کنند.
منبع: HBR
ارسال نظر