ความปลอดภัยในระบบไอทีของประเทศไทย ระบบราชการไทยยังห่างชั้นกับภาคธุรกิจเอกชนมาก ทั้งทางด้านความตระหนัก ความใส่ใจในการป้องกันภัย การลงทุนด้านซอฟต์แวร์และอุปกรณ์ โดยเฉพาะการทุ่มเทในด้านทรัพยากรบุคคลนั้น ยิ่งห่างชั้นกันมากขึ้นอย่างเห็นได้ชัดแบบไม่ต้องใช้แว่นขยาย ภาคธุรกิจเอาจริงเอาจังทำกันเงียบๆ แต่ก้าวหน้ากว่ามาก ในขณะที่ภาคราชการทำไปแบบไฟไหม้ฟาง มีเหตุทีก็ออกมานั่ง แถ-ลง ข่าว ชี้แจงว่าจะทุ่มเทงบประมาณให้หน่วยงานเต็มที่ ถ่ายรูป ให้สัมภาษณ์สื่อ แล้วก็ เงียบ... ข้าราชการฝ่ายไอทีนั่งทำหน้าละห้อย ดีที่ไม่มีเทปกาวคาดปิดปากไว้ เฮ้อ!!

เมื่อวานนี้ 9.9 (9 กันยายน 2563) วัน Shopping แห่งชาติ สถานีวิทยุโทรทัศน์ สื่อสังคมออนไลน์ทั้ง Facebook, Twitter ต่างก็พร้อมเพรียงตีข่าวเรื่อง "โรงพยาบาลสระบุรี โดน Hacker โจมตีด้วย Ransomeware เข้ารหัสไฟล์ฐานข้อมูลคนไข้ในระบบจนไม่สามารถใช้การได้ พร้อมกับเรียกค่าไถ่จำนวนมากถึง 200,000 Bitcoin (ประมาณ 63,000 ล้านบาท) ถาไม่จ่ายก็จะไม่สามารถใช้งานใดๆ ได้เลย" ทำให้เกิดโกลาหล อลหม่านทั้งคุณหมอ พยาบาล เจ้าหน้าที่ทุกฝ่าย และบรรดาคนไข้ที่มีนัดมาพบหมอแต่ไม่รู้ตัวล่วงหน้ามาก่อน ไม่ทราบการประกาศของทางโรงพยาบาลผ่านทางสื่อออนไลน์ ก็คุณลุง-คุณป้า สูงอายุมากมายที่ไม่มีสมาร์ทโฟนรับข่าวสาร ทางโรงพยาบาลก็แจ้งทางโทรศัพท์ไม่ได้ เพราะเข้าถึงข้อมูลคนไข้ไม่ได้ เฮ้อ! กรรมไม่แบ...

ทำไมโรงพยาบาลจึงเป็นเป้าการโจมตีของแฮกเกอร์?

เรื่องนี้อธิบายได้ไม่ยาก ขณะนี้เราไม่ได้นั่งดูภาพยนตร์อาชญากรรมคอมพิวเตอร์นะ ต้องเข้าใจก่อนที่จะจินตนาการต่อไป Hacker อาจจะเป็นได้ทั้งผู้ร้ายสีดำๆ และผู้ร้ายสีเทาๆ (ไม่มีสีขาวนะครับ) กลุ่มสีดำ คือโจมตีแบบมุ่งร้ายไม่ปราณี เรียกรับผลประโยชน์ หรือทำลายฝ่ายตรงข้าม กลุ่มสีเทา คือโจมตีเพื่อค้นหาจุดอ่อน ช่องโหว่ในระบบ แล้วแจ้งให้เจ้าของระบบให้ทราบเพื่อดำเนินการแก้ไข ในกรณีของโรงพยาบาลสระบุรีนี่คือ กลุ่มสีดำ แน่นอน

ในนิยายหรือภาพยนตร์เราอาจได้ยินว่า มี Hacker Robinhood “โจรพระเอก” ที่มีลักษณะต่อต้านสังคม โจมตีบริษัทใหญ่ๆ ธุรกิจที่เอารัดเอาเปรียบ เรียกค่าไถ่เพื่อเอาเงินมาช่วยคนจน เราอาจจะต้องเปลี่ยนภาพใหม่ได้แล้วว่า Hacker ก็มีหลากหลายรูปแบบแตกต่างกันออกไปดังที่กล่าวมาข้างต้น วันนี้ก็พิสูจน์ชัดว่า แม้แต่โรงพยาบาลของรัฐที่ไม่ได้เป็นธุรกิจ ค้ากำไร ก็เป็นเหยื่อของการโจมตีได้เช่นกัน (จริงๆ แล้วพวกเขาคงไม่ได้เจาะจงว่าจะโจมตีใคร เหมือนคนหาปลาที่เหวี่ยงแห หรือแขวนเบ็ดราวไปทั่ว แล้วแต่ว่าจะมีปลา (เหยื่อ) ตัวไหนมาติด บังเอิญว่า ปลาตัวนี้คือโรงพยาบาล)

แต่การโจมตีทางไซเบอร์ต่อโรงพยาบาลหรือหน่วยงานทางสาธารณสุขนั้น ไม่ได้เป็นเรื่องใหม่แต่อย่างใด ต่างประเทศมีประเด็นเรื่องนี้มาตลอด ถึงขนาดที่มีรายงานทางวิชาการและบทวิเคราะห์มากมายที่ออกมาให้ความรู้กัน ตั้งแต่ปี 2016 เช่น European Agency for Cyber Security ก็ได้ออกคู่มือชื่อ “Cyber security and resilience for Smart Hospitals” ออกมาและค่อนข้างจะมีเนื้อหาที่ครอบคลุมมาก แต่ก็เหมือนกับปัญหาหลายๆ อย่างที่เกิดขึ้นคือ โรงพยาบาลในประเทศไทยนั้นมีภาระวันต่อวันที่มากอยู่แล้ว ก็อาจจะคิดว่า ปัญหานี้คงไม่มาถึงเรา มันคงเป็นปัญหาของระบบคอมพิวเตอร์ HiTech ของโรงพยาบาลเอกชนที่มีราคาแพงมากกว่า

แล้วเราก็ได้เห็นจริงๆ ว่า ผู้ก่อการไม่ได้โจมตีเจาะจงไปที่ความร่ำรวยขององค์กรนั้น แต่โจมตีเพราะเห็นว่า "ข้อมูลนั้นสำคัญมากอที่จะเปลี่ยนเป็นเงินค่าไถ่ได้ ถ้าไม่ยอมจ่ายย่อมมีผลกระทบต่อชีวิตมนุษย์ที่สำคัญที่สุด ไม่ใช่เพียงความยุ่งยากในการปฏิบัติงานของแพทย์ พยาบาล และเจ้าหน้าที่เท่านั้น"

เหตุผลหลักๆ ที่ Hacker โจมตีข้อมูลด้านสุขภาพ

มีกรณีศึกษามากมายในเรื่อง การรักษาความปลอดัยทางไซเบอร์ที่เกี่ยวกับการโจมตีข้อมูลด้านสุขภาพ มีการโจมตีมาอย่างต่อเนื่องเป็นระยะๆ ในรอบหลายปีที่ผ่านมาในต่างประเทศ เช่น ในประเทศสหรัฐอเมริกา จะมุ่งโจมตีไปที่ข้อมูลด้านการประกันสุขภาพของประชาชน เพราะในข้อมูลนั้นจะมีทั้งบันทึกการดูแลสุขภาพ และยังมีข้อมูลที่มีค่าที่สุด เช่น หมายเลขประกันสังคม ที่อยู่บ้านเลขที่ หมายเลขโทรศัพท์ และประวัติสุขภาพของผู้ป่วย ซึ่งมีค่าต่อแฮกเกอร์มากกว่าข้อมูลประเภทอื่นๆ และความจริงก็คือ "องค์กรในสาขานี้" ไม่มีความพร้อมในการปกป้องข้อมูลส่วนบุคคลจากการโจมตีทางไซเบอร์ หรือมีก็น้อยมากนั่นเอง และเมื่อต้นมีนี้ ที่มีการระบาดของไวรัสโควิด-19 ไปทั่วโลก ก็มีความพยายามในการโจมตี WHO ซึ่งเป็นองค์กรระดับโลกในการรวบรวมข้อมูลข่าวสารการแพร่ระบาดของไวรัสในระดับโลก เพิ่มมากขึ้นเป็น 2 เท่า ด้วยการพยายามปลอมใช้อีเมล์ต้นทางจาก WHO ไปยังหน่วยงานอื่นๆ เพื่อล้วงข้อมูลสำคัญ

ที่ใกล้ๆ บ้านเราก็มีกรณีศึกษาคือ การโจมตี SingHealth หน่วยงานด้านสุขภาพของรัฐบาลสิงคโปร์เมื่อเดือนกรกฎาคม 2561 ดดยกลุ่ม Hacker ที่ชื่อว่า ชื่อว่า Whitefly ซึ่งการโจมตีครั้งนั้นไม่เพียงข้อมูลด้านสุขภาพแต่รวมไปถึงการป้องกันประเทศ การสื่อสารโทรคมนาคม และการพลังงาน แม้จะไม่มีรายงานเปิดเผยออกมาว่า เกิดความเสียหายไปมากน้อยเพียงใดจากการโจมตีนี้ แต่ทางรัฐบาลก็ได้ทำการลงโทษปรับกับ SingHealth เป็นเงินมากกว่า 1,000,000 ดอลลาร์สิงคโปร์

ในกรณีโรงพยาบาลสระบุรี ตามข่าวที่ปรากฏว่า การที่โรงพยาบาลได้ทำการสำรองข้อมูลระบบ (Back Up Data) ครั้งสุดท้ายเมื่อ 5 ปีที่แล้ว (พ.ศ. 2558) ทำให้สถานการณ์ของการโจมตีครั้งนี้มีความเลวร้ายขึ้นไปอีก และหากตกลงเรื่องค่าไถ่กันไม่ได้ Hacker อาจจะทำลายข้อมูลของคนไข้ทั้งหมด ทำให้ปัญหาต่อเนื่องลุกลามไปได้อีกมากอย่างที่ไม่อยากคิด เรามาดูกันว่า Hacker น่าจะคิดอย่างไร

1. ข้อมูลต้องใช้ตลอดเวลา

แพทย์ พยาบาล หรือเจ้าหน้าที่ในโรงพยาบาลนั้น ต้องมีการใช้ข้อมูลของคนไข้ตลอดเวลาเพื่อทำการรักษา หากเข้าถึงไม่ได้จะทำให้การทำงานมีปัญหา “ทันที” เช่น การซักประวัติคนไข้ก่อนทำการรักษา มีความเปลี่ยนแปลงไปจากเดิมดีขึ้น หรือเลวลงอย่างไร ประวัติการใช้ยาหรือการวินิจฉัยโรคครั้งก่อน อาการแพ้ยา (ที่เคยมี) การรักษาในวันนี้จะดำเนินการอย่างไรต่อไป ดังนั้น หากเข้าถึงข้อมูลไมไ่ด้เป็นเวลานาน จะเกิดปัญหาการทำงานลุกลามและมีความเสียหายมาก คนไข้อาจป่วยหนัก หรือเสียชีวิต ซึ่งนี่เป็นเงื่อนไขการต่อรองที่ Hacker นิยม เพราะ “Time is not on hospital's side” (เวลาไม่ได้อยู่เคียงข้างโรงพยาบาลในการต่อรอง คือยื้อไม่ได้นั่นแหละ) โรงพยาบาลมักจะขอเจรจาจ่ายค่าไถ่ให้กับ Hacker เพื่อให้สามารถทำงานต่อไปได้โดยไม่มีผลกระทบกับคนไข้ (นี่ยังไม่ได้รวมถึงปัญหาอื่นๆ เช่น ความเป็นส่วนตัวของข้อมูลคนไข้ เช่น หมายเลขโทรศัพท์ผู้ป่วยหรือญาติ ที่ไม่สามารถแจ้งข้อขัดข้องนี้ได้ก่อนมาแออัดในโรงพยาบาล ที่ต้องรอกันนานๆ ในวันที่ผ่านมาด้วย)

2.ตัวข้อมูลเองมีคุณค่าสูง

ข้อมูลคนไข้ ถือว่าเป็นตัวประกันที่มีมูลค่ามหาศาล เราไม่ได้พูดถึงมูลค่าทรัพย์สินที่เป็นเงินทอง เเต่เป็นตัวประกันที่เอาชีวิตของคนไข้เป็นเดิมพัน ทำให้โอกาสที่จะมีการได้ค่าไถ่จากโรงพยาบาลค่อนข้างสูง คือ หากข้อมูลหายไป หรือข้อมูลรั่วไหลออกไป โรงพยาบาลอาจถูกฟ้องร้องโดยคนไข้ หรือญาติคนไข้ หรือเสียชื่อเสียง จนคนไม่มาใช้บริการอีก (ซึ่งโรงพยาบาลเอกชนจะกลัวในเรื่องนี้มาก และถ้าเป็นในอเมริกาหรือยุโรปนี่ การฟ้องร้องโรงพยาบาลอาจสูญเสียเงินจำนวนมากถึงขั้นล้มละลายกันเลยทีเดียว) 

3. ช่องโหว่มหาศาลในการรับ-ส่งข้อมูล

โรงพยาบาลเป็นองค์กรที่มีการส่งข้อมูลไปมาระหว่างบุคลกร ระหว่างแผนก ผ่านเครือข่ายต่างๆ อุปกรณ์ต่างๆ หรือที่เรียกว่า Data in Transit เยอะมาก เป็นรายนาที รายชั่วโมง และมหาศาลเมื่อคิดเป็นรายวัน โดยในแต่ละการส่งข้อมูลนั้น ก็ถือได้ว่าเป็นช่องโหว่ที่มากพอที่เหล่า Hacker จะเจาะเข้ามาได้ จะเห็นได้ว่า ในปัจจุบันนี้หลายโรงพยาบาลนำเอาระบบไอทีมาให้บริการตั้งแต่ การนัดหมายพบแพทย์ผ่านทางออนไลน์ เมื่อมาโรงพยาบาลสามารถสแกน QR Code ขึ้นทะเบียนคนไข้ รับคิวเข้าตรวจรักษาประจำวัน ไปทำการเจาะเลือดตรวจปัสสาวะที่ห้องปฏิบัติการโดยไม่ต้องรอรับผล จะมีการส่งข้อมูลไปยังแพทย์ผู้ทำการรักษ๋าโดยตรง แพทย์ส่งรายการยาไปยังเภสัชกร คนไข้ไปรับยาได้ด้วยการใช้สิทธิต่างๆ ได้ทันทีผ่านหลักฐานออนไลน์ ใช้แค่บัตรประจำตัวประชาชนไปที่ห้องยาเท่านั้น

4. ช่องโหว่จากอุปกรณ์ทางการแพทย์เริ่มเป็น Digital มากขึ้น

อุปกรณ์ทางการแพทย์สมัยใหม่นั้น เป็นอีกช่องทางที่เหล่า Hacker สามารถเจาะเข้าถึงได้ง่าย อุปกรณ์ส่วนใหญ่ทุกวันนี้ต่อ Internet ได้หมดแล้ว เป็นยุคของ IoT (Internet of Things) มันถูกออกแบบมาให้สามารถตรวจ วัด ส่ง หรือบันทึกข้อมูล ให้กับบุคลากรทางการแพทย์ โดยทางผู้ผลิตละเลยหรือไม่ได้ให้ความสำคัญกับมาตรฐานด้านความปลอดภัยมากนัก ซึ่งผู้ใช้งาน (บุคลากรทางการแพทย์) ก็มองเพียงแค่ว่ามันดีใช้งานได้จริง แต่ละเลยเรื่องความปลอดภัยในเครือข่ายหรือลืมนึกถึงไปลยก็มี

ยิ่งในยุคออนไลน์เฟื่องฟู โรงพยาบาลบางแห่งก็อยากให้ความสะดวกกับคนไข้ หรือญาติผู้ป่วย ก็เลยเปิดให้คนไข้และผู้มาใช้สถานที่ สามารถเข้าถึง Free Wi-Fi ได้ทันที นั่นก็ยิ่งมีความเสี่ยงขึ้นเป็นทวีคูณ

5. การเข้าถึงข้อมูลคนไข้แบบ Remote

ในทุกวันนี้ เจ้าหน้าที่ของโรงพยาบาล สามารถเข้าสู่ฐานข้อมูลคนไข้จากสถานที่อื่นๆ หรือจากโทรศัพท์มือถือ หรือเครื่องคอมพิวเตอร์ส่วนตัว ซึ่งมีความเสี่ยงมากทีเดียว ถึงแม้ทางโรงพยาบาลจะกำหนดให้มีมาตรฐานความปลอดภัยที่ดีก็ตาม ก็ยังไล่ตามแก้ปัญหาที่อาจเกิดขึ้นได้ไม่เรียบร้อยอยู่ดี

6. บุคลากรละเลยการทำตาม Security Policy

พนักงาน และบุคลากรในโรงพยาบาล มักจะมีภาระกับการทำงานเรื่องต่างๆ ในโรงพยาบาล ไม่ว่าจะเป็นเรื่องของคนไข้ หรือปัญหารายวันอื่นๆ โดยไม่มีเวลาให้กับการรักษาความปลอดภัยในเชิง Cyber security มากนัก แม้จะมีคู่มือในการปฏิบัติงานแล้วก็ตาม (ตัวอย่างชัดๆ คือ กรณีของโรงพยาบาลสระบุรีที่เกิดขึ้นในครั้งนี้ มีคนสันนิษฐานว่าเป็น Phishing หรือ Spear Phishing Email ที่ส่งมาจากภายนอก แต่คนในโรงพยาบาลพลั้งเผลอ กดรับเข้าไปในระบบ - อีกด้านหนึ่งคือ การ Back Up ข้อมูล ก็ละเลย คือ ไม่ได้ Back-Up มาเลยนานถึง 5 ปี) นอกจากนี้ยังมีประเด็นอีกว่า หากองค์กรใหญ่มาก ต้องใช้การปรับทัศนคติ ความเข้าใจ เพื่อให้ทั้งโรงพยาบาลสามารถได้รับการอัพเดทข้อมูล ข่าวสารเชิง Cyber security ได้ โดยยิ่งการมีบุคลากรในโรงพยาบาลนั้นๆ มีมากๆ ก็ยิ่งทำให้การประสานงาน ทำความเข้าใจยากขึ้นเท่านั้น

7. ทักษะของเจ้าหน้าที่ IT ของโรงพยาบาล

เจ้าหน้าที่ด้านไอทีของโรงพยาบาล หากเป็นโรงพยาบาลของรัฐเล็กๆ ในต่างจังหวัด แค่การให้บริการซ่อมคอมพิวเตอร์ แก้ปัญหาเรื่อง Printer ซ่อมสายโทรศัพท์ ต่อ Network ติดตั้ง Wi-fi ได้ก็หายากยิ่งแล้ว (ด้วยอัตรากำลัง งบประมาณ ค่าจ้างที่มีอันจำกัด) หากจะให้มาทำเรื่อง Cyber Security ตามมาตรฐานสากล นี่แทบจะเป็นเรื่องที่เป็นไปไม่ได้เลยทีเดียว และเมื่อเกิดปัญหาขึ้นมาจริงๆ เจ้าหน้าที่เหล่านี้ก็แทบจะหมดหนทางที่จะช่วยเหลือตัวเองได้

8. นโยบายการ Upgrade ระบบ iT ของโรงพยาบาล

บางโรงพยาบาลก็ใช้ระบบเดิมมานานมาก ไม่ได้ Update อะไร และระบบเก่าๆ ที่นำมาใช้นั้นมักจะมีช่องว่างทางด้าน Cyber security มากกว่าระบบที่โรงพยาบาลขนาดใหญๆ นำมาใช้ เพราะความมีงบประมาณมากกว่าทำขึ้นมาใหม่กว่าโดยทีมผู้เชี่ยวชาญ ใช้เครื่องมือที่เพียบพร้อมมีมาตรฐาน ในหลายๆ ที่ยังคงใช้เครื่องคอมพิวเตอร์อายุงานมากกว่า 10 ปีกับระบบปฏิบัติการ Windows XP ก็ยังมี ระบบบริหารจัดการที่ใช้ก็คงยุคการเขียนด้วยภาษาเก่าๆ ฐานข้อมูลรุ่นเดิมๆ ที่ก็รองรับกับระบบปฏิบัติการเก่าๆ ได้ แต่ก็ไม่มีความปลอดภัยเหลืออยู่แล้ว

บางโรงพยาบาลเองก็ไม่สามารถติดตามข่าวสารได้ทันท่วงที ไม่ต้องเมืองไทยหรอก แม้แต่ สถานพยาบาลบางแห่งในประเทศสหรัฐอเมริกาเองนั้น ยังไม่รู้ด้วยซ้ำว่า Microsoft เลิก Patch (หมายถึง Upgrade การป้องกันเรื่อง Cyber security) ตัว Windows Vista แล้วนับตั้งแต่เดือนเมษายน ปี 2017 โดยหากทางบริษัทผู้ผลิตเอง อย่าง Microsoft ไม่มีการรองรับให้การช่วยเหลือด้าน Cyber security แล้วนั้น ก็จะทำให้อุปกรณ์ต่างๆ ที่ใช้โปรแกรมนั้นๆอยู่ เป็นจุดอ่อนให้สามารถโดนโจมตีได้อย่างง่ายดาย (ที่เมืองไทยนี่รู้กันหรือยังว่า Windows 7 ก็ถูกทอดทิ้งไปแล้วตั้งแต่ มกราคม 2563 ที่ผ่านมานะจ๊ะ)

ในวันนี้ ไม่ใช่แต่เฉพาะทางโรงพยาบาลแล้วนะครับ หน่วยราชการทุกแห่ง ทุกกระทรวง ทบวง กรม ต้องปรับปรุงตัวกันขนานใหญ่ Government 4.0 ไม่ใช่เรื่องที่จะพูดเอาเท่ๆ เอาหน้าเอาตา แต่ต้องลงมือทำกันอย่างจริงจังกันได้แล้ว การพัฒนาด้านไอทีนั้นต้องระดมทั้งทรัพยากรด้านงบประมาณ สรรพความรู้ และพัฒนาบุคลากรไปพร้อมๆ กัน สิ่งที่ต้องทำ...

1. เทคโนโลยี

ด้านเทคโนโลยีที่กล่าวถึง ก็คือเรื่องของฮาร์ดแวร์ต่างๆ เช่น เครื่องคอมพิวเตอร์ทั้งที่เป็นเครื่องแม่ข่าย (Server) และเครื่องลูกในเครือข่าย (Clients)  อุปกรณ์เครือข่ายที่ทำหน้าที่บริหารจัดการเส้นทางข้อมูล ไฟล์วอลล์ และอุปกรณ์แบ็คอัพข้อมูล รวมทั้งซอฟต์แวร์ระบบต่างๆ  ด้วย ซึ่งเรื่องนี้เป็นเรื่องที่ไม่ยากนัก เพราะเป็นเรื่องที่ใช้เงินซื้อได้ (เห็นว่า ได้โอกาสเสนอของบไปตั้ง 1,900 ล้านบาท จะได้หรือเปล่า ได้มาแล้วจะเอาไปทำอะไร อย่างไร ยังไม่รู้แต่ขอไว้ก่อน โอกาสมาแล้วนี่)

2. ระบบการทำงาน

เรื่องที่มักจะเป็นปัญหาที่ท้าทายที่สุดขององค์กรใดๆ (โดยเฉพาะภาคราชการ) และเป็นเรื่องที่ใช้เงินมาทุ่มซื้อไม่ได้ คือ เรื่องระบบการทำงาน การบริหารจัดการ เนื่องจาก การเปลี่ยนเทคโนโลยีใดๆ นั้น การที่จะสร้างความสำเร็จตามจุดประสงค์ของเทคโนโลยีนั้นได้ (เช่น ลดต้นทุน หรือ ลดเวลา หรือ ใน กรณีนี้คือ เพิ่มความปลอดภัยด้านไซเบอร์) สิ่งที่ตองเปลี่ยนแปลงคือ กระบวนการทำงาน ให้เข้ากับการใช้เทคโนโลยีนั้นๆ จะต้องมีผู้บริหารที่มีวิสัยทัศน์ด้านไอทีที่กว้างไกลจริง ไม่ใช่มองแค่ความมีหน้าตา และความก้าวหน้าในตำแหน่งหน้าที่การงาน จะต้องมีผู้บริหารด้านเทคโนโลยีสารสนเทศเป็นการเฉพาะ เพื่อดูแลและให้ความสำคัญในด้านนี้

3. พนักงานในองค์กรมีส่วนร่วม

การเปลี่ยนกระบวนการทำงานจากระบบเดิมๆ ที่ใช้กระดาษเป็นหลักมาเป็นระบบดิจิทัล เมื่อเริ่มใช้จนระบบนิ่งแล้ว จึงควรมุ่งไปที่การพัฒนาบุคลากรในทุกระดับ ต้องมีการอบรมและสร้างทัศนคติให้บุคลากรทุกภาคส่วนเห็นความสำคัญในเรื่องนี้ (การจัดการด้านความปลอดภัย) ให้มากที่สุด เช่น กรณีโรงพยาบาลสระบุรี ทั้งเจ้าหน้าที่ในโรงพยาบาล กับบุคลากรทางการแพทย์ ต้องบันทึกเรื่องนี้เป็น Online Security Learning แล้วแชร์ให้เป็นบทเรียนกับทั้งกระทรวงสาธารณสุขให้ทุกคนเรียนรู้ว่า "เหตุการณ์ที่ถูกโจมตีนี้ร้ายแรงกับชีวิตคนไข้ และมีผลกระทบการทำงานรุนแรงขนาดไหน การรักษาความปลอดภัยในระบบเป็นเรื่องที่จำเป็นต้องมีความระมัดระวัง จะเผลอเรอไม่ได้เด็ดขาด"

บทเรียนนี้ไม่ควรเป็นแค่เหตุการณ์ "ไฟไหม้ฟาง" ที่หน่วยงานมองเห็นโอกาสในการเรียกร้องเอา "งบประมาณ" ออกมาใช้เท่านั้น แต่ต้องเป็นโอกาสที่หน่วยงานภาคราชการทุกหน่วย ต้องรุกในการพัฒนาด้านความปลอดภัยไซเบอร์ภายในองค์กร ทั้งการสร้างคนผู้รับผิดชอบงานให้ตรงตามสมรรถนะ มีผู้รับผิดชอบที่ชัดเจน มีนโยบายในการใช้เครือข่ายคอมพิวเตอร์อย่างปลอดภัย เลิกคิดเสียทีว่า "ใครจบอะไรมา ถ้าใช้งานคอมพิวเตอร์เป็น ซ่อมคอมพิวเตอร์-พริ้นเตอร์ได้ คือผู้เชี่ยวชาญไอที" และ "อย่าให้คนไอทีซ่อมได้ทุกอุปกรณ์ที่เสียบปลั๊ก" ไม่งั้นก็จะโดนอย่างนี้อีกหลายๆ กรณี

โรงพยาบาลสระบุรี ไม่ใช่โรงพยาบาลแรกที่โดนเรียกค่าไถ่ มีหลายโรงพยาบาลที่โดนมาก่อนหน้านี้แต่ไม่เป็นข่าว เพราะห่วงเรื่องชื่อเสียง และยอมจ่ายค่าไถ่เพื่อเรียกข้อมูลคืนกลับมาใช้ได้ แม้แต่เครื่องคอมพิวเตอร์ส่วนบุคคลตามบ้านก็โดนมาไม่ใช่น้อย เพียงแต่ความสำคัญในข้อมูลไม่มากมายขนาดที่ต้องยอมเสียเงินค่าไถ่ ด้วยความที่อินเทอร์เน็ตความเร็วสูงในประเทศไทยกระจายไปอย่างรวดเร็ว และเรื่องความตระหนักรู้ในด้านการรักษาความปลอดภัยของคนไทยเรายังต่ำอยู่นั่นเอง