در‌ایمیلی که پاول دریافت کرد، نوشته شده بود: «امنیت شبکه شما افتضاح است. ولی ما در ازای صد هزار دلار نقد کمکتان می‌کنیم که بیمارستان کوچک‌تان متحمل هیچ فاجعه‌ای نشود!»

زمانی که هکر‌ها شروع به باجگیری می‌کنند



پاول با خودش فکر کرد: «چرند است» و نامه را پاک کرد. پاول، مدیر عامل بیمارستان سانی لیک عصر یک روز جمعه‌این نامه را از فرستنده‌ای ناشناس دریافت کرد. او پنج سال پیش با هدف الکترونیکی کردن سیستم سانی لیک به‌این بیمارستان آمده بود. او مطمئن بود که‌این بیمارستان در صورتی که به جای استفاده از پرونده‌های کاغذی به فایل‌های کامپیوتری (EMR) رو بیاورد، کیفیت مراقبت از بیماران را افزایش می‌دهد. پاول پس از استخدام شدن در‌این بیمارستان، جیکوب را که مردی جوان و مصمم بود به عنوان مدیر آی‌تی بیمارستان استخدام کرده بود و آنها دو نفری سعی کرده بودند رویای جیکوب را واقعی کنند.
موفقیت سیستم EMR بیمارستان سانی لیک را از بیمارستانی گمنام به مدل همه بیمارستان‌ها تبدیل کرده بود. امروز همه تیم پزشکی برای دسترسی به پرونده بیماران از ریدر‌های الکترونیکی استفاده می‌کردند. بسیاری از دکتر‌ها در ابتدا با تغییر مخالفت کرده بودند؛ ولی با گذشت زمان همه دیده بودند که این سیستم عملکرد همه را بهبود بخشیده است.
این موفقیت، بخش‌ آی‌تی بیمارستان را به یک بخش با ارزش تبدیل کرده بود. حالا پاول احساس می‌کرد که سیستم EMR ميراث او برای بیمارستان است.
تهدید موجود در‌ایمیل، پاول را به هیچ وجه مضطرب نکرد. او به جیکوب عمیقا اعتقاد داشت. در زمان تولید سیستم، پاول مرتبا به جیکوب گوشزد می‌کرد که حریم خصوصی بیماران بسیار مهم است و جیکوب هم به او می‌گفت که فایل‌های کامپیوتری بسیار امن تر از سیستم کاغذی هستند. با‌این وجود، پاول تا زمانی که سیستم شروع به کار کرد نگران بود و تنها زمانی خیالش راحت شد که با گذشت زمان هیچ مشکلی برای سیستم پیش نیامد. حالا اگرچه او می‌دانست که هیچ سیستم کامپیوتری بی‌نقص نیست، ولی مطمئن بود که شبکه‌اش از طرف افراد تازه کار در خطر نیست.
او در آخر هفته موضوع را فراموش کرد تا زمانی که صبح روز دوشنبه،‌ ایمیل دیگری با‌این مضمون دریافت کرد که: «ما هشدار دادیم!»
سخت ترین روز زندگی پاول داشت شروع می‌شد!
دسترسی امکان پذیر نیست!
دکتر بر سر انترن فریاد زد: «بیمار دارد به اتاق عمل می‌رود. ما به فایلش همین الان احتیاج داریم!» و با خودش فکر کرد: «این انترن تازه یک هفته است که آمده و هنوز هیچی نشده بی‌لیاقتیش را ثابت کرده است.»
سپس با عصبانیت ریدر را از دست او کشید و خودش کد بیمار را وارد کرد.‌این پیام روی صفحه نمایان شد: «دسترسی امکان‌پذیر نیست». با خودش فکر کرد: «یعنی چی؟ من دیروز به فایل‌های‌ این بیمار دسترسی داشتم.»
بخش‌ آی‌تی شبکه را به گونه‌ای طراحی کرده بود که تنها پزشکان، پرستاران و مدیرانی که به فایل‌ها نیاز داشتند به آنها دسترسی داشتند. ولی به نظر امروز یک جای کار‌ایراد داشت. دکتر در حالی که سعی می‌کرد جلوی خودش را بگیرد و دستگاه را به جایی نکوبد، به سمت بخش آی‌تی حرکت کرد و آنقدر عصبانی بود که متوجه نشد که پرستاران نگران به صفحه مانیتورشان خیره شده بودند و صفحه‌های تبلیغاتی خالی بودند.
در مرکز آی‌تی هم چیزی‌ایراد داشت. پزشکان بسیاری هر کدام در حالی که ریدرشان را در دست داشتند، دور دیوار شیشه‌ای بخش ازدحام کرده بودند و در داخل اتاق، کارکنان دیوانه وار در حال کار بودند. روی ریدر همه پزشکان عبارتی مشابه دیده می‌شد: «دسترسی امکان‌پذیر نیست.»
باج
چند دقیقه بعد، جیکوب در دفتر پاول بود که‌ ایمیل سوم رسید. هر دو آن را خواندند: «حتما اطلاعاتتان را پس می‌خواهید. در ازای 100 هزار دلار ناقابل همه ‌این مشکلات از بین می‌رود.»
پاول گفت: «چه اتفاقی دارد می‌افتد؟ پزشکان در راهروها دارند فریاد می‌زنند.»
جیکوب گفت: «آنها سیستم را هک کرده‌اند و صد هزار دلار می‌خواهند تا کد آزاد کردن آن را به ما بگویند.» همه تیم او به سختی مشغول کار بودند. ولی حتی برنامه نویسانی که تنها تعداد معدودی از آنها به سیستم دسترسی داشتند هم امروز تنها می‌توانستند صفحه دسترسی امکان‌پذیر نیست را ببینند.
«آنها چگونه وارد سیستم ما شده‌اند؟»
«احتمالا از طریق یکی از ریدر‌ها. احتمالا یکی از کاربران فکر کرده است که دارد یک نرم‌افزار آنتی ویروس نصب می‌کند.»
«یعنی یکی از کارکنان احمق خودمان باعث همه ‌این مشکلات شده است؟» پاول در همین لحظه فهمید که بخش ‌آی‌تی بیمارستان به‌اندازه کافی بزرگ و پیچیده نیست که بتواند چنین مشکل ویرانگری را برطرف کند. در سه سال گذشته، تکنولوژی امنیتی پیشرفت‌های بسیاری کرده بود ولی به نظر می‌رسید که سانی لیک با سرعت کافی آن را دنبال نکرده بود.
البته همه رکورد‌ها روی شبکه هم ذخیره پشتیبان داشتند؛ پس اطلاعات بیماران گم نشده بود. ولی در حال حاضر بیمارستان راهی برای دادن آن فایل‌ها به پزشکانی که به آنها نیاز داشتند، نداشت.
پاول با ناراحتی به جیکوب نگاه کرد و گفت: «این واقعا، واقعا بد است! خیلی بد.» جیکوب با ناراحتی گفت: «کدام بی‌شعوری یک بیمارستان را هک می‌کند؟ آنها نگران آسیب زدن به بیماران نیستند؟»
«راستش جیکوب، من فکر نمی‌کنم که هکر‌ها به نوعی کد اخلاقی متعهد باشند.» او در حالی که سعی می‌کرد جلوی خودش را بگیرد و سر جیکوب داد نزند ادامه داد: «احتمالا آنها فهمیده‌اند که ما به سیستم الکترونیکی‌مان خیلی وابسته‌ایم. اگر تو یک سایت عادی را هک کنی، احتمالا سازمانی کلی پول از دست می‌دهد. ولی اگر بیمارستانی را هک کنی، احتمال دارد به بیمارانی آسیب بزنی که بیمارستان دارد سعی می‌کند به آنها کمک کند.‌اینجا دیگر بحث فقط پول نیست. جان انسان‌ها در خطر است.»
جیکوب گفت: «ما داریم با تمام نیرو می‌جنگیم. اگر زمان کافی داشته باشیم، دوباره کنترل سیستم را به دست می‌آوریم و اطمینان حاصل می‌کنیم که چنین اتفاقی هرگز دوباره رخ نمی‌دهد.»
«سوال‌ این است که، کی دوباره کنترل را به دست می‌آوریم؟ نمی‌توانیم بدون رکورد‌ها زیاد ادامه دهیم.» جیکوب گفت: «ما سیستم را بهتر از آنها می‌شناسیم، ولی آنها مزیت سورپریز کردن را دارند. من مطمئنم که ما برنده می‌شویم. برای چنین مشکلی یک
راه‌حل آنی وجود ندارد.»
پاول در حالی که به مانیتور اشاره می‌کرد گفت: «آنها یکی را پیشنهاد کرده‌اند.» پاول ناباورانه گفت: «ولی تو نمی‌توانی ‌این پول را به آنها بدهی، اگر‌این کار را بکنی، برای همیشه هدف آنها خواهی بود.‌این کار درست نیست. فقط کمی‌به من زمان بده پاول. ما می‌توانیم‌اینها را شکست دهیم.»
یک بمب در حال انفجار
لیزا، مشاور ارشد سازمان گفت: «پاول باید مشکل را حل کنیم.» بعد از آخرین ‌ایمیل هکر‌ها، بخش آی‌تی دو بار سیستم را راه‌اندازی مجدد کرده بود، ولی چند دقیقه بعد، سیستم دوباره از کار افتاده بود. هر بار هکر‌ها دوباره کنترل را در دست می‌گرفتند. کارکنان داشتند ناامید می‌شدند. به دکتر‌ها دستور داده بودند که دارو‌ها را روی کاغذ بنویسند. ولی اکثرا با‌این موضوع مشکل داشتند. پزشکان جوان و بسیاری از پزشکان مسن‌تر اصلا نمی‌دانستند چگونه باید 500 میلی گرم آموکسی سیلین را به شیوه‌ای قابل خواندن بنویسند. پاول لیزا را فرا خوانده بود که راه حلی بیابند.
«این وضعیت هر چه بیشتر طول بکشد، وضعمان بدتر می‌شود. هر ثانیه مسوولیت می‌آورد. پزشکان دارند از فایل‌های کاغذی قدیمی ‌استفاده می‌کنند ولی آنها اصلا به روز نیستند. همین صبح به بیماری دارویی را دادیم که به آن آلرژی داشت. شانس آوردیم که آلرژیش جدی نبود. ولی دفعه بعد شاید‌اینقدر شانس نیاوریم. ما باید به فایل‌ها دسترسی پیدا کنیم. به نظر نمی‌آید که بخش آی‌تی بتواند مشکل را به سرعت کافی حل کند.»
پاول که سعی می‌کرد اطمینان در حال کاهشش به جیکوب را حفظ کند گفت: «جیکوب گفت برای‌این کار زمان می‌خواهند.»
«ولی ما‌اینقدر زمان نداریم. می‌دانی که برای‌این مواقع یک بودجه اضطراری داریم. بخش آی‌تی هم که بیمه است و بیمه‌، این هزینه را پوشش می‌دهد. صد هزار دلار در مقابل میلیون‌ها دلاری که در صورت شکایت کردن از بیمارستان باید غرامت پرداخت کنیم چیزی نیست. فکر می‌کنم که بهتر باشد‌این پول را بدهیم. هر چه بیشتر صبر کنیم، خطر بیشتری را به جان می‌خریم.»
«در‌این صورت آنها را تشویق می‌کنیم که باز هم کارشان را تکرار کنند و شاید به سراغ بیمارستان‌های دیگر بروند.»
لیزا تازه خارج شده بود که جورج، سرپرست کارکنان با خشم وارد شد. «کی می‌خواهی‌این را حل کنی؟ می‌دانی‌این مشکل چه بلای سر اعتبارمان می‌آورد؟» او قبل از آنکه پاول به‌ این بیمارستان بیاید در‌اینجا کار می‌کرد و احتمالا بعد از او هم می‌ماند. او در ابتدا با سیستم مخالفت کرده بود، ولی بعد که فواید آن را دیده بود، راضی شده بود.
«همه دارند سخت کار می‌کنند.‌این موضوع برای همه ما مشکل است.»
«فکر نمی‌کنم میزان سخت بودن آن را بدانی. تنها در صورتی آن را درک می‌کنی که سعی کنی برای بیماری دارویی تجویز کنی و در همان زمان فکر کنی شاید همین دارو او را به کشتن دهد.»
«جورج تو خودت هم به فواید‌این سیستم اعتقاد داری. خودت گفتی»
«خوب، آن موقع نمی‌دانستم که چه مشکلاتی می‌تواند‌ایجاد کند. شاید استفاده از کاغذ کند تر بود، ولی لااقل مطمئن تر بود. پاول اگر‌این مشکل را زودتر حل نکنی، نه من و نه خیلی‌های دیگر هرگز دوباره به‌این ریدر‌ها دست نمی‌زنیم.»
....
ساعت یک نصف شب بود و پاول هنوز در دفترش بود. تیم آی‌تی هر بار تنها مدت کوتاهی توانسته بود کنترل را در دست بگیرد. جیکوب و تیمش دیوانه‌وار داشتند همه راهکارها را امتحان می‌کردند. مسوولیت آن روز را به سختی روی سینه‌اش احساس می‌کرد. پاول به خوبی به یاد داشت روزهایی که سعی کرده بود همه را قانع کند که‌این سیستم خوب است. اگر او مشکل را به زودی حل نمی‌کرد، نه تنها جورج که بسیاری دیگر شاید هرگز دوباره به EMR و خود او اطمینان نمی‌کردند.
اگر او همین یک بار‌این باج را می‌داد، سانی لیک می‌توانست امنیت سیستمش را بهتر کند و اطمینان حاصل کند که چنین مشکلی دیگر پیش نمی‌آید. باورش نمی‌شد که واقعا داشت به باج دادن فکر می‌کرد.
سوال: سانی لیک چگونه باید با‌ این حمله رو به رو شود؟

پاسخ مطالعه موردی :
بیمارستان سانی لیک که از سیستم الکترونیکی برای پرونده‌های بیماران استفاده می‌کند، مورد حمله هکر‌ها قرار گرفته است.

در حال حاضر هیچ کدام از کارکنان بیمارستان به پرونده بیماران دسترسی ندارند و امور رسیدگی به بیماران با مشکل مواجه شده است. هکر‌ها برای حل کردن مشکل سیستم درخواست رشوه کرده‌اند و بخش آی‌تی بیمارستان هم با وجود تلاش فراوان موفق به حل مشکل نشده است؛ ولی ادعا می‌کند که در صورت داشتن زمان کافی می‌تواند مشکل را حل کند. از طرف دیگر در صورتی که به هکر‌ها رشوه پرداخت شود، احتمال اینکه آنها در آینده هم کارهای مشابهی در این بیمارستان یا بیمارستان‌های دیگر انجام دهند به وجود می‌آید. حال سوال این است که پائول مدیرعامل باید چه راهکاری را پیش گیرد.

پائول باید همه واقعیت را با کارکنان، هیات مدیره، بیماران و مردم در میان بگذارد. او به هیچ‌وجه نباید به خواسته مهاجمان تن در بدهد. هیچ تضمینی مبنی بر اینکه آنها حملات بیشتری را در سیستم تعبیه نکرده باشند، وجود ندارد.
این مورد نمونه‌ای از حملاتی است که امروزه هر سازمانی، بزرگ یا کوچک در مقابل آن آسیب‌پذیر است. همه سازمان‌ها به تکنولوژی وابسته هستند؛ هیچ کدام در مقابل گروه عظیم افرادی که در تمام دنیا سعی در نابود کردن عملیات آنها دارند، ایمن نیستند. افرادی که بسیاری از آنها تنها به دلیل لذت بردن و گاه برای سود شخصی اقدام به حمله کردن به این سازمان‌ها می‌کنند.
اولین اشتباه پاول، نادیده گرفتن اولین ایمیل تهدیدآمیز بود. همه حملات آی‌تی را باید جدی گرفت، کاری که او در صورتی که به ‌اندازه کافی باهوش می‌بود، انجام داده بود این بود که به جیکوب از همان ابتدا در مورد این موضوع هشدار دهد. هیچ سیستم آی‌تی ضد ضربه نیست.
علاوه بر این، زمانی که سازمان‌ها مطمئن نیستند که سیستم‌های‌شان تا چه حدی آسیب دیده‌اند، به برنامه نیاز دارند. سانی لیک به یک برنامه بک-آپ مطمئن و کاملا تست شده نیاز داشت که مطمئن شود در صورت مورد حمله قرار گرفتن می‌تواند خدمات مناسبی ارائه کند و از بیمارانش به خوبی حمایت کند. پزشکان و پرستاران آموزش دیده‌اند که مراقب بیماران باشند و آنها را بهبود بخشند. سیستم آی‌تی در عین اینکه بسیار مهم است، جایگزین درمان بیماران نیست. این واقعیت که بیمارستان نرم افزار ویروس‌یابی به روز شده و یک سیستم جایگزین نداشته است، غیرقابل بخشش است.
ولی در عین حال، این بحران هر قدر هم که بد به نظر برسد، در مقابل حملات شدیدتری مانند برنامه‌هایی که به صورت تصادفی به اطلاعات پایگاه‌های داده حمله می‌کنند، بهتر است. چرا که حداقل سانی لیک می‌داند چه حمله‌ای صورت گرفته است؛ به نظر می‌رسد یک نفر اطلاعات دسترسی را تغییر داده است.
خوب، پس پاول مدیرعامل چه باید بکند؟ اول اینکه بهتر است از روی مبل برخیزد و دست از امید واهی به این که بخش‌ای تی سیستم را به وضعیت نرمال بر می‌گرداند، بردارد. زمانی که بیمارستان‌های کرگروپ واقع در ماساچوست شرقی در سال 2002 وضعیت مشابهی را تجربه کردند، مدیر عامل، سایر مدیران، پزشکان و پرستاران همه شروع کردند به سیستم دهه 70 کارشان را انجام دادن، زمانی که هنوز هیچ سیستم EMR در بیمارستان نصب نشده بود. آنهایی که قدیمی‌تر بودند و به این سبک کار کردن آشنا بودند، شروع به راهنمایی افرادی کردند که همیشه به کامپیوتر وابسته بودند. همان طور که مدیر اطلاعاتی آنها به اخبار گفته بود: «خبر خوب این است که از بیماران به خوبی مراقبت شده است.»
در عین حال پاول باید با همه بخش‌ها، ارتباط خوبی داشته باشد. او باید بفهمد که در دنیای شبکه‌ای امروز، در واقع هیچ رازی پنهان نمی‌ماند. هر حادثه بد در ‌آی‌تی، سازمان را مجبور می‌کند از خودش بپرسد که چه مقدار اطلاعاتی را باید فاش کند. در این موقعیت، او باید همه واقعیت‌ها را با کارکنان، هیات مدیره، بیماران و مردم در میان بگذارد.
او به هیچ وجه نباید به خواسته مهاجمین تن در بدهد. هیچ تضمینی مبنی بر اینکه آنها حملات بیشتری را در سیستم تعبیه نکرده باشند، وجود ندارد. کد برنامه باید خط به خط چک شود و کاملا از هر آسیبی پاک سازی شود. زیرساخت شبکه بیمارستان و سایر سیستم‌های آی‌تی باید برای آسیب‌های احتمالی چک شوند و با استفاده از نرم افزار‌های امنیتی به روز از آنها مواظبت شود. در نهایت نیز پاول باید با این واقعیت که ممکن است شغلش را از دست بدهد رو به رو شود. او کسی است که مسوول همه منابع استراتژیک سازمان و بخش ‌ای‌تی بوده است. هیات مدیره هم به دلیل نداشتن دور‌اندیشی استراتژیک باید مورد مواخذه قرار گیرند.
مورد بیمارستان سانی ل