ในช่วงอาทิตย์ที่ผ่านมา ที่รพ.เกิดปัญหาเครื่องไคลเอนท์เกือบทั้งหมดถูกไวรัสโจมตีอย่างรุนแรง ส่งผลให้การจราจรในเครือข่ายต้องการเป็นจราจล เนื่องจากมีแพ็คเก็จถูกยิงออกจากเครื่องที่เป็นเหยื่อไปยังเครื่องอื่น ๆ และส่งแพ็คเก็จรบกวนระบบ จนทำให้เครื่องไคลเอนท์ไม่สามารถติดต่อเครื่องแม่ข่ายได้นับตั้งแต่วันจันทร์ ผมพยายามตรวจสอบในระบบของ Trend Micro พบว่าแม้กระทั่งเครื่องแม่ข่ายที่เป็น console ยังโดนยิงจน service ของ Trend Micro ปิดลง (DoS)
เหตุการณ์รุนแรงมากขึ้นในวันอังคาร หลังจากหยุดไปหลายวัน ชาวรพ.เริ่มกลับมาทำงานตามปกติ และคนไข้ก็มากันมาก ผมพยายามใช้ฟังก์ชั่น Breakout เพื่อควบคุมการระบาดของไวรัส แต่กลับกลายเป็นไปส่งผลให้เครื่องไคลเอนท์ไม่สามารถทำงานได้ เนื่องจากไวรัสดังกล่าวเน้นยิงเข้าพอร์ตที่สำคัญ เช่น พอร์ต 80 ซึ่ง HIS ที่รพ.ใช้ก็เป็น Web App ซึ่งต้องอาศัยพอร์ต 80 เป็นหลัก ผมเริ่มสังหรณ์ใจแล้วว่างานจะเข้าอีกแล้ว พอจะสรุปได้ว่าปัญหาที่เกิดขึ้นเกิดจากไวรัสที่ชื่อ Downad.AD ซึ่งเคยสร้างความเสียหายในรพ.ผมครั้งหนึ่งแล้ว ครั้งนั้นกว่าจะควบคุมได้ก็เหนื่อยไปหลายวันเหมือนกัน แต่ที่ผ่านมา Trend Micro ไม่สามารถจัดการได้อย่างสิ้นซาก ซึ่งพบเห็นรายงานมาเป็นระยะ แต่ก็ไม่คิดว่าจะประทุความรุนแรงขึ้นมาอีก
เข้าสู่วันพุธ เหตุการณ์ยิ่งเลวร้ายมากขึ้นเรื่อย ๆ ถึงขนาดบางหน่วยงานไม่สามารถเข้าใช้งาน HIS ได้เลย ผมตรวจดูบนเครื่องเซิร์ฟเวอร์ ทั้งจำนวนเธรดงาน, cpu utilized, memory utilized, network utilize ก็ดูปกติ เหมือนเครื่องแทบไม่ได้ทำงาน ไม่มีการเชื่อมต่อมาจากเครื่องลูกข่ายเลย ทั้งที่มีคนพยายามเชื่อมต่อมาจากทั้งรพ. ไม่เหมือนกับคราวก่อนที่ซีพียูก็แทบไหม้ ผมพยายามจะสั่ง breakout เครื่องที่เป็นตัวยิงออก (ก็เท่ากับเกือบครึ่งของจำนวนเครื่องทั้งรพ.) แต่ก็ไม่สามารถ ทำได้เพียงการสแกนเครื่องทั้งระบบ แต่ก็ไม่สามารถคุมสถานการณ์ได้ เริ่มมีเจ้าหน้าที่และคนไข้ไปร้องเรียนผู้อำนวยการจนหน้าห้องต้องโทรมาถามว่าเกิดอะไรขึ้น ผมตอบได้แค่ว่าไวรัสโจมตีระบบอยู่ กำลังเร่งดำเนินการแก้ไข จนตกบ่ายผมประเมินสถานการณ์แล้ว หากยังคงพึ่ง Trend Micro ต่อคงไม่มีดีไปกว่านี้ เพราะจริง ๆ แล้วปัญหาไวรัสตัวที่เป็นปัญหาก็มีมานาน แต่ที่ผ่านมา Trend Micro ก็ไม่สามารถจัดการไวรัสดังกล่าวแบบถอนรากถอนโคนได้ เมื่อเดือนก่อนผมเองก็พยายามพิจารณาถึงผลได้ผลเสียหากจะต่อ MA กับทาง Trend Micro ต่อ ซึ่งในตอนนั้นก็มองไม่เห็นโซลูชั่นไหนที่จะเหมาะกับรพ. เพราะโจทย์ของผมคือ ถูก, ไม่กินรีซอร์สเครื่องมาก, ติดตั้งง่าย, อัพเดทง่าย ซึ่ง Trend Micro ก็ตอบโจทย์พวกนี้ได้ แต่ไม่ตอบโจทย์ผมมากในเรื่องประสิทธิภาพ ผมจึงตัดสินใจตาม Gogreen (Kaspersky Corporate Distributor) ให้เข้ามาดูปัญหา อาจด้วยความเชื่อมั่นใน Kaspersky และอีกอย่างเครื่องของตัวเองที่ใช้ทั้งที่บ้านและที่โรงพยาบาลทั้ง notebook และ desktop ก็ใช้แต่ KIS มาโดยตลอด ก็ไม่มีปัญหาอะไร บ่อยครั้งที่จะเห็นโปรแกรมเตือนว่ามีการยิงโจมตีจากเครื่องอื่น ๆ ในเครือข่าย ทาง Gogreen รับนัดว่าจะเข้ามาวันนี้ในช่วงเช้า แต่ได้ทำการส่ง Trial Key มาให้ก่อนในช่วงเย็นวันพุธ
วันพฤหัสก็เป็นอีกวันหนึ่งที่ผมยังไม่สามารถควบคุมเหตุการณ์ได้ เครือข่ายในรพ.แทบเป็นอัมพาต ผมใช้โปรแกรมติดตามเครือข่ายเพื่อประเมินดูมีการโจมตีหนัก ๆ มาจากโซนไหน โดยประเมินจากปริมาณแพ็คเก็จที่บอร์ดแคสออกมา จะได้เลือกเป็นเป้าหมายแรกในการแก้ไขปัญหา ปรากฏว่าคนใกล้ตัวผมทั้งนั้น ทั้งห้องจ่ายยานอก, ห้องจ่ายยาใน, ห้องบัตร, ห้องแล็บ ซึ่งผมสันนิษฐานจากพฤติกรรมการใช้งาน เครื่องคอมในห้องดังกล่าวเป็นจุดที่มีการใช้งานเยอะ ซึ่งนอกจากใช้ HIS แล้วก็ใช้งานพวก Internet และการ download เกมส์ต่าง ๆ มาลงในเครื่อง บ่ายวันพฤหัสผมพยายามติดตั้ง KAV แต่ก็ไม่สำเร็จเท่าที่ควร เนื่องจากวิธีการติดตั้งระบบของ KAV Corporate Edition และ Home Edition แตกต่างกัน จึงต้องรอจนวันศุกร์ และบรรเทาความเดือนร้อนให้กับหน่วยงานที่มีปัญหารุนแรงมากไปก่อน
วันนี้เจ้าหน้าที่ของ Gogreen มาหาผมประมาณ 10 โมง หลังจากเข้ามา ทางจนท.ของ Gogreen ได้เริ่มต้นทำการติดตั้ง KAV ลงในเครื่องเซิร์ฟเวอร์ของรพ.ที่ผมเตรียมไว้ให้ และได้ทำ script สำหรับ uninstall Trend Micro และ Deployment KAV ลงในเครื่องไคลเอนท์ โดยไล่จากเครื่องที่มีปัญหารุนแรงและเป็นตัวยิงเครื่องอื่นก่อน ผมนั่งช่วยจนท.ของ Gogreen จัดการระบบจนถึงช่วงเย็นประมาณ 5 โมงครึ่ง ในช่วงบ่ายปัญหาเริ่มสงบลง วันนี้ผมได้จัดการ replace Trend Micro ด้วย KAV โดยเลือกเอาเครื่องของหน่วยงานที่สำคัญและมีปัญหาเยอะมากก่อน เสาร์อาทิตย์นี้จะสั่งให้ลูกน้องทยอยไล่เปลี่ยนให้ได้มากที่สุด ช่วงหัวค่ำผมนั่งเล่าเหตุการณ์ให้ผบทบ.ฟัง เธอก็ถามว่าทำไมแค่ซื้อ Antivirus มันต้องใช้เงินหลายแสนเลยหรือเดียวรพ.ก็ถังแตกหรอก ที่อย.ก็ใช้ของก็อปก็เห็นใช้ได้ ไม่จำเป็นต้องซื้อของแท้ให้แพงขนาดนั้นเลย ผมก็ตอบว่าจริง ๆ ผมไม่อยากลงทุนเยอะขนาดนั้นหรอก แต่เรื่องพวกนี้ไม่เคยเจอกับตัวเองไม่รู้ว่ามันวุ่นวายมากแค่ไหน สองสามวันนี้ผมไม่ต้องทำอะไรนอกจากรับโทรศัพท์เรื่องนี้ ผมก็บอกเธอว่าเห็นเธอชอบบ่นว่าเซิร์ฟเวอร์ที่อย.ล่มบ่อย ๆ จนทำงานระบบไม่ได้ ผมก็บอกว่าไอ้ที่ล่มบ่อย ๆ มันไม่ใช่เพราะเซิร์ฟเวอร์เขาไม่ดีหรอก แต่มันล่มเพราะเรื่องระบบรักษาความปลอดภัยนี้แหละ ด้วยความที่เครื่องที่บ้านไม่เคยเจอปัญหาไวรัสลงจนข้อมูลเสียหายก็ไม่เข้าใจ ผมยังอธิบายต่อว่า ถ้าสักวันหนึ่งไวรัสลงเครื่องที่บ้าน จนไฟล์ภาพเสียหายหมด เขาก็จะเข้าใจดีว่าทำไมหลาย ๆ องค์กรถึงยอดเสียเงินปีหนึ่งว่าเป็นหลักล้านสำหรับค่าลิขสิทธิ์ของพวก antivirus
จบจากเหตุการณ์นี้ผมโทรศัพท์ไปหาพัสดุขอระงับเรื่องจัดซื้อ MA Trend Micro และคงจะดำเนินการจัดซื้อ KAV แทน ..... จบงานนี้ผมได้ประสบการณ์อีกเยอะเลยครับและอยากเอามาเล่าให้สมาชิกฟังเผื่อใครจะได้เจอปัญหาเหมือนกับผม หลายคนคงอาจคิดว่าไม่เห็นจำเป็นต้องลงทุนเยอะก็ไม่เคยเจอปัญหา ก็ถือว่าโชคดีไปครับ แต่ถ้าเจอเข้าสักทีแบบผมที่เจอสองสามวันนี้ ก็จะเข้าใจดีว่ามันแย่แค่ไหน ตอนนี้ผมเองก็มีแผนจะติดตั้งเครื่องมืออีกหลายตัว กำลังพิจารณาทั้ง Network Management , Deployment Management, Patch Management, Inventory Management ใครเคยมีประสบการณ์ขอคำแนะนำด้วยนะครับ
หัวข้อ: ชีวิตที่เปลี่ยนไปกับการมาของ Kaspersky (อ่าน 12422 ครั้ง)