เพจดังเผย ข้อมูลคนไข้โรงพยาบาล 11 แห่ง 1 แสนรายชื่อ ถูกแฮกเกอร์เจาะข้อมูลนำไปแจกในเว็บไซต์ Raidforums เช่นเดิม ซ้ำรอยเซ็นทรัล-สาธารณสุขเพียงไม่กี่เดือน
วันที่ 5 พฤศจิกายน 2564 ผู้สื่อข่าวรายงานว่า เฟซบุ๊กเพจ Drama-Addict รายงาน ว่าเกิดเหตุการณ์ข้อมูลคนไข้ของโรงพยาบาลถูกแฮกเกอร์เจาะข้อมูลไปเผยแพร่ในเว็บไซต์ Raidforums เหมือนที่เคยเกิดขึ้นเมื่อไม่กี่เดือนก่อน ซึ่งครั้งนี้แฮกเกอร์อ้างว่าหลุดมาจากฐานข้อมูลของโรงพยาบาลในประเทศไทย 11 แห่ง โดยไม่ระบุชื่อโรงพยาบาล รวมทั้งสิ้นหนึ่งแสนรายชื่อ
- ทำฟันประกันสังคม ไม่ต้องสำรองจ่าย เดือน มี.ค. 67 ยอด 169 ล้านบาท
- รู้ไหม ? 31 มณฑลจีน ชอบสินค้าอะไรของไทย
- KBANK ปรับโครงสร้างใหญ่ ลดจำนวนบอร์ด ตั้ง 4 เอ็มดีเป็น “ผู้จัดการใหญ่” มีผล 1 พ.ค.67
หลังจากนั้นแอดมินเพจได้ทำการโหลดไฟล์ที่ว่าเพื่อตรวจสอบ พบว่าเป็นไฟล์ที่มีการระบุ ชื่อ วันเกิด เลขบัตรประชาชน ซึ่งเป็นการแจกให้โหลดฟรี เบื้องต้นได้ทำการส่งข้อมูลให้ทางเจ้าหน้าที่ตำรวจแล้ว พร้อมแจ้งให้หน่วยงานที่เกี่ยวข้อง ตรวจสอบและดำเนินการ
อย่างไรก็ตาม ต้องรอหน่วยงานที่เกี่ยวข้องตรวจสอบข้อมูลอย่างถูกต้อง พร้อมแถลงการณ์ความคืบหน้ากรณีดังกล่าว
เซ็นทรัลฯถูกแฮก
ไม่เพียงแต่มีข้อมูลคนไข้จาก 11 โรงพยาบาลถูกแฮกเท่านั้น ในช่วง 2-3 สัปดาห์ที่ผ่านมา ได้เกิดเหตุการณ์ข้อมูลสารสนเทศของบริษัทในเครือเซ็นทรัลฯ ถูกโจมตีทางไซเบอร์ ถึง 2 ครั้ง
โดยครั้งแรกเกิดขึ้นเมื่อวันที่ 14 ตุลาคม 2564 มติชน รายงานว่า ได้มีการแจ้งจากโรงแรมและรีสอร์ตในเครือเซ็นทารา ระบุว่า เกิดการโจมตีเข้าไปในเครือข่ายออนไลน์ของเครือข่ายโรงแรมเซ็นทารา และได้ทำการตรวจสอบเรื่องที่เกิดขึ้นแล้ว
พบว่า มีการเจาะเข้าระบบจริง แต่กระทบกับข้อมูลที่จำกัด คือเป็นข้อมูลส่วนบุคคลทั่วไปของลูกค้าของโรงแรมบางราย ส่วนใหญ่ เป็นรายชื่อและข้อมูลเกี่ยวกับการจองห้องพัก มีบางส่วนที่ถูกเจาะข้อมูลเกี่ยวกับเบอร์โทรศัพท์ และอีเมล์แอดเดรส หรือข้อมูลในการติดต่ออื่น ๆ รวมทั้งเลขบัตรประชาชน แต่ทางโรงแรมสามารถควบคุมเรื่องดังกล่าวได้แล้ว และทำการสอบสวนเพื่อหาสาเหตุที่เกิดขึ้น
ต่อมาวันที่ 27 ตุลาคม 2564 บริษัท เซ็นทรัล เรสตอรองส์ กรุ๊ป จำกัด ได้ออกหนังสือชี้แจงกรณีข้อมูลสารสนเทศของบริษัท ถูกโจมตีทางไซเบอร์ โดยระบุว่า ได้รับทราบถึงการโจมตีทางไซเบอร์ต่อระบบข้อมูลสารสนเทศขององค์กรและส่งผลถึงการเข้าระบบสารสนเทศของบริษัทโดยไม่ชอบด้วยกฎหมาย แต่เบื้องต้นหลังจากทราบเรื่องได้ทำการปิดการเข้าถึงข้อมูลในทุกช่องทางและเร่งตรวจสอบทันที
โดยพบว่ามีการเข้าถึงชุดข้อมูลส่วนุบคคลอันได้แก่ ชื่อ ที่อยู่ เพศ หมายเลขโทรศัพท์ วันเดือนปีเกิด และที่อยู่อีเมล์ ของลูกค้าบางส่วน รวมถึงข้อมูลอื่น ๆ ของบริษัทในบางส่วน แต่บริษัทยืนยันว่าไม่มีข้อมูลเกี่ยวกับการซื้อสินค้า บัตรเครดิต หรือข้อมูลทางธุรกรรมทางการเงินของลูกค้าหลุดรั่วไป พร้อมทั้งแจ้งให้ลูกค้าของบริษัทระวังการรับเบอร์โทรศัพท์หรืออีเมล์ที่น่าสงสัยเพื่อขอข้อมูลส่วนตัว
ซ้ำรอย สธ. โดนเจาะข้อมูล
ย้อนกลับไปเมื่อต้นเดือนกันยายน ได้เกิดเหตุการณ์ตื่นตระหนกขึ้นบนโลกโซเชียลกรณีเพจดังเปิดเผยว่ามีแฮกเกอร์เจาะข้อมูลผู้ป่วยของกระทรวงสาธารณสุขจำนวน 16 ล้านคน และนำมาขายบนเว็บไซต์ต่างประเทศ Raidforums.com
ต่อมานายอนุทิน ชาญวีรกุล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุขยอมรับว่าข้อมูลผู้ป่วยถูกแฮกจริง โดยข้อมูลที่ถูกโจรกรรมเกิดขึ้นในจังหวัดเพชรบูรณ์ และเคยเกิดที่จังหวัดสระบุรี มาก่อนแล้ว
หลังจากนั้น นายกฤษณ์ คงเมือง ผู้ว่าราชการจังหวัดเพชรบูรณ์ ได้ชี้แจงว่า ข้อมูลที่ถูกแฮกไปนั้นเป็นของโรงพยาบาลเพชรบูรณ์ แต่ไม่สำคัญ และมีจำนวนไม่ถึง 16 ล้านคน โดยเป็นข้อมูลทะเบียนคนไข้เข้าวันไหน ออกวันไหนเท่านั้น จึงให้คำแนะนำไปว่า ในเมื่อเรื่องเกิดที่เพชรบูรณ์ ให้ประสานส่วนกลางว่าจะมีการแจ้งความหรือไม่ เพราะอาจเป็นไปได้ว่าอาจจะมีเจ้าหน้าที่เข้าไปมีส่วนเกี่ยวข้อง ทำให้ข้อมูลถูกแฮกไป
- รองเลขาฯไซเบอร์ เคลียร์ ปมรายชื่อคนไข้ สธ. หลุด 16 ล้านคน
- สธ.ขอโทษปมมือดีแฮกข้อมูลผู้ป่วย ชี้ไม่ใช่ข้อมูลเชิงลึก ขอประชาชนวางใจ
- สธ.ถูกแฮกเกอร์เจาะระบบข้อมูลคนไข้ อนุทินสั่งปลัดจัดการ
- ดีอีเอสเร่งปิดช่องแฮกเกอร์ ช่วย สธ.ถูกเจาะข้อมูลคนไข้
ประกันแฮกเกอร์
อย่างไรก็ตาม กรณีข้อมูลคนไข้ในโรงพยาบาลถูกล้วง ข้อมูลลูกค้าเชนโรงเแรมดัง เชนร้านอาหารถูกแฮกดังกล่าว เป็นกรณีตัวอย่างของการสร้างระบบรักษาความปลอดภัยทางไซเบอร์ เพื่อปกป้องข้อมูลส่วนบุคคลของผู้ใช้บริการ ซึ่งไม่ได้เป็นหน้าที่เฉพาะผู้ประกอบการดูแล ต้องรวมถึงหน่วยงานภาครัฐในการตรวจสอบและปราบปรามการกระทำละเมิดสิทธิส่วนบุคคลนี้ด้วย
ส่วนด้านผู้ใช้งานอินเทอร์เน็ต ก็ต้องเท่าทัน และระแวดระวังการใช้งาน เพื่อให้สามารถป้องกันตนเองจากการถูกโจรกรรมข้อมูลบนโลกออนไลน์ด้วย
ก่อนหน้านี้ (13 ก.ย. 2564) นายอาภากร ปานเลิศ ผู้ช่วยเลขาธิการสายกำกับผลิตภัณฑ์ประกันภัย สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) ได้เสนอเรื่องไปยังคณะกรรมการกลั่นกรองการประกันภัยภาครัฐ ที่มีปลัดกระทรวงการคลังเป็นประธาน เพื่อพิจารณาให้หน่วยงานภาครัฐจัดทำประกันภัยไซเบอร์
ล่าสุดได้มีการเห็นชอบในหลักการแล้ว และมีการมอบหมายให้ตัวแทนกรมธนารักษ์ในฐานะฝ่ายเลขาฯ คณะกรรมการกลั่นกรองฯ และสำนักงาน คปภ.ร่วมกันกำหนดหลักเกณฑ์ออกมาให้ชัดเจนเช่นกัน
