สธ. ขอโทษประชาชน ปมข้อมูลผู้ป่วย รพ.เพชรบูรณ์รั่วไหลกว่าหมื่นคน เผยขอให้วางใจ ไม่ใช่ข้อมูลเชิงลึก เตรียมร่วมดีอีเอสสร้างศูนย์ตอบโต้ไซเบอร์ เตรียมพร้อมรับการโจมตี
วันที่ 7 กันยายน 2564 ผู้สื่อข่าวรายงานว่า หลังจากวานนี้ (6 ก.ย.) เพจน้องปอสาม ออกมาเปิดเผยถึงกรณีกระทรวงสาธารณสุขไทย (สธ.) ถูกแฮกข้อมูลผู้ป่วย 16 ล้านราย โดยประกอบด้วย ที่อยู่,โทรศัพท์, รหัสประจำตัว, มือถือ, วันเดือนปีเกิด, ชื่อบิดา, ชื่อโรงพยาบาล, ข้อมูลแพทย์ทั้งหมด, ชื่อโรงพยาบาล และรหัสผ่านทั่วไปของระบบโรงพยาบาล ตลอดจนข้อมูลที่น่าสนใจทั่วไป ซึ่งได้ลงขายข้อมูลผ่านทางเว็บไซต์
- เรือสิงคโปร์ชนสะพานในสหรัฐ มีประวัติไม่ดีมาก่อน เรารู้อะไรแล้วบ้างตอนนี้ ?
- ราคาทองวันนี้ (29 มี.ค. 67) พุ่งกระฉูด 600 บาท ทองรูปพรรณบาทละ 39,050 บาท
- ยื่นภาษีปี 2567 หมดเขตเมื่อไหร่ ยื่นไม่ทันต้องทำอย่างไร
- ดีอีเอส เร่งปิดช่องแฮกเกอร์ ช่วย สธ. ถูกเจาะข้อมูลคนไข้
- สธ.ถูกแฮกเกอร์เจาะระบบข้อมูลคนไข้ อนุทินสั่งปลัดจัดการ
- รองเลขาฯไซเบอร์ เคลียร์ ปมรายชื่อคนไข้ สธ. หลุด 16 ล้านคน
ต่อมาในช่วงเช้าวันนี้ (7 ก.ย.) นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (สธ.) ได้ยอมรับว่าข้อมูลผู้ป่วยถูกแฮกจริง โดยข้อมูลที่ถูกโจรกรรมเกิดขึ้นใน จ.เพชรบูรณ์ และเคยเกิดที่ จ.สระบุรี แล้ว แต่เป็นข้อมูลทั่ว ๆ ไป ไม่ใช่ข้อมูลที่เป็นความลับแต่ประการใด เบื้องต้นได้สั่งให้ปลัด สธ. เร่งดำเนินการแก้ไข พร้อมกันนี้หลังจากโดนแฮกข้อมูล 2 ครั้ง จะยกระดับมาตรการความปลอดภัยทางไซเบอร์ให้สูงขึ้น
ล่าสุด เวลา 13.30 น. ที่กระทรวงสาธารณสุข (สธ.) นายแพทย์ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ได้ออกแถลงการณ์อย่างเป็นทางการถึงกรณีการแฮกข้อมูลผู้ป่วย โดยระบุว่า จากกรณีมีการขายข้อมูลผู้ป่วยใน รพ.เพชรบูรณ์ ทางอินเทอร์เน็ตในวันที่ 5 ก.ย. ที่ผ่านมา หลังทราบข่าว สธ. ไม่ได้นิ่งนอนใจ ในวันเดียวกันนั้นได้ตั้งคณะกรรมการลงไปตรวจสอบเรื่องข้อเท็จจริงและประมวลความเสียหาย
ทั้งนี้ ข้อมูลที่โดนประกาศขายเรียกได้ว่าเป็นฐานข้อมูลย่อยที่ทางเจ้าหน้าที่ของ รพ. ต้นทางได้สร้างโปรแกรมขึ้นมาใหม่อีกหนึ่งโปรแกรม เพื่ออำนวยความสะดวกบุคลากรภายใน รพ. ไม่ได้เป็นข้อมูลเชิงลึกที่อยู่ในระบบฐานข้อมูลในการบริการคนไข้ปกติของโรงพยาบาล ซึ่งเป็นฐานข้อมูลลับ อาทิ การวินิจฉัยโรค รักษาโรค ผลแล็บต่าง ๆ และ รพ. ยังสามารถดำเนินการดูแลคนไข้ได้อย่างปกติ ซึ่งได้ไปทั้งหมด 10,095 ราย
สิ่งที่แฮกเกอร์ได้ไปจะเป็นในส่วนชื่อนามสกุล เบอร์โทรศัพท์ สิทธิในการรักษา อาทิ ประกันสังคม ข้าราชการ บัตรทอง ประวัติการนัดคนไข้ของแพทย์ ข้อมูลการแอดมิท ตารางเวรของแพทย์ และการคำนวณรายจ่ายการผ่าตัดราว 692 ราย เพื่อซื้ออุปกรณ์ทางการแพทย์ เป็นต้น และอาจสร้างความเสียหายบางส่วนได้ ทาง สธ.กราบขออภัยแทน รพ. มา ณ ที่นี้ด้วย
“ขอยืนยันว่าฐานข้อมูลที่ได้ไปไม่ใช่ฐานข้อมูลหลักที่เป็นข้อมูลลับ เป็นเว็บเพจที่ รพ. สร้างมาอีกทางหนึ่ง แต่อยู่บนเซิร์ฟเวอร์หลักเดียวกัน ส่วนการดำเนินการตรวจสอบเรื่องความเสี่ยงได้ร่วมกับสำนักงานคณะกรรมการการรักษามั่นคงปลอดภัยทางไซเบอร์แห่งชาติ สธ. และกระทรวงดีอีเอส ได้มีการแบ็กอัพข้อมูลทั้งหมด ว่ายังมีสิ่งใดซ่อนอยู่ในเซิร์ฟเวอร์หรือไม่”
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า สำหรับระบบการให้บริการของ รพ.เพชรบูรณ์ เซิร์ฟเวอร์ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่ถูกแยกออกมาต่างหาก และใช้ในการประสานงานภายใน รพ. เท่านั้น ไม่ได้เกี่ยวข้องกับเซิร์ฟเวอร์ในการบริการผู้ป่วยโดยตรง อยู่ภายใต้การปกป้องด้วยไฟล์วอร์ของ รพ.
เพียงแต่ว่าการพัฒนาโปรแกรมของ รพ. ใช้โปรแกรมที่เป็น Open Source (โปรแกรมสำเร็จรูปฟรี) ซึ่งมีจุดอ่อนทำให้สามารถถูกบุกรุกได้ จริง ๆ ใช้ใน รพ. แต่เมื่อมีการอำนวยความสะดวกบุคลากรภายในจึงมีการเชื่อมต่ออินเทอร์เน็ต เป็นเหตุให้บุคคลภายนอกสามารถบุกรุกเข้ามาได้ เบื้องต้น ตรวจสอบแล้วไม่พบการบุกรุกข้ามไปยังเซิร์ฟเวอร์ตัวอื่น
อย่างไรก็ตาม ศูนย์เทคโนโลยีสารสนเทศและการสื่อสารร่วมกับศูนย์ประสานงานรักษาความปลอดภัยไซเบอร์ได้สืบย้อนกลับไปดูเหตุผลแรงจูงใจของผู้กระทำ ขณะเดียวกัน รพ.เพชรบูรณ์ เมื่อทราบเหตุก็ได้ตัดการเชื่อมต่อจากภายนอกทันที ไม่ให้มีการบุกรุกได้อีก
“การรั่วไหลของข้อมูลในครั้งนี้ ผู้กระทำการไม่ได้มีการเรียกร้องเงินหรือทรัพย์สินใด ๆ จาก รพ. แต่นำข้อมูลไปประกาศขายผ่านทางเว็บไซต์เท่านั้น”
จากนี้ไปในส่วนของ รพ. ต้องมีการทบทวนมาตรการรวมไปถึงความเสี่ยงต่าง ๆ และประเมินสินทรัพย์ที่มีความเสี่ยงสูง พร้อมกับจัดการระบบให้มีความมั่นคงปลอดภัยยิ่งกว่าเดิม สิ่งสำคัญคือการสร้างความรู้ให้แก่บุคลากรที่ใช้งานในระบบ เพื่อให้เข้มงวดมากขึ้น
ในภาพรวมของ สธ. ที่ดูแลอยู่ จะมีการดำเนินการจัดตั้งศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ภาคสุขภาพ ให้เกิดขึ้น เพื่อมอนิเตอร์หน่วยงานทั้งในส่วน สธ. และ รพ. อื่น ๆ อยู่ตลอดเวลา
พร้อมกันนี้ ได้จัดตั้งหน่วยงานเพื่อตอบโต้ฉุกเฉิน ซึ่งอยู่ระหว่างดำเนินการ ซึ่งเดิมดีอีเอสเป็นคนดูแล แต่ด้วยข้อมูลสุขภาพมีความอ่อนไหวสูงจำนวนมาก ก็เลยมีข้อเสนอจากดีอีเอสให้ สธ. ดำเนินการส่วนนี้ในเบื้องต้น เพื่อให้เกิดการตอบสนองให้ทันสถานการณ์ เพราะลำพังดีอีเอสที่ต้องดูแลทั้งประเทศอาจไม่สะดวก ไม่พร้อมใช้ได้ทันเวลา
ขณะที่ นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ เปิดเผยว่า สำหรับความคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ซึ่งมี พ.ร.บ.สุขภาพ พ.ศ. 2550 มาตรา 7 ระบุว่าข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยประกาศทำให้บุคคลนั้นเสียหายมิได้ เว้นแต่ว่าการเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคล แต่มาตรานี้ยอมความได้
จากกรณีดังกล่าวเห็นได้ชัดเจนว่าอาจทำให้เกิดความเสียหายแก่ผู้ป่วยได้ ดังนั้น การกระทำลักษณะนี้หากมีความเสียหายเกิดขึ้น ในมาตรา 49 มีโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ นอกจากนี้ ยังมีกฎหมายอื่น ๆ เกี่ยวข้อง เช่น พ.ร.บ.คอมพิวเตอร์ เป็นต้น