สธ.แถลง ประวัติคนไข้ถูกแฮก ไม่ใช่ข้อมูลลับ ตั้งหน่วยงานตอบโต้ฉุกเฉิน

นายแพทย์ธงชัย กีรติหัตถยากร
นายแพทย์ธงชัย กีรติหัตถยากร

สธ. ขอโทษประชาชน ปมข้อมูลผู้ป่วย รพ.เพชรบูรณ์รั่วไหลกว่าหมื่นคน เผยขอให้วางใจ ไม่ใช่ข้อมูลเชิงลึก เตรียมร่วมดีอีเอสสร้างศูนย์ตอบโต้ไซเบอร์ เตรียมพร้อมรับการโจมตี

วันที่ 7 กันยายน 2564 ผู้สื่อข่าวรายงานว่า หลังจากวานนี้ (6 ก.ย.) เพจน้องปอสาม ออกมาเปิดเผยถึงกรณีกระทรวงสาธารณสุขไทย (สธ.) ถูกแฮกข้อมูลผู้ป่วย 16 ล้านราย โดยประกอบด้วย ที่อยู่,โทรศัพท์, รหัสประจำตัว, มือถือ, วันเดือนปีเกิด, ชื่อบิดา, ชื่อโรงพยาบาล, ข้อมูลแพทย์ทั้งหมด, ชื่อโรงพยาบาล และรหัสผ่านทั่วไปของระบบโรงพยาบาล ตลอดจนข้อมูลที่น่าสนใจทั่วไป ซึ่งได้ลงขายข้อมูลผ่านทางเว็บไซต์

ต่อมาในช่วงเช้าวันนี้ (7 ก.ย.) นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (สธ.) ได้ยอมรับว่าข้อมูลผู้ป่วยถูกแฮกจริง โดยข้อมูลที่ถูกโจรกรรมเกิดขึ้นใน จ.เพชรบูรณ์ และเคยเกิดที่ จ.สระบุรี แล้ว แต่เป็นข้อมูลทั่ว ๆ ไป ไม่ใช่ข้อมูลที่เป็นความลับแต่ประการใด เบื้องต้นได้สั่งให้ปลัด สธ. เร่งดำเนินการแก้ไข พร้อมกันนี้หลังจากโดนแฮกข้อมูล 2 ครั้ง จะยกระดับมาตรการความปลอดภัยทางไซเบอร์ให้สูงขึ้น

ล่าสุด เวลา 13.30 น. ที่กระทรวงสาธารณสุข (สธ.) นายแพทย์ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ได้ออกแถลงการณ์อย่างเป็นทางการถึงกรณีการแฮกข้อมูลผู้ป่วย โดยระบุว่า จากกรณีมีการขายข้อมูลผู้ป่วยใน รพ.เพชรบูรณ์ ทางอินเทอร์เน็ตในวันที่ 5 ก.ย. ที่ผ่านมา หลังทราบข่าว สธ. ไม่ได้นิ่งนอนใจ ในวันเดียวกันนั้นได้ตั้งคณะกรรมการลงไปตรวจสอบเรื่องข้อเท็จจริงและประมวลความเสียหาย

ทั้งนี้ ข้อมูลที่โดนประกาศขายเรียกได้ว่าเป็นฐานข้อมูลย่อยที่ทางเจ้าหน้าที่ของ รพ. ต้นทางได้สร้างโปรแกรมขึ้นมาใหม่อีกหนึ่งโปรแกรม เพื่ออำนวยความสะดวกบุคลากรภายใน รพ. ไม่ได้เป็นข้อมูลเชิงลึกที่อยู่ในระบบฐานข้อมูลในการบริการคนไข้ปกติของโรงพยาบาล ซึ่งเป็นฐานข้อมูลลับ อาทิ การวินิจฉัยโรค รักษาโรค ผลแล็บต่าง ๆ และ รพ. ยังสามารถดำเนินการดูแลคนไข้ได้อย่างปกติ ซึ่งได้ไปทั้งหมด 10,095 ราย

สิ่งที่แฮกเกอร์ได้ไปจะเป็นในส่วนชื่อนามสกุล เบอร์โทรศัพท์ สิทธิในการรักษา อาทิ ประกันสังคม ข้าราชการ บัตรทอง ประวัติการนัดคนไข้ของแพทย์ ข้อมูลการแอดมิท ตารางเวรของแพทย์ และการคำนวณรายจ่ายการผ่าตัดราว 692 ราย เพื่อซื้ออุปกรณ์ทางการแพทย์ เป็นต้น และอาจสร้างความเสียหายบางส่วนได้ ทาง สธ.กราบขออภัยแทน รพ. มา ณ ที่นี้ด้วย

“ขอยืนยันว่าฐานข้อมูลที่ได้ไปไม่ใช่ฐานข้อมูลหลักที่เป็นข้อมูลลับ เป็นเว็บเพจที่ รพ. สร้างมาอีกทางหนึ่ง แต่อยู่บนเซิร์ฟเวอร์หลักเดียวกัน ส่วนการดำเนินการตรวจสอบเรื่องความเสี่ยงได้ร่วมกับสำนักงานคณะกรรมการการรักษามั่นคงปลอดภัยทางไซเบอร์แห่งชาติ สธ. และกระทรวงดีอีเอส ได้มีการแบ็กอัพข้อมูลทั้งหมด ว่ายังมีสิ่งใดซ่อนอยู่ในเซิร์ฟเวอร์หรือไม่”

ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า สำหรับระบบการให้บริการของ รพ.เพชรบูรณ์​ เซิร์ฟเวอร์ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่ถูกแยกออกมาต่างหาก และใช้ในการประสานงานภายใน รพ. เท่านั้น ไม่ได้เกี่ยวข้องกับเซิร์ฟเวอร์ในการบริการผู้ป่วยโดยตรง อยู่ภายใต้การปกป้องด้วยไฟล์วอร์ของ รพ.

นพ.อนันต์ กนกศิลป์
นพ.อนันต์ กนกศิลป์

เพียงแต่ว่าการพัฒนาโปรแกรมของ รพ. ใช้โปรแกรมที่เป็น Open Source (โปรแกรมสำเร็จรูปฟรี) ซึ่งมีจุดอ่อนทำให้สามารถถูกบุกรุกได้ จริง ๆ ใช้ใน รพ. แต่เมื่อมีการอำนวยความสะดวกบุคลากรภายในจึงมีการเชื่อมต่ออินเทอร์เน็ต เป็นเหตุให้บุคคลภายนอกสามารถบุกรุกเข้ามาได้ เบื้องต้น ตรวจสอบแล้วไม่พบการบุกรุกข้ามไปยังเซิร์ฟเวอร์ตัวอื่น

อย่างไรก็ตาม ศูนย์เทคโนโลยีสารสนเทศและการสื่อสารร่วมกับศูนย์ประสานงานรักษาความปลอดภัยไซเบอร์ได้สืบย้อนกลับไปดูเหตุผลแรงจูงใจของผู้กระทำ ขณะเดียวกัน รพ.เพชรบูรณ์ เมื่อทราบเหตุก็ได้ตัดการเชื่อมต่อจากภายนอกทันที ไม่ให้มีการบุกรุกได้อีก

“การรั่วไหลของข้อมูลในครั้งนี้ ผู้กระทำการไม่ได้มีการเรียกร้องเงินหรือทรัพย์สินใด ๆ จาก รพ. แต่นำข้อมูลไปประกาศขายผ่านทางเว็บไซต์เท่านั้น”

จากนี้ไปในส่วนของ รพ. ต้องมีการทบทวนมาตรการรวมไปถึงความเสี่ยงต่าง ๆ และประเมินสินทรัพย์ที่มีความเสี่ยงสูง พร้อมกับจัดการระบบให้มีความมั่นคงปลอดภัยยิ่งกว่าเดิม สิ่งสำคัญคือการสร้างความรู้ให้แก่บุคลากรที่ใช้งานในระบบ เพื่อให้เข้มงวดมากขึ้น

ในภาพรวมของ สธ. ที่ดูแลอยู่ จะมีการดำเนินการจัดตั้งศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ภาคสุขภาพ ให้เกิดขึ้น เพื่อมอนิเตอร์หน่วยงานทั้งในส่วน สธ. และ รพ. อื่น ๆ อยู่ตลอดเวลา

พร้อมกันนี้ ได้จัดตั้งหน่วยงานเพื่อตอบโต้ฉุกเฉิน ซึ่งอยู่ระหว่างดำเนินการ ซึ่งเดิมดีอีเอสเป็นคนดูแล แต่ด้วยข้อมูลสุขภาพมีความอ่อนไหวสูงจำนวนมาก ก็เลยมีข้อเสนอจากดีอีเอสให้ สธ. ดำเนินการส่วนนี้ในเบื้องต้น เพื่อให้เกิดการตอบสนองให้ทันสถานการณ์ เพราะลำพังดีอีเอสที่ต้องดูแลทั้งประเทศอาจไม่สะดวก ไม่พร้อมใช้ได้ทันเวลา

ขณะที่ นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ เปิดเผยว่า สำหรับความคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ซึ่งมี พ.ร.บ.สุขภาพ พ.ศ. 2550 มาตรา 7 ระบุว่าข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยประกาศทำให้บุคคลนั้นเสียหายมิได้ เว้นแต่ว่าการเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคล แต่มาตรานี้ยอมความได้

จากกรณีดังกล่าวเห็นได้ชัดเจนว่าอาจทำให้เกิดความเสียหายแก่ผู้ป่วยได้ ดังนั้น การกระทำลักษณะนี้หากมีความเสียหายเกิดขึ้น ในมาตรา 49 มีโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ นอกจากนี้ ยังมีกฎหมายอื่น ๆ เกี่ยวข้อง เช่น พ.ร.บ.คอมพิวเตอร์ เป็นต้น

สุทธิพงษ์ วสุโสภาพล
สุทธิพงษ์ วสุโสภาพล