สธ.ขอโทษปมถูกแฮก ล้อมคอกตั้งศูนย์เฝ้าระวังฯ ไซเบอร์ภาคสุขภาพ

สธ.ขอโทษปมถูกแฮก ล้อมคอกตั้งศูนย์เฝ้าระวังฯ ไซเบอร์ภาคสุขภาพ

สธ.ขอโทษปมถูกแฮก ล้อมคอกตั้งศูนย์เฝ้าระวังฯ ไซเบอร์ภาคสุขภาพ

รูปข่าว : สธ.ขอโทษปมถูกแฮก ล้อมคอกตั้งศูนย์เฝ้าระวังฯ ไซเบอร์ภาคสุขภาพ

รองปลัดกระทรวงสาธารณสุข ขอโทษปมถูกแฮกข้อมูลคนไข้ ยืนยันเป็นฐานข้อมูลคนละส่วนกับที่โรงพยาบาลให้บริการคนไข้ โดยข้อมูลที่ได้ไปเป็นชื่อ-นามสกุล และเบอร์โทรศัพท์บางส่วน พร้อมเร่งจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ รองรับเหตุฉุกเฉิน

วันนี้ (7 ก.ย.2564) นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข แถลงชี้แจงกรณีการแฮกข้อมูล โดยระบุว่า ขอโทษทุกคนที่เกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้น หลังรายงานข่าวว่า มีการขายข้อมูลโรงพยาบาลเพชรบูรณ์เมื่อวันที่ 5 ก.ย.ที่ผ่านมาทางอินเทอร์เน็ต ก็ได้ตั้งคณะกรรมการลงไปตรวจสอบและประเมินความเสียหายทันที

สำหรับข้อมูลที่มีการประกาศขายบนออนไลน์ไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลบริการคนไข้ปกติของโรงพยาบาล แต่เป็นฐานข้อมูลที่เจ้าหน้าที่ทำโปรแกรมใหม่ขึ้นมาเพื่ออำนวยความสะดวกให้เจ้าหน้าที่ ไม่เกี่ยวกับการวินิจฉัยโรค รักษาโรค หรือผลแล็บใด ๆ เช่น ฐานข้อมูลแพทย์มีคนไข้นอนอยู่โรงพยาบาล ต้องตรวจสอบดิสชาร์จ (Discharge) หลังออกจากโรงพยาบาล ซึ่งมีข้อมูล 10,095 คน

ในจำนวนนี้ ไม่มีรายละเอียดของการรักษา มีเพียงชื่อ-นามสกุล และมีเบอร์โทรศัพท์ในบางไฟล์ และสิทธิค่ารักษาพยาบาลเท่านั้น อีกฐานข้อมูลคือการนัดคนไข้ ในส่วนนี้มีข้อมูลชื่อคนไข้ และวันนัดหมายเท่านั้น นอกจากนี้ ยังมีฐานข้อมูลตารางเวรของแพทย์ และฐานข้อมูลคำนวณรายจ่ายการผ่าตัดของกลุ่มออร์โธปิดิกส์จำนวน 692 คน 

นพ.ธงชัย ยืนยันว่า ฐานข้อมูลทั้งหมดไม่ได้อยู่ในฐานข้อมูลของการรักษาพยาบาลทั่วไป แต่เป็นฐานข้อมูลเว็บเพจอีกแห่งหนึ่งแต่อยู่บนเซิร์ฟเวอร์เดียวกับโรงพยาบาล ล่าสุด วันนี้โรงพยาบาลยังสามารถให้บริการคนไข้ได้ตามปกติ ขณะที่เจ้าหน้าที่กระทรวงสาธารณสุขร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และกระทรวงดีอีเอส ยังเดินหน้า ตรวจสอบความเสี่ยงและแบ็กอัปข้อมูลทั้งหมด พร้อมตรวจสอบซ้ำว่ายังมีการซ่อนข้อมูลใดๆ ไว้บนเว็บไซต์หรือเซิร์ฟเวอร์อีกหรือไม่

เร่งจัดตั้งศูนย์เฝ้าระวังฯ ไซเบอร์ภาคสุขภาพ

ด้าน นพ.อนันต์ กนกศิลป์ ผอ.ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข ระบุว่า เซิร์ฟเวรอ์ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่แยกออกมาเพื่อประสานงานภายในโรงพยาบาล ไม่เกี่ยวกับเซิร์ฟเวอร์บริการคนไข้ ซึ่งอยู่ภายใต้การปกป้องของไฟร์วอลล์ของโรงพยาบาล แต่โปรแกรมที่พัฒนาขึ้นมาเป็นโปรแกรมโอเพนซอร์ส (Open Source) ซึ่งอาจมีจุดอ่อนสามารถบุกรุกได้ 

เบื้องต้น ผู้กระทำการไม่ได้เรียกร้องเงินหรือสิ่งใดจากโรงพยาบาล แต่นำข้อมูลไปขายในออนไลน์เท่านั้น และไม่มีการบุกรุกไปยังเซิร์ฟเวอร์อื่น

ทั้งนี้ โรงพยาบาลต้องมีการทบทวนมาตรการและความเสี่ยงต่าง ๆ พร้อมประเมินสินทรัพย์ที่มีความเสี่ยงสูง สิ่งสำคัญคือ การให้ความรู้และสร้างความตระหนักรู้ให้บุคลากรให้เข้มงวดกับกระบวนการต่าง ๆ

ขณะเดียวกัน กระทรวงสาธารณสุขจะดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อมอนิเตอร์หน่วยงานและโรงพยาบาต่าง ๆ ตลอดเวลา และจัดตั้งหน่วยงานตอบโต้เหตุการณ์ฉุกเฉินซึ่่งอยู่ระหว่างการดำเนินการ

เปิดเผยข้อมูลสุขภาพผู้อื่นคุก 6 เดือน ปรับ 1 หมื่น

ขณะที่ นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ ระบุว่า การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ได้รับความคุ้มครองด้วย พ.ร.บ.สุขภาพแห่งชาติ 2550 มาตรา 7 ระบุชัดเจนว่า ข้อมูลสุขภาพส่วนบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่บุคคลนั้นเสียหายไม่ได้ เว้นแต่ว่า การเปิดเผยเป็นไปตามประสงค์ของบุคคลนั้น โดยตรง หรือคนไข้ยินยอม หรือกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย

จากกรณีนี้เห็นได้ชัดเจนว่า อาจทำให้เกิดความเสียหายกับคนไข้ได้ หากมีการละเมิดสิทธิส่วนบุคคล มาตรา 49 มีโทษระบุว่า จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 10,000 บาท หรือ ทั้งจำทั้งปรับ แต่เป็นความผิดที่ยอมความได้

นอกจากนี้ ยังมีกฎหมายอีกหลายฉบับที่เกี่ยวข้อง ทั้ง พ.ร.บ.คอมพิวเตอร์ และ พ.ร.บ.ข้อมูลข่าวสารของทางราชการ

 

 

อ่านข่าวที่เกี่ยวข้อง

ย้อนคดีโรงพยาบาล-สำนักงานปลัดเคยถูก "แฮกข้อมูล" มาแล้ว

"ดีอีเอส" ยอมรับข้อมูลผู้ป่วย 16 ล้านคน ถูกแฮก

"อนุทิน" สั่งปลัด สธ.ตรวจสอบปมแฮกข้อมูลผู้ป่วย 16 ล้านคน

 

กลับขึ้นด้านบน