สธ.เผยข้อมูลถูกแฮกจากรพ.เพชรบูรณ์ ไม่ใช่ฐานผู้ป่วยหลัก ยันไม่กระทบให้บริการ
วันนี้ (7 ก.ย.64) ที่กระทรวงสาธารณสุข ผู้สื่อข่าวรายงานว่า นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ชี้แจงกรณีมีการแฮกข้อมูลโรงพยาบาลเพชรบูรณ์ ว่า หลังทราบข่าว ได้ตั้งคณะกรรมการตรวจสอบข้อเท็จจริงเมื่อวันที่ 5 กันยายนที่ผ่านมา พบว่า มีการนำข้อมูลที่ถูกแฮกไปขายบนเว็บไซต์จริง
แต่ข้อมูลที่ได้ไปนั้น ไม่ได้เป็นฐานข้อมูลปกติของคนไข้ที่มาใช้บริการซึ่งเป็นฐานข้อมูลหลัก เพราะสิ่งที่ได้ไปเป็นฐานข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่อีก 1 โปรแกรม เพื่อจะอำนวยความสะดวกให้กับเจ้าหน้าที่ในการดูแลคนไข้ ไม่เกี่ยวข้องกับข้อมูลรายละเอียดการวินิจฉัยโรค การรักษาโรค หรือผลแล็บใดๆ แต่ได้เป็นลักษณะ audit chart ผู้ป่วย มีชื่อ นามสกุล เบอร์โทร จำนวน 10,095 ราย
อีกฐานข้อมูลคือ การนัดผู้ป่วย จะมีชื่อผู้ป่วย มีฐานข้อมูลการขึ้นเวรของแพทย์ และฐานข้อมูล การคำนวณรายจ่ายในการผ่าตัด จำนวน 692 ราย ดังนั้น จึงยืนยันว่า ฐานข้อมูลที่ถูกแฮกไปไม่ใช่ข้อมูลทั่วไปของโรงพยาบาล ทำให้ฐานข้อมูลใหญ่ยังดำเนินไปได้
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร อธิบายเพิ่มว่า เซิร์ฟเวอร์ที่ถูกโจมตี เป็นเซิร์ฟเวอร์ที่แยกออกมาต่างหาก และเป็นตัวใช้ประสานงานภายในโรงพยาบาล ไม่ได้เกี่ยวข้องกับเซิร์ฟเวอร์ใช้บริการผู้ป่วยโดยตรง และอยู่ภายใต้การปกป้องด้วย Firewall ของโรงพยาบาล
แต่การพัฒนาโปรแกรมที่โรงพยาบาลทำขึ้นมา ใช้โปรแกรมที่เป็น Open Source เป็นโปรแกรมที่ออกแบบมาเพื่อให้ผู้ใช้นำไปใช้งานและอาจพัฒนาตัวโปรแกรมต่อได้
ดังนั้นจึงอาจมีจุดอ่อนให้สามารถบุกรุกได้ เดิมโรงพยาบาลมีใช้เฉพาะภายในเท่านั้น แต่ด้วยต้องอำนวยความสะดวกให้กับบุคลากรเลยจำเป็นต้องมีการเชื่อมต่ออินเตอร์เน็ต จึงอาจเป็นจุดให้ถูกบุกรุกจากตรงนี้ได้ และจากการตรวจสอบเบื้องต้น ไม่มีการบุกรุกไปยังเซิร์ฟเวอร์อื่น
เบื้องต้นโรงพยายาลได้ตัดการเชื่อมต่อจากภายนอกทั้งหมดแล้ว และข้อมูลที่ถูกแฮกไป ไม่ได้มีการเรียกร้องทรัพย์สินใดๆ จากโรงพยาบาล เพียงแต่มีการนำข้อมูลไปประกาศขายบนเว็บไซต์เท่านั้น หลังจากนี้ กระทรวงสาธารณสุขจะดำเนินกาาจัดตั้งศูนย์เฝ้าระวังความมั่นคงความปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อเฝ้าติดตามข้อมูลของกระทรวงสาธารณสุขตลอดเวลา
นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ เปิดเผยว่า สำหรับการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ มีพระราชบัญญัติสุขภาพแห่งชาติ พ.ศ.2550 มาตรา 7 ระบุว่า ข้อมูลสุขภาพส่วนบุคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่เจ้าตัวยินยอม
เพราะฉะนั้นจากกรณีนี้อาจทำให้เกิดความเสียหายแก่ผู้ป่วยได้ ถือเป็นการละเมิดสิทธิส่วนบุคคล ในมาตรา 49 มีโทษ จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ ซึ่งตามมาตรา 7 เป็นความผิดสามารถยอมความได้ ผู้เสียหายคุยกับผู้ละเมิด แทนการดำเนินคดีก็ได้ นอกจากนี้ ยังมีกฎหมายอีกหลายฉบับ เช่น พ.ร.บ.คอมพิวเตอร์ฯ และ พ.ร.บ.ข้อมูลข่าวสารทางราชการฯ