สธ.รับมือดีแฮกข้อมูล รพ.เพชรบูรณ์ ชื่อ เบอร์ เลข 13 หลัก แพทย์ เอาไปขายจริง ยัน จนท.ไม่เกี่ยว
สธ.รับมือดีแฮกข้อมูล รพ.เพชรบูรณ์ ชื่อ เบอร์ เลข 13 หลัก แพทย์ เอาไปขายจริง ยัน จนท.ไม่เกี่ยว อนุทิน สั่งตั้งศูนย์เฝ้าระวังไซเบอร์ภาคสุขภาพฯ
เมื่อวันที่ 7 กันยายน นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (สธ.) แถลงกรณีพบมีการแฮกข้อมูลผู้ป่วยจากโรงพยาบาล (รพ.) ในสังกัด สธ.ว่า ตามที่มีรายงานข่าวว่ามีการขายข้อมูลผู้ป่วยของ รพ.เพชรบูรณ์ ผ่านอินเตอร์เน็ต เมื่อวันที่ 5 กันยายน 2564 โดยในวันเดียวกัน จึงได้ตั้งคณะกรรมการลงไปตรวจสอบข้อเท็จจริงและประเมินความเสียหาย ต้องเรียนว่า ข้อมูลที่นำไปประกาศขายไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลในการบริการผู้ป่วยปกติของ รพ.ที่เป็นฐานข้อมูลหลัก ณ วันนี้ รพ.ยังสามารถดำเนินการดูแลผู้ป่วยได้ปกติ โดยฐานข้อมูลที่ได้ไป เป็นข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่ 1 โปรแกรม เพื่ออำนวยความสะดวกให้เจ้าหน้าที่ดูแลผู้ป่วย
“ไม่เกี่ยวข้องกับฐานข้อมูล รายละเอียดการวินิจฉัย รักษาโรค หรือผลตรวจทางห้องปฏิบัติการ (แล็บ) ใดๆ ทั้งสิ้น แต่เป็นข้อมูลที่เจ้าหน้าที่เอาไปแปะไว้กับเซิร์ฟเวอร์เดียวกันกับของ รพ. เช่น ฐานข้อมูลออดิดชาร์ตของแพทย์ ที่เมื่อแพทย์มีผู้ป่วย 1 รายนอนอยู่ที่ รพ. ต้องมีการตรวจสอบว่าชาร์ตนั้น หลังจากที่ผู้ป่วยออกจาก รพ.แล้ว ได้มีการสรุปชาร์ตแล้วหรือยัง เป็นชาร์ตของแพทย์คนใด เพื่อให้เกิดความสมบูรณ์ ตรงนี้มีฐานข้อมูลผู้ป่วยอยู่ 10,95 ราย แต่ไม่มีรายละเอียดการรักษาใดๆ มีชื่อ นามสกุล และมีข้อมูลแอดมิทเข้า-ออก รพ.เมื่อไร” นพ.ธงชัย กล่าวและว่า มีแพทย์ถูกนำเลขบัตรประชาชน 13 หลัก ออกไปด้วย
นพ.ธงชัย กล่าวว่า อีกฐานข้อมูลอื่นคือ การนัดผู้ป่วย ฐานข้อมูลคือ ตารางเวรแพทย์ การคำนวณรายจ่ายเพื่อซื้ออุปกรณ์ในการผ่าตัดแผนกออร์โธปิดิกส์ 692 ราย ฉะนั้น ยืนยันว่าฐานข้อมูลทั้งหมดไม่ได้อยู่ในฐานข้อมูลการรักษาพยาบาลทั่วไปของ รพ. และระบบยังดำเนินการได้ปกติ อย่างไรก็ตาม สธ.ได้ร่วมกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ดำเนินการตรวจสอบความเสี่ยงและแบ็คอัพ (Back Up) ข้อมูลทั้งหมด รวมถึงตรวจสอบว่ายังมีการซ่อนอะไรในเซิร์ฟเวอร์หรือไม่
“ขอกราบขอโทษทุกท่านที่มีผู้ไม่ประสงค์ดีแฮกข้อมูล เราทราบตั้งแต่บ่ายโมงของวันอาทิตย์ (5 ก.ย.64) เมื่อรับทราบก็ได้สั่งการให้ สธ. กับกระทรวงดีอีเอส โดย สกมช. ลงไปประเมินสถานการณ์ในพื้นที่ทันทีว่าสูญเสียอย่างไร ต้องเฝ้าระวังอย่างไร แต่ย้ำว่าข้อมูลที่ถูกแฮกไปจะเป็นชื่อนามสกุล เบอร์ติดต่อ บางไฟล์ไม่มีเบอร์ แต่มีการนัดผู้ป่วย มากที่สุดคือ บอกว่าผู้ป่วยคนนี้ไดเอ็ทว่าอะไร แต่ไม่ได้ลึกถึงผลแล็บหรือโรคประจำตัวผู้ป่วย” นพ.ธงชัย กล่าว
นพ.ธงชัย กล่าวต่อไปว่า สำหรับที่มีการรายงานข่าวออกมาว่ามีข้อมูลคนไข้ถูกนำออกไปกว่า 16 ล้านราย นั้น ไม่เป็นความจริง เฉพาะประชากรที่เพชรบูรณ์ก็ไม่ถึงล้านคนแล้ว ความจริงคือ ตัวเลข 16 ล้านนั้น เป็นตัวเลขการบันทึก 16 ล้านครั้ง แต่มีข้อมูลประชาชน 10,095 ราย ตอนนี้ได้มีการแจ้งความดำเนินคดีแล้ว มูลเหตุจูงใจนั้นไม่ทราบ แต่พฤติกรรมของแฮกเกอร์นั้น เจาะไปทั่ว ที่ไหนมีจุดอ่อนก็เจาะเข้าไป เพื่อเอาข้อมูลไปขาย ซึ่งการแฮกข้อมูลที่ รพ.เพชรบูรณ์ ครั้งนี้ ต่างจากการแฮกข้อมูลที่ รพ.สระบุรี ซึ่งครั้งนั้นเป็นการเจาะเข้าฐานข้อมูลผู้ป่วย ไม่สามารถเปิดข้อมูล กระทบกับการให้บริการผู้ป่วย อีกทั้งยังมีการเรียกค่าไถ่ด้วย แต่เราแก้ปัญหาได้ ไม่ต้อจ่ายเงินค่าไถ่แต่อย่างใด ส่วนที่ รพ.เพชรบูรณ์ ไม่ได้เจาะเข้าระบบฐานข้อมูลสุขภาพใหญ่ ไม่ได้เรียกค่าไถ่ และไม่กระทบการให้บริการสาธารณสุข
“เรื่องนี้รองนายกรัฐมนตรี และรัฐมนตรีว่าการ สธ. ให้ความสำคัญมาก และเร่งรัดให้มีการตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพฯ คาดว่าจะตั้งได้ภายในปี 2564 โดยจะมีการหารือกันในวันนี้ (7 ก.ย.)” นพ.ธงชัย กล่าวและว่า ตรวจสอบแล้ว เจ้าหน้า รพ.เพชรบูรณ์ ไม่มีส่วนเกี่ยวข้อง
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า เซิร์เฟเวอร์ที่ถูกโจมตีเป็นส่วนที่แยกออกมาต่างหาก ใช้สำหรับประสานงานภายในของ รพ. ไม่เกี่ยวข้องกับเซิร์ฟเวอร์ที่ใช้ในการบริการผู้ป่วยโดยตรงและอยู่ในการปกป้องด้วยไฟร์วอลล์ (Fire Wall) ของ รพ. เพียงแต่ว่าการพัฒนามาจากโปรแกรมโอเพน ซอร์ส (Open source) ซึ่งอาจมีจุดอ่อนที่ทำให้สามารถบุกลุกได้ด้วยการเชื่อมต่ออินเตอร์เน็ต เมื่อ รพ.เพชรบูรณ์ ทราบเหตุก็ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมด ไม่ให้เกิดการบุกลุกและตรวจสอบความเสียหาย จากการตรวจสอบเบื้องต้น พบว่า ยังไม่ได้บุกลุกข้ามไปที่เซิร์ฟเวอร์อื่น ทั้งนี้ ศูนย์เทคโนโลยีสารสนเทศฯ ร่วมกับ สกมช. ลงไปสอบย้อนกลับหาเหตุปัจจัย
“การที่ข้อมูลรั่วไหลครั้งนี้ ผู้กระทำการไม่ได้เรียกร้องเงินหรือทรัพย์สินใดๆ ของ รพ. แต่มีการนำไปประกาศขายบนเว็บไซต์” นพ.อนันต์ กล่าว
นพ.อนันต์ กล่าวถึงมาตรการหลังจากเหตุการณ์นี้ ว่า ส่วนของ รพ.จะต้องทบทวนมาตรการ ความเสี่ยงต่างๆ ประเมินสินทรัพย์ที่มีความเสี่ยงสูง และจัดการให้ระบบมั่นคงปลอดภัยกว่าเดิม สิ่งสำคัญคือ การสร้างความตระหนักรู้กับบุคลากรที่ใช้งานระบบ ให้ใส่ใจเข้มงวดกับกระบวนการต่างๆ ตามมาตรการ ส่วนภาพใหญ่ของ สธ. เราจะดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อดูแลส่วนหน่วยของ สธ. และรพ.อื่นในภาคสุขภาพตลอดเวลา และอยู่ในระหว่างการตั้งหน่วยงานตอบโต้เหตุการณ์ฉุกเฉิน โดยมีความเชื่อมโยงกับ กสมช. อยู่แล้ว เดิมการ กมช.ดูแลทั้งหมด แต่ด้วยเห็นว่าภาคสุขภาพมีความอ่อนไหวสูง และมีหน่วยจำนวนมากภายใต้ พ.ร.บ.สุขภาพแห่งชาติ จึงเสนอให้ สธ. ดำเนินการในส่วนนี้ เพื่อให้ตอบสนองทันต่อเหตุการณ์
ทั้งนี้ นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ (สช.) กล่าวถึงความผิดในการเข้าถึงข้อมูลผู้ป่วยจากบุคคลภายนอก ว่า การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ที่มี พ.ร.บ.สุขภาพแห่งชาติ พ.ศ.2550 มาตรา 7 ที่ระบุชัดเจนว่า ส่วนมูลส่วนบุคคล เป็นความลับส่วนบุคคล ผู้ใดที่นำไปเปิดเผยทำให้บุคคลเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรงที่เจ้าตัวยินยอม หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ในกรณีใดๆ ก็ตาม ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารทางราชการ หรือกฎหมายอื่นเพื่อขอข้อมูลเอกสารเกี่ยวกับสุขภาพบุคคลที่ไม่ใช่ของตนไม่ได้
“นี่คือสาระสำคัญในมาตรา 7 ที่ระบุไว้ในการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้ป่วย โดยหลักแล้วข้อมูลสุขภาพบุคคลถือเป็นความลับ จะเปิดเผยไม่ได้เว้นแต่เจ้าตัวยินยอม จากกรณีดังกล่าวเห็นได้ชัดเจนว่าอาจทำให้เกิดความเสียหายกับบุคคลได้ ดังนั้น การกระทำในลักษณะนี้ หากมีความเสียหายเกิดขึ้น ถือเป็นการละเมิดสิทธิส่วนบุคคล” นายสุทธิพงษ์ กล่าว
นายสุทธิพงษ์ กล่าวว่า มาตรา 49 ได้ระบุโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ ส่วนความผิดในมาตรา 7 ดังกล่าว เป็นความผิดยอมความได้ หมายถึงว่า ผู้เสียหายสามารถเจรจาไกล่เกลี่ยกับผู้ละเมิดกฎหมายแทนการดำเนินคดีได้ นอกจากนี้ ยังมีกฎหมายอื่นหลายฉบับที่เกี่ยวข้อง เช่น พ.ร.บ.คอมพิวเตอร์ พ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นต้น