ดีอีเอส เร่งแกะรอยแฮ็กเกอร์โจมตีล้วงข้อมูล รพ. คาดปฏิบัติการจากต่างประเทศ

ดีอีเอส เร่งเเกะรอยเเฮ็กเกอร์ข้อมูล รพ.เพชรบูรณ์ คาดปฏิบัติการจากต่างประเทศ เตือนทุกหน่วยงานประมาททำข้อมูลรั่วไหลมีความผิด เเนะปรับปรุงระบบต่อเนื่อง

 

วันที่ 8 ก.ย. 64 นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ในฐานะเป็นประธานคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แถลงข่าวกรณีแฮ็กเกอร์โจมตีข้อมูลของโรงพยาบาลเพชรบูรณ์ เพื่อชี้แจงรายละเอียดและแนวทางแก้ไข ว่าจากที่สั่งการให้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ประสานเข้าไปร่วมทำงานกระทรวงสาธารณสุข ในการลงพื้นที่ตรวจสอบช่องโหว่ของระบบของโรงพยาบาลเพชรบูรณ์ และพูดคุยกับทีมไอทีของโรงพยาบาลฯ ได้ทำการแก้ไขปัญหาเบื้องต้นแล้ว โดยนำระบบที่เป็นปัญหาดังกล่าวออกไปจากการใช้งาน และดำเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก อีกทั้ง จากการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย

 

เบื้องต้นได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ทั้งหมด มีการสำรองข้อมูลทั้งหมด ทั้งนี้ โรงพยาบาลมีระบบสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้ว ทางโรงพยาบาลได้หารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข และขอรับคำปรึกษาจาก สกมช. และกระทรวงดิจิทัลฯ ตั้งแต่ต้น เพื่อให้คำแนะนำ และเป็นที่ปรึกษาในการปรับปรุงระบบคอมพิวเตอร์ของโรงพยาบาลให้ปลอดภัย เพื่อสร้างความมั่นใจในการให้บริการต่อไป

 

“จากเหตุการณ์ที่เกิดขึ้นสามารถแก้ไขได้ด้วยความร่วมมือจากทุกภาคส่วน ซึ่งเป็นความรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน ไม่ควรตั้งคำถามว่าเกี่ยวข้องหน่วยงานใด เป็นหน้าที่ของทุกหน่วยงานที่ต้องดำเนินการรักษาและจัดเก็บข้อมูลให้ปลอดภัย ซึ่งมีแนวทางในการปฏิบัติระบุไว้แล้วอย่างชัดเจนตาม พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ 2544 พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562” นายชัยวุฒิกล่าว

 

นายชัยวุฒิ กล่าวต่อว่า การแก้ปัญหาในระยะสั้น ทุกหน่วยงานต้องมุ่งเน้นในด้านนโยบาย กรอบแนวทางปฏิบัติ และยกระดับบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ต้องถือปฏิบัติตาม พ.ร.บ.ดังกล่าวข้างต้น มาใช้ในการจัดเก็บข้อมูลต่างๆ โดยมุ่งเน้นรับผิดชอบต่อสังคมและประชาชน และสร้างความตระหนักให้บุคลากรของทุกหน่วยงาน มีความเข้มข้นในกลไกการป้องกัน ตรวจสอบ เฝ้าระวัง ในส่วนของการแก้ปัญหาในระยะยาว คือ กระทรวงสาธารณสุขต้อง centralized ระบบฐานข้อมูล และ แอปพลิเคชั่นต่าง ๆ ซึ่งการเฝ้าระวังเรื่องความปลอดภัยจะทำได้ง่ายขึ้น โดยต้องคำนึงถึงเรื่องความปลอดภัยของข้อมูลเป็นสำคัญ

 

“ปัญหาที่เกิดขึ้น รพ.เพชรบูรณ์ ยืนยันว่าข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษาเลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา อีกทั้งข้อมูลรายชื่อที่ถูกแฮ็กไปมีจำนวนประมาณ 16,000 รายชื่อ ไม่ใช่ 1.6 ล้านรายชื่อตามที่แฮ็กเกอร์กล่าวอ้าง” นายชัยวุฒิกล่าว

 

โดยข้อมูลที่ถูกแฮ็กไปเป็นข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา) ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษาประมาณ 7,000 ราย ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย สำหรับแฮ็กเกอร์ที่ก่อเหตุดังกล่าว คาดว่าปฏิบัติการอยู่ต่างประเทศ อยู่ระหว่างการสืบสวนติดตามมาดำเนินคดี โดยนายชัยวุฒิให้ความเชื่อมั่นกับประชาชนว่า มีระบบความปลอดภัยไซเบอร์ ข้อมูลที่ถูกแฮ็กดังกล่าวก็เป็นข้อมูลเบื้องต้น ไม่ใช่ข้อมูลอ่อนไหว

 

“ขอเตือนโรงพยาบาลและสถานพยาบาลทั่วประเทศให้จัดเก็บข้อมูลให้มั่นคงปลอดภัย เพราะการพัฒนาเว็บไซต์หรือแปพลิเคชันในเรื่องข้อมูลผู้ป่วย หากโรงพยาบาลและสถานพยาบาลใดจัดการข้อมูลคนไข้ไม่ได้มาตรฐาน อีกทั้งไม่มีการแจ้งหน่วยงานที่เกี่ยวข้อง ทำให้ถูกแฮ็กได้ง่าย ก็จะมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562” นายชัยวุฒิ กล่าว