สธ.ชี้แจงปมคนร้ายแฮกข้อมูลผู้ป่วยในรพ. เพชรบูรณ์ - พร้อมตั้งศูนย์เฝ้าระวังความมั่นคงทางไซเบอร์
7 ก.ย. 2564, 16:41
นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ได้กล่าวถึงกรณีการแฮกข้อมูลผู้ป่วยในโรงพยาบาลเพชรบูรณ์ พร้อมขอโทษ โดยระบุว่า ระทรวงสาธารณสุข ร่วมกับ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ตั้งคณะกรรมการขึ้นมาตรวจสอบข้อเท็จจริงและประเมินความเสียหาย หลังจากทราบข่าวเมื่อช่วงบ่ายวันที่ 5 ก.ย.64 ยืนยันว่า ข้อมูลที่คนร้ายล้วงไปเป็นจำนวน 10,095 ราย เป็นข้อมูลส่วนหนึ่งที่เพิ่มเติมจากฐานข้อมูลหลัก เช่น ได้ชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิในการรักษาพยาบาล ประกอบด้วย ข้อมูลเวชระเบียน การนัดหมายผู้ป่วยเข้ารับการรักษา ฐานตารางเวรของแพทย์ ฐานข้อมูลการคำนวณรายจ่ายในการผ่าตัดเพื่อไปซื้ออุปกรณ์ เช่น การผ่าเข่า ไม่ได้เป็นข้อมูลการรักษาพยาบาลที่อยู่ในระบบฐานข้อมูลในคนไข้ปกติของโรงพยาบาลๆ สามารถดูแลคนไข้ได้ตามปกติ
สาเหตุที่คนร้ายแฮกข้อมูลไป เนื่องจาก เจ้าหน้าที่ดำเนินการทำโปรแกรมใหม่ เพื่ออำนวยความสะดวกให้กับเจ้าหน้าที่ที่ดูแลคนไข้ เพื่อสรุปการรักษาของแพทย์ แต่ไปรวมอยู่ในเซิร์ฟเวอร์เดียวกัน หลังจากเกิดเหตุแล้ว ได้มีการตรวจสอบความเสี่ยงและมีการแบ็คอัพข้อมูลทั้งหมดว่ายังมีการซ่อนข้อมูลในเว็บหรือเซิร์ฟเวอร์อีกหรือไม่
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข ชี้แจงว่า การพัฒนาโปรแกรมของโรงพยาบาลเป็นระบบ Open source ใช้ในโรงพยาบาลเพื่ออำนวยความสะดวกให้บุคลากร แต่เป็นจุดอ่อนที่สามารถบุกรุกได้ เมื่อตรวจสอบไม่พบการบุกรุกข้ามไปยังเซิร์ฟเวอร์ตัวอื่น และมีการตัดการเชื่อมโยงจากภายนอก ส่วนคนที่แฮกข้อมูลไม่ได้เรียกร้องเงินหรือทรัพย์สิน แต่นำข้อมูลไปขายบนเว็บไซต์
โรงพยาบาลจะทบทวนมาตรการ ลดความเสี่ยง ประเมินสินทรัพย์ จัดการให้ระบบปลอดภัยมั่นคง ให้ความรู้กับคนที่ใช้งาน ให้มีระบบเข้มงวดกับขั้นตอนต่างๆ ขณะที่ กระทรวงสาธารณสุข ดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงทางไซเบอร์ภาคสุขภาพ มอนิเตอร์ โรงพยาบาลต่างๆ พร้อมทั้งตั้งหน่วยงานตอบโต้เหตุฉุกเฉินให้ทันเวลา
นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ เปิดเผยว่า การปฏิบัติตามมาตรา 7 พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 บุคคลอื่นไม่สามารถที่จะนำข้อมูลสุขภาพของคนอื่นไปเปิดเผยได้ ยกเว้นแต่จะได้รับอนุญาตจากเจ้าของข้อมูล เนื่องจาก ข้อมูลสุขภาพของแต่ละคนเป็นความลับและหากเปิดเผยทำให้เกิดความเสียหายเป็นการละเมิดสิทธิส่วนบุคคล ตามมาตรา 49 มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 10,000 บาท หรือทั้งจำปรับ แต่ความผิดในมาตรา7พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 สามารถยอมความกันได้ ผู้เสียหายสามารถคุย เจรจาไกล่เกลี่ยกับผู้ละเมิด แทนการดำเนินคดีก็ได้ นอกจากนี้ ยังมีกฎหมายอีกหลายฉบับ เช่น พ.ร.บ.คอมพิวเตอร์ และ พ.ร.บ.ข้อมูลข่าวสารทางราชการ
ที่มา js100