กระทรวงสาธารณสุข แจงกรณีพบรพ.เพชรบูรณ์ ถูกแฮกข้อมูลผู้ป่วย ชี้ข้อมูลที่ได้ไปกว่าหมื่นราย มีแพทย์ถูกนำเลขบัตรประชาชน 13 หลักออกไป พร้อมตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพฯ ของกระทรวงฯ ภายในปี 64 ขณะที่รพ.เพชรบูรณ์ออกแถลงการณ์ฉบับที่ 1
เมื่อวันที่ 7 ก.ย. 2564 ที่กระทรวงสาธารณสุข นพ.ธงชัย กีรติหัตยากร รองปลัดกระทรวงสาธารณสุข กล่าวถึงกรณีมีการแฮกข้อมูลผู้ป่วยในระบบสุขภาพ ของกระทรวงสาธารณสุข ว่า เรื่องนี่ได้รับรายงานมีการแฮกข้อมูลผู้ป่วยที่รพ.เพชรบูรณ์เมื่อวันที่ 5 ก.ย. ที่ผ่านมา ซึ่งทันทีที่ได้ทราบข่าวก็ได้มีการตั้งคณะกรรมการตั้งแต่วันที่ 5 ก.ย.เพื่อตรวจสอบข้อเท็จจริงและประเมินความเสียหาย ทั้งนี้ ข้อมูลที่มีการประกาศขายผ่านสื่อออนไลน์นั้น ไม่ได้อยู่ในระบบฐานข้อมูลการบริการคนไข้ปกติของโรงพยาบาล แต่เป็นข้อมูลที่เจ้าหน้าที่ได้ดำเนินการทำโปรแกรมขึ้นมาใหม่ 1 โปรแกรม เพื่ออำนวยความสะดวกให้กับเจ้าหน้าที่ในการดูแลคนไข้ แต่ข้อมูลที่ได้ไปไม่ใช่ฐานข้อมูลสุขภาพ การวินิจฉัยรักษาโรค หรือผลแลบใดๆ ทั้งสิ้น ข้อมูลที่ได้ไป 10,095 ราย เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิการรักษา แต่มีบางรายที่จะถูกระบุอาการป่วย ข้อมูลการมารพ.วันไหน ออกจากรพ.เมื่อไหร่ วัดนัดหมาย แพทย์ที่เข้าเวร นอกจากนี้ยังมีบันทึกข้อมูลการคำนวณรายจ่ายในการผ่าตัด กลุ่มออโธปิดิกส์ อีก 692 รายเป็นการคำนวณรายจ่ายเพื่อไปซื้ออุปกรณ์ในการผ่าเข่า เป็นต้น ทั้งนี้ มีแพทย์ถูกนำเลขบัตรประชาชน 13 หลักออกไปด้วยประมาณ 39 คน
"วันนี้ระบบของโรงพยาบาลสามารถดำเนินการได้ตามปกติสามารถดูแลได้ปกติข้อมูลทุกอย่างยังอยู่ ตอนนี้กำลังอยู่ระหว่างตรวจสอบความเสี่ยงและมีการ Backup ข้อมูล ตรวจสอบข้อมูลทั้งหมดว่าจะมีการซ่อน อะไรอยู่ในเว็บไซต์ หรือ Server หรือไม่โดยร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติและกระทรวงดีอี" นพ.ธงชัย กล่าว
รองปลัดสธ. กล่าวต่อว่า สำหรับที่มีการรายงานข่าวออกมาว่ามีข้อมูลคนไข้ถูกนำออกไปกว่า 16 ล้านราย นั้น ไม่เป็นความจริง เฉพาะประชากรที่เพชรบูรณ์ก็ไม่ถึงล้านคนแล้ว ความจริงคือตัวเลข 16 ล้านนั้น เป็นตัวเลขการบันทึก 16 ล้านครั้ง แต่มีข้อมูลประชาชน 10,095 ราย ตอนนี้ได้มีการแจ้งความดำเนินคดีแล้ว มูลเหตุจูงใจนั้นไม่ทราบ แต่พฤติกรรมของแฮกเกอร์นั้นเจาะไปทั่ว ที่ไหนมีจุดอ่อนก็เจาะเข้าไป เพื่อเอาข้อมูลไปขาย ซึ่งการแฮกข้อมูลที่รพ.เพชรบูรณ์ ครั้งนี้ต่างจากการแฮกข้อมูลที่รพ.สระบุรี ซึ่งครั้งนั้นเป็นการเจาะเข้าฐานข้อมูลผู้ป่วย ไม่สามารถเปิดข้อมูล กระทบกับการให้บริการผู้ป่วย อีกทั้งยังมีการเรียกค่าไถ่ด้วย แต่เราแก้ปัญหาได้ ไม่ต้อจ่ายเงินค่าไถ่แต่อย่างใด ส่วนที่รพ.เพชรบูรณ์ ไม่ได้เจาะเข้าระบบฐานข้อมูลสุขภาพใหญ่ ไม่ได้เรียกค่าไถ่ และไม่กระทบการให้บริการสาธารณสุข
“เรื่องนี้รองนายกรัฐมนตรีและรมว.สาธารณสุข ให้ความสำคัญเรื่องนี้มาก และเร่งรัดให้มีการตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพฯ คาดว่าจะตั้งได้ภายในปี 2564 โดยจะมีการหารือกันในวันนี้ (7 ก.ย.)” นพ.ธงชัย กล่าว และว่า ตรวจสอบแล้ว เจ้าหน้ารพ.เพชรบูรณ์ ไม่มีส่วนเกี่ยวข้อง ส่วนสื่อต่างๆ ที่มีการเผยแพร่ข้อมูลสุขภาพผู้ป่วยโดยไม่มีการปิดบัง หรือไม่ได้รับการยินยอมก็ถือว่ามีความผิดด้วย
นพ.อนันต์ กนกศิลป์ ผอ.ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข กล่าวว่า เซอร์เวอร์ที่ถูกโจมตี เป็นเซอร์เวอร์ที่แยกออกมาต่างหาก อยู่ภายใต้การปกป้องของไฟวอร์ของ รพ. การพัฒนาโปรแกรมของ รพ. เป็นโอเพ่นซอส เดิมใช้ในรพ.เพื่ออำนวยความสะดวก จำเป็นต้องเชื่อต่ออินเตอร์เน็ต ศูนย์ฯ ร่วมกับ ศูนย์ปลอดภัยไซเบอร์ ลงไปตรวจสอบ รพ.เพชรบูรณ์ ก็ได้ตัดการเชื่อมต่อกับภายนอกทั้งหมด และตรวจสอบความเสียหายเบื้องต้น ไม่พบว่ามีการบุกรุกเข้าเซอร์เวอร์อื่นๆ ของรพ. การที่ข้อมูลรั่วไหลครั้งนี้ ผู้ดำเนินการไม่ได้เรียกร้องเงินทรัพย์ เป็นการนำข้อมูลไปประกาศขายทางเว็บไซต์ ขณะนี้มีการทบทวนมาตรการและทรัพย์สินที่มีความเสี่ยงสูงและจัดการให้มีความมั่นคงปลอดภัยมากขึ้น ด้วยการให้ความรู้ และเข้มงวดเรื่องการ กว่าเดิมสิ่งสำคัญคือการให้ความรู้หรือการสร้างความตระหนักรู้ให้กับบุคลากรให้เข้มงวดมาตรการที่รพ.กำหนด
“ส่วนภาพใหญ่กระทรวงสาธารณสุขได้ดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพเพื่อมอนิเตอร์หน่วยงานทั้งในส่วนของกระทรวงสาธารณสุขและโรงพยาบาลอื่นๆ ตลอดเวลา และตั้งหน่วยงานตอบโต้สถานการณ์ฉุกเฉินซึ่งอยู่ระหว่างการดำเนินการ โดยเชื่อมโยงกับศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของกระทรวงดิดีอี เนื่องจากข้อมูลสุขภาพเป็นเรื่องอ่อนไหว สธ.ต้องดูแลเองเพื่อให้เกิดความมั่นใจในการตอบสนองต่อสถานการณ์ได้ทันเวลา” นพ.อนันต์ กล่าว
นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ (สช.) กล่าวว่า ข้อมูลสุขภาพบุคคลจะได้รับการคุ้มครอง ตามมาตรา 7 แห่งพ.ร.บ.สุขภาพแห่งชาติ ถือเป็นความับ ใครที่นำออกไปเผยแพร่จะมีความผิดตามมาตรา 49 มีโทษจำคุก 6 เดือน ปรับไม่เกิน 1 หมื่นบาท หรือทั้งจำทั้งปรับ แต่เป็นความผิดที่ยอมความได้ ไกล่เกลี่ยได้ อย่างไรก็ตาม นอกจากก.ม.ดังกล่าวแล้ว ยังถือว่าผิดพ.ร.บ.คอมพิวเตอร์ และพ.ร.บ.ข้อมูลข่าวสารของราชการ
ต่อมาโรงพยาบาลเพชรบูรณ์ออกแถลงการณ์ฉบับที่ 1 กรณีดังกล่าว ใจความว่า โรงพยาบาลได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลในอินเทอร์เน็ต เมื่อวันที่ 5 ก.ย.2564 เวลา 13.30 น. ขนาด 3.75 GB จำนวน 16 ล้าน records จากฐานข้อมูล จำนวน 146 ฐานข้อมูล ในราคา 500 เหรียญสหรัฐอเมริกา โรงพยาบาลได้ดำเนินการตรวจสอบโดยด่วน มีการจัดตั้งคณะกรรมการแก้ไขปัญหาภาวะคุกคามทาง Cyber ขึ้นตั้งแต่วันที่ 5 ก.ย.2564 เวลา 14.00 น. เพื่อตรวจสอบข้อเท็จจริงและประเมินความเสียหายที่เกิดขึ้น ข้อมูลที่มีการเผยแพร่ในอินเทอร์เน็ต แสดงข้อมูลทั่วไปของประชาชนที่มารับบริการ และเจ้าหน้าที่บางส่วน
ในขั้นต้นทางโรงพยาบาลได้ดำเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก ตรวจสอบความเสียหายระบบภายในโรงพยาบาล มีการตรวจสอบความปลอดภัยด้านไซเบอร์ ตรวจสอบระบบที่ข้อมูลรั่วไม่ให้มีแฮกเกอร์อยู่ในระบบ ผลการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย และจากการตรวจสอบขั้นต้น ข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษา เลขประจำตัวผู็ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา สำหรับการแก้ไขปัญหา เบื้องต้น โรงพยาบาลได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ทั้งหมด มีการสำรองข้อมูลทั้งหมด โดยโรงพยาบาลมีระบบสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้ว
อ่านเพิ่มเติมแถลงการณ์ฉบับที่ 1
ขอบคุณข้อมูลจากเฟซบุ๊กรพ.เพชรบูรณ์
- 613 views