นายแพทย์ สุธี ทุวิรัตน์ ประชาสัมพันธ์สมาคมเวชสารสนเทศไทย เตือนโรงพยาบาลไทยอย่าละเลยเรื่องการรักษาความปลอดภัยระบบไอทีในโรงพยาบาล ไม่เช่นนั้นอาจซ้ำรอยเหตุการณ์ที่เกิดขึ้นในสหรัฐขณะนี้ นั่นคือการที่ข้อมูลการจ่ายยาของประชาชนในรัฐเวอร์จิเนียมากกว่า 8 ล้านคนถูกเข้ารหัสเพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งยังไม่มีรายงานความคืบหน้าของสถานการณ์ที่เกิดขึ้นใดๆ
"ขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ในสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่เรื่อง Healthcare IT Security เพราะมีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด" นายแพทย์สุธีให้ข้อมูล โดยเชื่อว่าเหตุการณ์ที่เกิดขึ้นนั้นส่งผลกระทบต่อผู้บริหารมลรัฐ Virginia อย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดันแนวคิดการบันทึกข้อมูลรักษาพยาบาลในระบบอิเล็กทรอนิกส์ (Eletronic Medical Record) ให้เป็นวาระแห่งชาติด้วย"
นายแพทย์สุธีระบุว่า เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 ผลที่เกิดขึ้นในขณะนี้คือเว็บไซด์มลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว ยังไม่มีรายงานว่าสามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ข่มขู่ไว้
นายแพทย์สุธีวิเคราะห์ว่าความเสียหายที่เกิดขึ้นกับกรณีนี้อยู่ที่การรักษาความปลอดภัยระบบไอทีในโรงพยาบาลที่หละหลวม ซึ่งหากโรงพยาบาลไทยดำเนินการหละหลมในลักษณะเดียวกัน ก็มีโอกาสสูงมากที่จะเกิดความเสียหายขึ้น
"แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ กรณีที่เกิดขึ้นยังเป็นภัยคุกคามรูปแบบใหม่ที่น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการก่อการร้ายในรูปเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว"
ที่สำคัญ ประชาชนเจ้าของข้อมูลที่ถูกแฮกไปมีความเสี่ยงถูกแอบอ้างในทางไม่ชอบ
"กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกาอย่างขนานใหญ่ คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการ"
การสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของไทยจะเกิดขึ้นในวันที่ 25 พฤษภาคมนี้ ในงานประชุม "Healthcare Information Security Governance and Public Safety" ที่โรงแรมโอเรียลเต็ล เวลา 08.30–17.00 น. โดยนายแพทย์สุธีให้ข้อมูลว่า ในกรณีรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลงนั้นไม่กระทบต่อการให้บริการต่อสาธารณชน แต่สิ่งที่สำคัญกว่าคือ ในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างสูง ก็ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมากว่า 10 วัน
"น่ากลัวมากนะครับ ถ้าเป็นกรณีของโรงพยาบาล การที่ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ"
สำหรับการทุจริตในธนาคารอาคารสงเคราะห์ นายแพทย์สุธีวิเคราะห์ว่าน่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ (Segregration of duty) ทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหาย 500 ล้านบาท
Company Related Links :
www.tmi.or.th