xs
xsm
sm
md
lg

ดีอีเอส ร่วม สกมช. วางแนวทางแก้ปัญหาแฮกเกอร์โจมตีระบบ รพ. ทุกภาคส่วนร่วมมือทำงานรับผิดชอบต่อข้อมูลประชาชน

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



“ชัยวุฒิ” รมว.ดีอีเอส แถลงความคืบหน้ากรณีแฮกเกอร์โจมตีข้อมูล รพ.เพชรบูรณ์ ผนึกกำลังดีอีเอส-สกมช.-ก.สาธารณสุข ลงพื้นที่ไห้คำแนะนำ ตรวจสอบความเสี่ยงและความปลอดภัยของระบบ ยืนยันไม่พบความเสียหายกับระบบในการดูแลรักษาผู้ป่วย ชูความร่วมมือจากทุกภาคส่วน ซึ่งเป็นความรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน เดินตามแนวปฏิบัติของกฎหมายที่เกี่ยวข้อง นำไปสู่การแก้ปัญหาระยะยาวอย่างมีประสิทธิภาพ

นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ในฐานะเป็นประธานคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ให้ข้อมูลกรณีแฮกเกอร์โจมตีข้อมูลของโรงพยาบาลเพื่อชี้แจงรายละเอียดและแนวทางแก้ไข

โดยจากที่ได้สั่งการให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ประสานเข้าไปร่วมทำงานกระทรวงสาธารณสุข ในการลงพื้นที่ตรวจสอบช่องโหว่ของระบบของโรงพยาบาลเพชรบูรณ์ และพูดคุยกับทีมไอทีของโรงพยาบาล ได้ทำการแก้ไขปัญหาเบื้องต้นแล้ว ด้วยการนำระบบที่เป็นปัญหาดังกล่าวออกไปจากการใช้งาน และดำเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก อีกทั้งจากการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย

ทั้งนี้ เบื้องต้นได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ พบว่ามีการสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้วทางโรงพยาบาลได้หารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข และขอรับคำปรึกษาจาก สกมช. และกระทรวงดิจิทัลฯ ตั้งแต่ต้น เพื่อให้คำแนะนำและเป็นที่ปรึกษาในการปรับปรุงระบบคอมพิวเตอร์ของโรงพยาบาลให้ปลอดภัย เพื่อสร้างความมั่นใจในการให้บริการต่อไป

จากเหตุการณ์ที่เกิดขึ้นสามารถแก้ไขได้ด้วยความร่วมมือจากทุกภาคส่วน ซึ่งเป็นความรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน ไม่ควรตั้งคำถามว่าเกี่ยวข้องหน่วยงานใด เป็นหน้าที่ของทุกหน่วยงานที่ต้องดำเนินการรักษาและจัดเก็บข้อมูลให้ปลอดภัย ซึ่งมีแนวทางในการปฏิบัติระบุไว้แล้วอย่างชัดเจนตาม พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ 2544 พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 ถึงแม้จะมีการขยายการบังคับใช้ออกไป แต่หน่วยที่เก็บข้อมูลส่วนบุคคลยังต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 เมื่อวันที่ 17 ก.ค.2563

การแก้ปัญหาในระยะสั้น ทุกหน่วยงานต้องมุ่งเน้นในด้านนโยบาย กรอบแนวทางปฏิบัติ และยกระดับบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ต้องถือปฏิบัติตาม พ.ร.บ.ดังกล่าวข้างต้น มาใช้ในการจัดเก็บข้อมูลต่างๆ มุ่งเน้นรับผิดชอบต่อสังคม และประชาชน และสร้างความตระหนักให้บุคลากรของทุกหน่วยงานมีความเข้มข้นในกลไกการป้องกัน ตรวจสอบ เฝ้าระวัง ในส่วนของการแก้ปัญหาในระยะยาว คือ กระทรวงสาธารณสุขต้อง centralized ระบบฐานข้อมูล และ แอปพลิเคชันต่างๆ ซึ่งการเฝ้าระวังเรื่องความปลอดภัยจะทำได้ง่ายขึ้น โดยต้องคำนึงถึงเรื่องความปลอดภัยของข้อมูลเป็นสำคัญ

ปัญหาที่เกิดขึ้น รพ.เพชรบูรณ์ ยืนยันว่าข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษาเลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา อีกทั้งข้อมูลรายชื่อที่ถูกแฮกไปมีจำนวนกว่า 1 หมื่นรายชื่อ ไม่ใช่ 1.6 ล้านรายชื่อตามที่แฮกเกอร์กล่าวอ้าง

โดยข้อมูลประกอบด้วย ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา) ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย

ด้าน น.ส.อัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดีอีเอส กล่าวว่า ปัจจุบันกระทรวงดีอีเอส มีหน่วยงานที่อยู่ภายใต้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) คือ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ทำหน้าที่เป็นหน่วยงานกลางที่พร้อมให้บริการหน่วยงานต่างๆ ในการเฝ้าระวัง (monitor) การถูกโจมตีระบบ โดยปัจจุบันให้บริการอยู่แล้ว 250 หน่วยงาน ดังนั้น โรงพยาบาลต่างๆ โดยเฉพาะโรงพยาบาลระดับจังหวัดสามารถติดต่อเข้ามาใช้บริการได้ อีกทั้งในเร็วๆ นี้ บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน) หรือ NT ก็เตรียมเปิดให้บริการลักษณะนี้เช่นกัน เนื่องจากในเรื่องความมั่นคงปลอดภัยไซเบอร์นั้น นอกจากมีระบบที่มั่นคงปลอดภัยแล้ว ยังจำเป็นที่ต้องมีการเฝ้าระวังตลอดเวลาอีกด้วย

กำลังโหลดความคิดเห็น