สธ.เผยข้อมูลคนไข้ที่ถูกแฮกแค่ฐานข้อมูลย่อย-เล็งตั้งศูนย์เฝ้าระวังฯ ไซเบอร์สุขภาพ

สธ.รับมือดีแฮกข้อมูลโรงพยาบาลเพชรบูรณ์ทางอินเทอร์เน็ต เมื่อวันที่ 5 ก.ย. แค่ฐานข้อมูลย่อย ยันไม่เกี่ยว “อนุทิน” พร้อมสั่งตั้งศูนย์เฝ้าระวังไซเบอร์ภาคสุขภาพฯ

วันนี้ (7 ก.ย.) นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (สธ.) เปิดเผยว่า จากกรณีที่มีรายงานการขายข้อมูลของโรงพยาบาลเพชรบูรณ์ทางอินเทอร์เน็ต เมื่อวันที่ 5 ก.ย. 64 ทาง สธ.รับทราบและได้มีการจัดตั้งคณะกรรมการเพื่อตรวจสอบข้อเท็จจริง และประเมินความเสียหายทันที โดยพบว่าข้อมูลที่มีการประกาศขายทางสื่อออนไลน์ ไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลการบริการคนไข้ปกติของโรงพยาบาล หรือฐานข้อมูลหลัก ซึ่งโรงพยาบาลยังสามารถดำเนินการทุกอย่างได้ตามปกติ ทั้งนี้ ฐานข้อมูลที่ถูกแฮกไปนั้นคือฐานข้อมูลย่อยที่สร้างขึ้นมาใช้ในโรงพยาบาล และอยู่ในเซิร์ฟเวอร์ของโรงพยาบาล
ดังนั้น การที่เจ้าหน้าที่ได้จัดทำโปรแกรมย่อยขึ้นมาใช้อำนวยความสะดวกภายในโรงพยาบาลนั้น ไม่มีความเกี่ยวข้องกับฐานข้อมูลรายละเอียดการวินิจฉัยโรค การรักษาโรค หรือข้อมูลผลแล็บใดๆ โดยฐานข้อมูลที่โดนแฮกไปทั้งหมด ได้แก่ ฐานข้อมูลการ Audit Chart ของแพทย์ ซึ่งมีฐานข้อมูลของผู้ป่วยประมาณ 10,095 ราย โดยไม่มีรายละเอียดของการรักษา แต่มีรายละเอียดของชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิในการรักษา เช่น ผู้ป่วยใน-นอก หรือประกันสังคม, รายละเอียดการปล่อยผู้ป่วยกลับบ้าน (Discharge), รายละเอียดการแอดมิท, ฐานข้อมูลการนัดผู้ป่วย, ฐานข้อมูลตารางเวรของแพทย์ และฐานข้อมูลการคำนวณค่าใช้จ่ายในการซื้ออุปกรณ์สำหรับผ่าตัด ของแผนกศัลยกรรมกระดูก (Orthopedic) ทั้งหมด 692 ราย ทั้งนี้ ข้อมูลที่โดนแฮกมีรายละเอียดของการวินิจฉัยโรค (Diag) ในบางรายเท่านั้น

นพ.ธงชัย กล่าวว่า ขอโทษทุกท่านจากกรณีที่ทางโรงพยาบาลโดนแฮกข้อมูลจากผู้ไม่ประสงค์ดี ยืนยันว่า ฐานข้อมูลย่อยทั้งหมด ไม่อยู่ในฐานข้อมูลของการรักษาพยาบาลทั่วไปของโรงพยาบาล และระบบของโรงพยาบาลยังสามารถดำเนินการได้ตามปกติ

ทั้งนี้ ทาง สธ. ได้มีการตรวจสอบความเสี่ยง และทำการสำรองข้อมูลทั้งหมด ร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) หรือ NCSA และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) แล้ว

ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า ในส่วนของโรงพยาบาลเพชรบูรณ์ ได้มีการพัฒนาโปรแกรมอยู่ภายใต้ไฟร์วอลล์ (Firewall) แต่เป็นการพัฒนาที่เป็น Open Source หรือซอฟต์แวร์ที่เปิดเผยซอร์สโค๊ด ต่อสาธารณชน จึงเป็นจุดอ่อนที่สามารถบุกรุกได้ง่าย ทั้งนี้ จากการตรวจสอบเบื้องต้นยังไม่มีการบุกรุกเซิร์ฟเวอร์อื่นๆ

ทางศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้ทำการสืบสวนย้อนกลับว่ามีปัจจัยหรือสาเหตุมาจากอะไร อย่างไรก็ดี จากการที่ข้อมูลรั่วไหลในครั้งนี้ ผู้กระทำการไม่มีการเรียกร้องเงิน หรือทรัพย์สินใดๆ จากโรงพยาบาล แต่มีการนำข้อมูลไปประกาศขายในเว็บไซต์

ทั้งนี้ ทางโรงพยาบาลจะมีการทบทวนมาตรการอีกครั้ง ทั้งการประเมินสินทรัพย์ที่มีความเสี่ยง การจัดการให้ระบบมีความมั่นคงปลอดภัยมากยิ่งขึ้น รวมทั้งมีการสร้างความรู้ และการตระหนักรู้แก่บุคลากรที่มีความเกี่ยวข้องกับงานดังกล่าว ในส่วนของ สธ. อยู่ระหว่างการเตรียมจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ และหน่วยงานการตอบโต้เหตุการณ์ฉุกเฉิน

ด้าน นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวถึงการคุ้มครองข้อมูลด้านสุขภาพ ว่า จาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 ในมาตรา 7 มีการระบุว่า “ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้น เป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่ากรณีใดๆ ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ หรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้”

ดังนั้น จากกรณีแฮกข้อมูลและนำไปขายดังกล่าว แสดงให้เห็นว่า อาจสร้างความเสียหายต่อผู้ป่วยได้ ดังนั้น หากการกระทำนี้มีการละเมิดสิทธิส่วนบุคคล จะมีความผิดตามมาตรา 49 ที่ระบุว่า “ผู้ใดฝ่าฝืนมาตรา 7 ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้” นอกจากนี้ ยังมีกฎหมายอื่นๆ ที่มีความเกี่ยวข้องกับกรณีดังกล่าว เช่น พ.ร.บ.คอมพิวเตอร์ และ พ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นต้น