สธ.เตรียมแจ้งความ ตร.ไซเบอร์เอาผิด หลัง "แฮกเกอร์" ประกาศขายข้อมูลอ้างเอามาจาก สธ. ยันตรวจสอบแล้ว ไม่ได้รั่วจากฐานข้อมูล สธ. จ่อของบกลาง 2 พันล้าน พัฒนาระบบรองสุขภาพดิจิทัล ขยายไฟร์วอลล์-ระบบแบ็กอัป ด้าน สกมช.เตือนจุดอ่อนข้อมูลรั่วบ่อยมาจากยูสเซอร์เนส พาสเวิร์ด แนะเปลี่ยนทุก 90 วันหรือใช้ ThaiD ระบบแบ็กอัปไม่แยกจากระบบจริง ทำรันระบบไม่ได้
เมื่อวันที่ 20 มี.ค. นพ.พงศธร พอกเพิ่มดี รองปลัดกระทรวงสาธารณสุข พร้อมด้วย พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และ นพ.สุรัคเมธ มหาศิริมงคล โฆษก สธ.และ ผอ.ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร แถลงข่าวกรณีแฮกเกอร์ประกาศขายข้อมูลที่อ้างว่ามาจากหน่วยงาน สธ. 2.2 ล้านชื่อ
เปิดแนวทางเช็กไม่ได้รั่วจาก สธ.
นพ.พงศธรกล่าวว่า เราพบว่า มีการประกาศขายข้อมูลในเว็บไซต์ Breachforums.cx โดยแฮกเกอร์ใช้ชื่อว่า infamous ประกาศขายข้อมูลวันที่ 15 มี.ค. 2567 จากการตรวจสอบมีข้อมูลทั่วไปจำนวน 101 ข้อมูล ประกอบด้วย ชื่อนามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ และวันเดือนปีเกิด ไม่พบข้อมูลที่เกี่ยวข้องกับด้านการแพทย์และสาธารณสุข จากการเปรียบเทียบรูปแบบการจัดเก็บข้อมูลกับฐานข้อมูลขนาดใหญ่ของ สธ.จำนวน 5 ฐานข้อมูล ทั้ง 43 แฟ้ม DDS FDH PHR และฐานข้อมูลระดับจังหวัด พบว่าไม่ตรงกับรูปแบบการเก็บข้อมูลของ สธ. ยังไม่มีหลักฐานบ่งชี้ว่าชุดข้อมูลดังกล่าวมาจาก สธ. นอกจากนี้ จากการตรวจสอบยังพบว่า มีการประกาศขายข้อมูลลักษณะเดียวกันอีก 7 หน่วยงาน ทั้งรัฐและเอกชน ไม่ใช่แค่ สธ.
แฮกเกอร์กล่าวอ้างเกินจริง
พล.อ.ต.อมรกล่าวว่า กรณีดังกล่าวไม่ใช่ครั้งแรกของไทยหรือของโลก ต้องทำความเข้าใจว่า พวกขายข้อมูลมักจะประกาศขายข้อมูลเกินจริง อย่าง สกมช.ตรวจสอบพบบ่อยว่า มีการประกาศขายหลักล้าน แต่ตรวจสอบเจอแค่แค่หลักหมื่นหรือหลักแสน ข่าวประเภทนี้เป็นแค่คำแฮกเกอร์กล่าวอ้าง ไม่ใช่ข้อเท็จจริง หลายเหตุการณ์ประกาศขายเกินจริง แต่พบภายหลังก็ไม่ใช่เรื่องจริง ส่วนกรณีนี้ยังต้องตรวจสอบเพิ่มเติมว่า จะมีข้อมูลเพิ่มเติมอีกหรือไม่ และจะตามจากเบาะสแที่มีอยู่ต่อไป
"สกมช.ช่วย สธ.สนับสนุนความปลอดภัยไซเบอร์มายาวนาน ตั้งแต่ก่อนเริ่มหมอพร้อม เราไม่ได้บอกว่า เป็นกระทรวงแล้วไม่ใช่เรื่องจริง เมื่อเกิดเหตุการณ์เราพูดคุยทันทีและตรวจสอบ ดูข้อมูลว่า ชื่อนามสกุล เบอร์โทร ข้อมูลประเภทนี้เก็บไว้ในฐานข้อมูล สธ.หรือไม่ เปรียบเทียบว่าตรงกับข้อมูลในฐานข้อมูลของ สธ.หรือไม่ ซึ่งลักษณะของข้อมูลการจัดเก็บและหลักฐานประกอบหลายอย่าง พบว่าไม่ตรงกับสิ่งที่จัดเก็บ จึงไม่ได้รั่วไหลจากตัวระบบของฐานข้อมูลกระทรวง สธ. เราเชื่อมั่นหลังตรวจสอบแล้ว" พล.อ.ต.อมรกล่าว
แง้มแผนรับมือปลอดภัยไซเบอร์ สธ.
ส่วนประชาชนจะมีความมั่นใจได้อย่างไรเรื่องพัฒนาระบบรักษาความมั่นคงปลอดภัยไซเบอร์ นพ.พงศธรกล่าวว่า ขณะนี้เรากำลังใช้เทคโนโลยีมาพัฒนาระบบสุขภาพดิจิทัล เราเตรียมการหลายส่วน ทั้งมีนโยบาย รพ.อัจฉริยะ ซึ่งมีหลักเกณฑ์ 4 องค์ประกอบ หนึ่งในนั้นคือความปลอดภัยไซเบอร์และธรรมาภิบาลระบบข้อมูล ทุก รพ.ตั้งแต่ 1 ต.ค.ดำเนินงานอย่างเข้มข้น ผลการประเมิน รพ.อัจฉริยะพบว่า เกือบ 90% ผ่านเกณฑ์ระดับเงินแล้ว ระบบให้ได้มาตรฐาน HAIT , มีการจัดตั้งผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer : CISO) ซึ่งน่าจะเป็นกระทรวงแรกที่ตั้งครบทั้งกระทรวง ตั้งแต่ระดับ รพ. จังหวัด ระดับเขตสุขภาพ และระดับกระทรวง, การจัดตั้งกลุ่มงานดิจิทัลเพื่อวางกำลังคน , ส่วน 12 จังหวัดนำร่องจะมีการตั้งระบบพิเศษ CO-CSIRT ด้วย ส่วนงบประมาณนั้นในปีงบประมาณ 2568 ให้แต่ละ รพ.ทำความต้องการขึ้นมาผ่านแผนระดับจังหวัด เพราะเรามี 900 กว่า รพ. มีความต้องการระบบที่หลากหลายทั้งเบสิคและแอดวานซ์ จะให้ รพ.แต่ละแห่งเสนอของบมาเอง ส่วนปีงบประมาณ 2567 เราเตรียมของบกลาง ซึ่งต้องผ่าน พ.ร.บ.งบประมาณเดือน เม.ย.ก่อน ถึงจะตั้งงบประมาณได้ ซึ่งแผนทางศูนย์เทคฯ เตรียมไว้หมดแล้ว
ทดสอบเจาะระบบก่อนให้ ปชช.ใช้แอปฯ
นพ.สุรัคเมธ กล่าวว่า สธ.ยกระดับความมั่นคงปลอดภัยไซเบอร์ทั้งกระทรวง เน้นที่หน่วยบริการสาธารณสุข ต้องมีมาตรฐานความมั่นคงปลอดภัยไซเบอร์ขั้นต่ำ (HAIT) ระบบจัดเก็บข้อมูลคลาวด์ได้มาตฐานนานาชาติ ISO27001 ISO27799 ส่วนแอปพลิเคชันที่จะเข้าถึงประชาชนก็ต้องมีมาตรฐานกระบวนการพัฒนาระบบซอฟต์แวร์ อาทิ การค้นหาช่องโหว่ของระบบ, การทดลองเจาะระบบ เป็นต้น ก่อนให้ประชาชนเข้าใช้ เรามอบรองนายแพทย์สาธารณสุขจังหวัดท่านหนึ่งเป็นผู้ดูแลความปลอดภัยไซเบอร์ระดับจังหวัด หากมีเหตุการณ์สงสัยจะเกิดประเด็นก็จะเข้าไปบริหารจัดการเหตุการณ์นั้น จะเข้าไปดูทรัพยากรให้เพียงพอ รพ.เล็ก รพ.ใหญ่ หากขาดแคลนทรัพยากรก็จะคอยดูแลส่วนนี้ให้ มีการจัดทำแผนหาคอมพิวเตอร์ ประเมิน รพ.อัจฉริยะทั่วประเทศได้คะแนนกลับมาค่อนข้างดีเกือบทุก รพ. นอกจากนี้ สธ.มีนโยบายอัปเดตซอฟต์แวร์ถูกลิขสิทธิ์ การจัดหาระบบความปลอดภัยไซเบอร์ให้ได้มาตรฐาน การสำรองข้อมูล และกู้คืนระบบให้ได้ทันที
"ส่วน CISO ตำแหน่งคือผู้บริหารนโยบาย เป็นคนที่ทำแผน จัดหาทรัพยากร พัฒนาบุคลากร คอยดูแลระบบให้มีความพร้อม เน้นเรื่องการป้องกัน ออกแบบระบบให้ปลอดภัย กรณีสงสัยว่าจะมีข้อมูลหลุดรั่ว โดนโจมตีเป็นผู้บริหารนี้คอยดูแล การมีในระดับจังหวัด ระดับ รพ. ทำให้มีการพัฒนาอย่างต่อเนื่อง จุดเด่นสำคัญเรื่องนี้ต้องทำอย่างต่อเนื่องให้ทันกับการโจมตีคุกคามที่เกิดขึ้น เพราะเขาก็มีการพัฒนาเช่นกัน ไม่ใช่ทำครั้งเดียวหยุด ต้องมีระบบบริหาร ซึ่งตอนนี้ CISO มีทุก รพ.แล้ว" นพ.สุรัคเมธกล่าว
ของบกลาง 2 พันล้าน พัฒนาระบบไซเบอร์
ถามว่าจะของบกลางเท่าไร นพ.สุรัคเมธกล่าวว่า สธ.ตั้งใจของบกลาง 2 พันล้านบาท เพื่อยกระดับระบบคอมพิวเตอร์สารสนเทศความปลอดภัยไซเบอร์ ที่จะจัดหาคือ ระบบไฟร์วอลล์ ระบบสำรองข้อมูล เพราะการพัฒนาเรามีข้อมูลมากขึ้นเรื่อยๆ ระบบที่จัดหาไว้เดิม เมื่อเราขยายระบบก็ต้องจัดหาระบบใหม่ๆ ขึ้นมารองรับการขยายระบบสุขภาพดิจิทัลระดับ รพ. อย่างสมัยก่อนไม่เคยใช้มือถือ เทเลเเมดิซีน แต่ปัจจุบันมี ก็ต้องมีระบบใหม่มารองรับ เนื่องจากภัยคุกคามมีมากขึ้น ก็ต้องหาระบบใช้ปัญญาประดิษฐ์ (AI) มาตรวจจับการคุกคามทางไซเบอร์ ซึ่งเป็นเรื่องใหม่ เทคโนโลยีใหม่ สธ.ยังไม่มีก็ต้องหางบประมาณมารองรับตรงนี้ ซึ่งเราตั้งใจว่าจะดำเนินการให้ครอบคลุมทั่วประเทศระดับราย รพ. ตั้งแต่ รพ.ศูนย์ รพ.ทั่วไป และ รพ.ชุมชน
"ขณะนี้การเตรียมการอยู่ในขั้นตอนของศูนย์เทคโนโลยีฯ ก็จะเสนอรัฐมนตรีว่าการ สธ. เพื่อเสนอ ครม.ต่อไป" นพ.สุรัคเมธกล่าว
ระบบปลอดภัยไซเบอร์ดีขึ้น ถูกคุกคามน้อยลง
ถามว่าระบบไฟร์วอลล์ รพ.ตอนนี้ดีขึ้นมากน้อยแค่ไหน นพ.สุรัคเมธกล่าวว่า ขณะนี้ดีขึ้นเยอะ เหตุการณ์โดนโจมตีที่เจอน้อยลง จากเดิมเจอเดือนละครั้ง ตอนนี้เหลือประมาณ 3-4 เดือนครั้ง ตั้งแต่ปีใหม่มายังไม่เจอเลย อย่างเรื่อง 30 บาทรักษาทุกที่ ที่ต้องมีการรูดบัตรประชาชน ก็ทำให้การเข้าถึงข้อมูลค่อนข้างยาก
เตรียมแจ้งความ ตร.ไซเบอร์เอาผิด
ถามย้ำว่าตรวจสอบแล้วยังไม่เจอข้อมูลมากกว่า 101 ข้อมูลใช่หรือไม่ นพ.สุรัคเมธตอบว่า ใช่ ยังไม่เจอข้อมูลมากกว่านี้ ถามอีกว่าเมื่อไม่ใช่ข้อมูลจาก สธ. จะมีการดำเนินการตรวจสอบหรือเอาผิดอะไรต่ออีกหรือไม่ นพ.สุรัคเมธกล่าวว่า เราจะแจ้งความต่อตำรวจไซเบอร์ในข้อหาใช้โลโก้กระทรวงฯ ทำให้เสื่อมเสียชื่อเสียง เป้นการหมิ่นประมาท และผิด พ.ร.บ.คอมพิวเตอร์ด้วย ฐานนำเข้าข้อมูลอันเป็นเท็จ ซึ่งฝ่ายกฎหมายทราบแล้วอยู่ระหว่างการร่างคำฟ้อง โดยจะไปแจ้งใน 1-2 วันนี้
ดีอีใช้ AI ตรวจจับรั่วไหลข้อมูลส่วนบุคคล
ด้าน น.ส.วงศ์อะเคื้อ บุญศล โฆษกกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมฝ่ายการเมือง (ดีอี) กล่าวว่า กระทรวงดิจิทัลฯ นอกจาก สกมช. ยังมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye ในการตรวจสอบเพื่อค้นหาในการใช้ AI เพื่อระบุว่ามีข้อมูลส่วนบุคคลรั่วไหลหรือไม่ ส่วนของ PDPC Eagle Eye ได้ร่วมจับตาส่วนของข้อมูลอยู่ตลอดทั้งรัฐและเอกชน หากหน่วยงานรัฐมีการรั่วไหลของข้อมูลจะมีโทษทางปกครอง หรือแม้แต่บุคคลที่มีการซื้อขายข้อมูลส่วนบุคคลของประชาชนก็มีโทษสูงเช่นกัน ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และ พ.ร.บ.คอมพิวเตอร์
แนะข้อปฏิบัติลดเสี่ยงถูกแฮก
ถามถึงข้อควรปฏิบัติของ รพ.หรือบุคลากร เพื่อป้องกันการถูกแฮกหรือเจาะข้อมูล พล.อ.ต.อมรกล่าวว่า เราอยากแนะนำสำหรับทุกคนเลย ที่เราห่วงมากคือการใช้ยูสเซอร์เนมและพาสเวิร์ดอย่างเดียวแล้วเข้าได้ ตั้งแต่ต้นปี 2567 มา มีเหตการณ์ยูสเซอร์เนสและพาสเวิร์ดรั่ว แต่ไม่ทำให้เกิดข้อมูลรั่วเลยไม่เป้นข่าว เราเตือนไปประมาณร้อยครั้ง บางทีก็เป็นระบบของโรงเรียน ซึ่งครูโรงเรียนแห่งหนึ่งปล่อยยูสเซอร์เนสพาสเวิร์ดรั่ว โดยยูสเซอร์เนมและพาสเวิร์ดเป็นเบอร์โทรของครู หากแฮกเกอร์ไปเห็นเข้าแล้วอยากจะขาย ก็จะได้ข้อมูลรูปภาพเด็กและบุคลากรทั้งหมด เวลาขายจะไม่พูดว่าข้อมูลจากโรงเรียน แต่จะบอกว่าข้อมูลกระทรวงศึกษาธิการก็จะเป็นข่าว ทั้งที่จริงเกิดจาก 1 คนยูสเซอร์เนสพาสเวิร์ดอ่อนแอ เพราะฉะนั้น เรื่องยกระดับมาตรการพิสูจน์ทราบว่าใครเป้นใครก่อนเข้าระบบ เป็นความรับผิดชอบของทุกคนไม่ว่ารัฐ เอกชน หรือใครก็ตามที่เกี่ยวข้องข้อมูลประชาชน
แยกระบบแบ็กอัปข้อมูล
ส่วนอีกเรื่องคือ กลไกที่จะบอกได้ว่าขณะนี้ข้อมูลรั่วแล้ว มีความพยายามแฮกแล้ว เป็นหน้าที่ของทุกคนเลยที่ต้องดูแลทั้งเรื่องกลไกด้านการปฏิบัติ ผู้บริหารที่ต้องให้ความสำคัญ และเทคโนโลยีที่ต้องมาสอดประสานกันด้วย รวมถึงการแบ็กอัป บ่อยครั้งที่เราโดนแรนซัมแวร์ (Ransomware) ในการเรียกค่าไถ่ แล้วระบบปิดหลายวัน เพราะว่าการแบ็กอัปไม่ได้แยกจากระบบจริง มันไว้ที่เดียวกัน อาจจะคนละเซิร์ฟเวอร์ แต่อยู่ในเน็ตเวิร์กเดียวกัน แฮกเกอร์ตามไปจัดการได้
"จำนวนรั่วไหลข้อมูลที่ สกมช.ทำมาตั้งแต่ปี 2564 พบว่า รัฐและเอกชนจำนวนไหล่เรี่ยกัน แต่ภาคเอกชนอาจได้รับความสนใจน้อย แต่เราตามไปดูแลหมด ไม่ว่ารั่วจากรัฐหรือเอกชน เพาะคนเดือดร้อนคือประชาชนที่เป็นเจ้าของข้อมูล" พล.อ.ต.อมรกล่าว
เปลี่ยนพาสเวิร์ดทุก 90 วันลดเสี่ยง
ถามว่าการเปลี่ยนพาสเวิร์ดคนเปลี่ยนบ่อยครั้งมากน้อยแค่ไหน เพราะบางคนกลัวจำพาสเวิร์ดไม่ได้ พล.อ.ต.อมรกล่าวว่า อาจจะต้องสมดุลกัน ระหว่างยังไม่มีระบบที่ดีกว่า ก็เปลี่ยนพอสมควร ที่แนะนำคือ 90 วัน หากรั่วไป ผ่านไป 3 เดือนก็จะเข้ามาไม่ได้ จะเป็นอะไรที่ทำได้ก่อน แต่ถ้าจะดีกว่านั้นอยากให้ใช้ ThaiD (ไทยดี) ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล สามารถใช้ Log on ได้โดยไม่ต้องลงทุนเพิ่ม ระบบจะส่งคิวอาร์โคด เราเจ้าของมือถือต้องสแกนคิวอาร์โคดเข้าไป พาสเวิร์ดไม่ต้องใช้ไม่ต้องจำ รับผิดชอบแค่มือถืออุปกรณ์ตัวเอง ระบบก็ปลอดภัยขึ้นมา 90% บ่อยครั้งรั่วจากตัวพาสเวิร์ด ยิ่งเป็นพาสเวิร์ดแอดมินก็เรื่องใหญ่ เพราะจะเข้าไปทำความเสียหายดึงข้อมูลได้เยอะ คนทั่วไปก็มีดอกาสเพราะบางคนเข้าถึงข้อมูลได้มาก จากยูสเซอร์เนมพาสเวิร์ดรั่วของคนๆ เดียว กลายเป็นข้อมูลรั่วขององค์กรก็เป็นได้ ขึ้นอยู่กับสิทธิเข้าถึงข้อมูลของคนๆ นั้น
"นอกจากนี้ ฝากหน่วยงานรัฐว่า เวลาจ้างใครพัฒนาระบบ ต้องตามไปกำกับดูความปลอดภัยตั้งแต่ตอนจ้าง เพราะอีกเหตุการณ์ที่เจอบ่อย คือ ไปรั่วตอนกำลังพัฒฯา เพราะตอนผู้พัฒนาทำมาอาจจะนึกว่ายังไม่ส่งมอบจึงไม่มีใครรู้ แต่พอต่ออินเทอร์เน็ตก็เป็นโอกาสรั่วได้เช่นกัน ต้องให้กลไกกำกับดูแลทั่วถึงและเป็นความรับผิดชอบของทุกคนจริงๆ" พล.อ.ต.อมรกล่าว
