สธ.ยืนยัน แฮกข้อมูลไม่เกี่ยวการรักษา ตั้งศูนย์เฝ้าระวังความมั่นคงไซเบอร์ด้านสุขภาพ

          การแฮกข้อมูลผู้ป่วยในโรงพยาบาลเพชรบูรณ์  นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ขอโทษกรณีที่เกิดขึ้น พร้อมทั้ง เปิดเผยว่า กระทรวงสาธารณสุข ร่วมกับ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส)  ตั้งคณะกรรมการขึ้นมาตรวจสอบข้อเท็จจริงและประเมินความเสียหาย หลังจากทราบข่าวเมื่อช่วงบ่ายวันที่ 5 ก.ย.64 ยืนยันว่า ข้อมูลที่คนร้ายล้วงไปเป็นจำนวน 10,095 ราย เป็นข้อมูลส่วนหนึ่งที่เพิ่มเติมจากฐานข้อมูลหลัก เช่น ได้ชื่อ  นามสกุล เบอร์โทรศัพท์ สิทธิในการรักษาพยาบาล ประกอบด้วย ข้อมูลเวชระเบียน การนัดหมายผู้ป่วยเข้ารับการรักษา ฐานตารางเวรของแพทย์ ฐานข้อมูลการคำนวณรายจ่ายในการผ่าตัดเพื่อไปซื้ออุปกรณ์ เช่น การผ่าเข่า ไม่ได้เป็นข้อมูลการรักษาพยาบาลที่อยู่ในระบบฐานข้อมูลในคนไข้ปกติของโรงพยาบาลๆ สามารถดูแลคนไข้ได้ตามปกติ 

          สาเหตุที่คนร้ายแฮกข้อมูลไป เนื่องจาก เจ้าหน้าที่ดำเนินการทำโปรแกรมใหม่ เพื่ออำนวยความสะดวกให้กับเจ้าหน้าที่ที่ดูแลคนไข้ เพื่อสรุปการรักษาของแพทย์ แต่ไปรวมอยู่ในเซิร์ฟเวอร์เดียวกัน

          หลังจากเกิดเหตุแล้ว ได้มีการตรวจสอบความเสี่ยงและมีการแบ็คอัพข้อมูลทั้งหมดว่ายังมีการซ่อนข้อมูลในเว็บหรือเซิร์ฟเวอร์อีกหรือไม่

          ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข ชี้แจงว่า การพัฒนาโปรแกรมของโรงพยาบาลเป็นระบบ Open source ใช้ในโรงพยาบาลเพื่ออำนวยความสะดวกให้บุคลากร แต่เป็นจุดอ่อนที่สามารถบุกรุกได้ เมื่อตรวจสอบไม่พบการบุกรุกข้ามไปยังเซิร์ฟเวอร์ตัวอื่น และมีการตัดการเชื่อมโยงจากภายนอก ส่วนคนที่แฮกข้อมูลไม่ได้เรียกร้องเงินหรือทรัพย์สิน แต่นำข้อมูลไปขายบนเว็บไซต์

         โรงพยาบาลจะทบทวนมาตรการ ลดความเสี่ยง ประเมินสินทรัพย์ จัดการให้ระบบปลอดภัยมั่นคง ให้ความรู้กับคนที่ใช้งาน ให้มีระบบเข้มงวดกับขั้นตอนต่างๆ

          ขณะที่ กระทรวงสาธารณสุข ดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงทางไซเบอร์ภาคสุขภาพ มอนิเตอร์ โรงพยาบาลต่างๆ พร้อมทั้งตั้งหน่วยงานตอบโต้เหตุฉุกเฉินให้ทันเวลา

         นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ เปิดเผยว่า การปฏิบัติตามมาตรา 7 พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 บุคคลอื่นไม่สามารถที่จะนำข้อมูลสุขภาพของคนอื่นไปเปิดเผยได้ ยกเว้นแต่จะได้รับอนุญาตจากเจ้าของข้อมูล เนื่องจาก ข้อมูลสุขภาพของแต่ละคนเป็นความลับและหากเปิดเผยทำให้เกิดความเสียหายเป็นการละเมิดสิทธิส่วนบุคคล ตามมาตรา 49 มีโทษจำคุกไม่เกิน  6 เดือน ปรับไม่เกิน 10,000 บาท หรือทั้งจำปรับ แต่ความผิดในมาตรา7พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 สามารถยอมความกันได้ ผู้เสียหายสามารถคุย เจรจาไกล่เกลี่ยกับผู้ละเมิด แทนการดำเนินคดีก็ได้  นอกจากนี้ ยังมีกฎหมายอีกหลายฉบับ เช่น พ.ร.บ.คอมพิวเตอร์ และ พ.ร.บ.ข้อมูลข่าวสารทางราชการ

#แฮกข้อมูลคนไข้

#กระทรวงสาธารณสุข

#โรงพยาบาลเพชรบูรณ์

แฟ้มภาพ