สธ.แจง รพ.เพชรบูรณ์ถูกแฮก ไม่ใช่ฐานข้อมูลหลักของผู้ป่วย ไม่กระทบบริการ
กระทรวงสาธารณสุข แจงกรณีมีผู้แฮกข้อมูลผู้ป่วยรพ.เพชรบูรณ์ไปขายบนเว็บไซต์ ตรวจสอบแล้วเป็นฐานข้อมูลย่อยที่โรงพยาบาลจัดทำเพื่ออำนวยความสะดวกการทำงานในโรงพยาบาล ไม่ใช่ระบบฐานข้อมูลหลักที่มีประวัติการรักษาผู้ป่วย ไม่กระทบการบริการ เบื้องต้นแจ้งความแล้ว ย้ำทุกโรงพยาบาลเข้มงวดมาตรการความปลอดภัยทางไซเบอร์
วันนี้ (7 กันยายน 2564) นายแพทย์ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข และนายแพทย์อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร แถลงข่าวกรณีการแฮกข้อมูลผู้ป่วยของกระทรวงสาธารณสุข โดยนายแพทย์ธงชัยกล่าวว่า กระทรวงสาธารณสุขได้รับรายงานว่า รพ.เพชรบูรณ์ ถูกผู้ไม่ประสงค์ดีแฮกข้อมูลผู้ป่วยไปโพสต์ขายบนเว็บไซต์ เมื่อวันที่ 5 กันยายน 2564 จึงร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ลงไปตรวจสอบข้อเท็จจริงและประเมินความเสียหายทันที พบว่าไม่ได้เป็นการแฮกฐานข้อมูลหลักที่ใช้ในการให้บริการและมีประวัติการรักษาผู้ป่วย แต่เป็นฐานข้อมูลที่โรงพยาบาลเขียนขึ้นบนโปรแกรมที่เปิดให้ใช้ฟรี (Open source) สำหรับใช้ในการทำงานของเจ้าหน้าที่ เช่น การสรุปข้อมูลผู้ป่วย การนัดหมายผู้ป่วย ตารางเวรแพทย์ และการคำนวณรายจ่ายในการผ่าตัดของกลุ่มศัลยกรรมกระดูกและข้อ เป็นต้น
“ข้อมูลที่ถูกแฮกส่วนใหญ่เป็นบางไฟล์ที่มีชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิการรักษา แต่ไม่ได้มีรายละเอียดเกี่ยวกับข้อมูลการตรวจรักษา โรงพยาบาลเพชรบูรณ์ยังสามารถให้การดูแลคนไข้ได้ปกติ โดยข้อมูลที่ถูกแฮกมีประมาณ 18,000 กว่าราย ไม่ใช่ 16 ล้านราย เนื่องจากเพชรบูรณ์มีประชากรไม่ถึงล้านคน ซึ่งกรณีนี้ต่างจาก รพ.สระบุรี ที่ถูกแฮกระบบฐานข้อมูลหลักจนทำให้จุดบริการเข้าถึงข้อมูลผู้ป่วยไม่ได้ อย่างไรก็ตาม
การกระทำดังกล่าวมีความผิดตาม พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 1 หมื่นบาท หรือทั้งจำทั้งปรับ และ กฏหมายอื่น ที่เกี่ยวข้อง” นายแพทย์ธงชัยกล่าว
นายแพทย์ธงชัยกล่าวว่า ขณะนี้ได้แจ้งความแล้ว และกระทรวงดิจิทัลฯ กำลังติดตามตรวจสอบหาแฮกเกอร์ ซึ่งไม่ได้เจาะจงข้อมูลสุขภาพเป็นพิเศษ แต่จะตระเวนหาระบบที่มีจุดอ่อนเพื่อโจรกรรมข้อมูล จึงต้องกำชับบุคลากรให้เข้มงวดการปฏิบัติตามมาตรการความปลอดภัยทางไซเบอร์ เช่น เปลี่ยนยูสเซอร์เนมและพาสเวิร์ดเป็นประจำ ทั้งนี้ จะจัดตั้งหน่วยงานเฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพและหน่วยตอบโต้เหตุการณ์ฉุกเฉิน ประสานการทำงานกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ด้านนายแพทย์อนันต์กล่าวว่า เซิร์ฟเวอร์ที่โรงพยาบาลเขียนโปรแกรมสำหรับการทำงานภายใน จำเป็นต้องเชื่อมต่ออินเทอร์เน็ต อาจถูกผู้ไม่ประสงค์ดีบุกรุกได้ จากการตรวจสอบเบื้องต้นไม่พบการข้ามไปยังเซิร์ฟเวอร์อื่น และรพ.เพชรบูรณ์ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมดเพื่อป้องกันการบุกรุก ส่วนการป้องกันในอนาคต โรงพยาบาลต่างๆ ต้องทบทวนมาตรการ ความเสี่ยง และประเมินเรื่องสินทรัพย์ที่มีความเสี่ยงสูง เพื่อจัดการให้ระบบมีความมั่นคงปลอดภัยมากขึ้น เข้มงวดผู้ที่ใช้งานระบบให้ทำตามมาตรการความปลอดภัยทางไซเบอร์