20 มีนาคม 2567 ที่กระทรวงสาธารณสุข จ.นนทบุรี นพ.พงศธร พอกเพิ่มดี รองปลัดกระทรวงสาธารณสุข พร้อมด้วย พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แถลงข่าวกรณีแฮกเกอร์ประกาศขายข้อมูลที่อ้างว่ามาจากหน่วยงานของ สธ. 2.2 ล้านชื่อ โดย นพ.พงศธรกล่าวว่า กระทรวงสาธารณสุขได้รับการประสานแจ้งเหตุการณ์จากหน่วยงานตรวจสอบความปลอดภัยไซเบอร์ ตั้งแต่วันที่ 16 มีนาคม ที่ผ่านมา และได้เข้าไปตรวจสอบข้อมูลในเว็บไซต์ของมิจฉาชีพดังกล่าว ซึ่งมีการนำข้อมูลมาแสดงตัวอย่างประมาณ 100 รายการ โดยเป็นชื่อนามสกุล เลขบัตรประจำตัวประชาชน เบอร์โทรศัพท์มือถือ และวันเดือนปีเกิดที่แสดงเป็นปี ค.ศ. ไม่มีข้อมูลที่เกี่ยวข้องกับด้านสุขภาพ ซึ่งข้อมูลเหล่านี้เป็นข้อมูลพื้นฐานทั่วไปที่ไม่สามารถระบุได้ว่าเป็นของหน่วยงานใด ที่สำคัญคือ เป็นข้อมูลที่ไม่ตรงกับฐานข้อมูลของกระทรวงสาธารณสุข โดยเฉพาะเบอร์โทรศัพท์มือถือ และจากการตรวจสอบระบบฐานข้อมูลที่เกี่ยวข้องทั้งหมด รวมถึงเหตุการณ์โจมตีระบบ ไม่พบหลักฐานว่ามีการเจาะระบบหรือนำข้อมูลออกไปจากระบบ จึงมั่นใจว่า 100 รายชื่อที่ประกาศขายไม่ได้มาจากกระทรวงสาธารณสุข
นพ.พงศธรกล่าวว่า ปัจจุบันข้อมูลที่มีการหลุดออกมาจำนวนมากทั้งต่างประเทศและประเทศไทย มักเป็นเหตุการณ์ที่โดนโจมตีจากแฮกเกอร์ระดับนานาชาติ ประเทศที่พัฒนาแล้วอย่างสหรัฐอเมริกาหรือญี่ปุ่นยังถูกโจมตีได้ จึงมีความจำเป็นที่จะต้องพัฒนาความมั่นคงทางไซเบอร์ให้สามารถรับมือการถูกโจมตี และยังให้บริการผู้ป่วยต่อไปได้ โดยมีการพัฒนาผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศระดับสูง จัดตั้งศูนย์ประสานการรักษาความมั่นปลอดภัยไซเบอร์ด้านสาธารณสุข และพัฒนาคุณภาพระบบเทคโนโลยีให้ได้มาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์แบบรวม ทั้ง HAIT+ ISO27001 ISO27799 และ NIST Cybersecurity Framework มีมาตรฐานกระบวนการพัฒนาระบบซอฟต์แวร์ อาทิ การค้นหาช่องโหว่ของระบบ, การทดลองเจาะระบบ รวมถึงอบรมพัฒนาบุคลากรทั้งด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล และความรอบรู้ด้านความปลอดภัยไซเบอร์ พร้อมทั้งจัดหาอุปกรณ์ที่จำเป็น เช่น อุปกรณ์สำรองข้อมูล Firewall เป็นต้น โดยมีการปรับเพิ่มกรอบวงเงินในการพิจารณาจัดหาระบบคอมพิวเตอร์ โดยระดับกระทรวงสาธารณสุข เกิน 50 ล้านบาทแต่ไม่เกิน 100 ล้านบาท ระดับกรม/เขตสุขภาพ ไม่เกิน 50 ล้านบาท สำนักงานสาธารณสุขจังหวัด ไม่เกิน 10 ล้านบาท โรงพยาบาลศูนย์/โรงพยาบาลทั่วไป ไม่เกิน 5 ล้านบาท รวมถึงปรับระเบียบในการจัดซื้อจัดจ้างให้สามารถจัหาครุภัณฑ์และระบบความมั่นคงปลอดภัยทางไซเบอร์ได้รวดเร็วขึ้น
ด้าน พล.อ.ต.อมรกล่าวว่า ตั้งแต่ปี 2564 สกมช. ตรวจพบการรั่วไหลของข้อมูลหน่วยงานภาครัฐและเอกชนมีจำนวนไล่เลี่ยกัน ซึ่งมีข้อสังเกตเพื่อป้องกันความเสี่ยงในการถูกเจาะข้อมูล คือ 1.การใช้ยูสเซอร์เนมและพาสเวิร์ดที่อ่อนแอ จะทำให้เกิดการรั่วไหลของข้อมูลได้ ดังนั้นควรเปลี่ยนพาสเวิร์ดทุก 90 วัน หรือใช้ ThaID (ไทยดี) ซึ่งเป็นระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทำให้ปลอดภัยมากขึ้น 2.ระบบแบ็กอัปข้อมูลไม่ได้แยกจากระบบจริง อาจจะแยกเซิร์ฟเวอร์ แต่ยังอยู่ในเน็ตเวิร์กเดียวกัน ทำให้แฮกเกอร์ตามไปโจมตีได้ 3.การจ้างผู้พัฒนาระบบของหน่วยงานรัฐ มีโอกาสข้อมูลรั่วในระหว่างกำลังพัฒนาซึ่งมีการเชื่อมต่ออินเทอร์เน็ตได้ ดังนั้นต้องติดตามกำกับดูแลความปลอดภัยตั้งแต่เริ่มมีการจ้าง
ก่อนหน้านี้ (19 มีนาคม 2567) นพ.สุรัคเมธ มหาศิริมงคล โฆษกกระทรวงสาธารณสุข และผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวถึงกรณีมีการประกาศขายข้อมูลโดยอ้างเป็นข้อมูลของกระทรวงสาธารณสุขไทย จำนวน 2.2 ล้านรายชื่อ พร้อมกับตราสัญลักษณ์กระทรวงสาธารณสุข ว่า กระทรวงสาธารณสุขมีระบบเฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพและหน่วยตอบโต้เหตุการณ์ฉุกเฉิน โดยหลังมีการประกาศของแฮกเกอร์ เมื่อวันที่ 15 มีนาคม 2567 ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ได้ประสานกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และหน่วยงานที่เกี่ยวข้อง เพื่อร่วมกันดำเนินการตรวจสอบข้อมูลตัวอย่างที่ประกาศในเว็บไซต์ดังกล่าวพบว่าประกอบด้วย ชื่อ นามสกุล หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน และวันเดือนปีเกิด
“ข้อมูลที่ตรวจสอบพบ เป็นข้อมูลที่ใช้ในการทำธุรกรรมทั่วไป ไม่พบข้อมูลทางด้านสุขภาพ เช่น การวินิจฉัยหรือการรักษาโรค ที่แสดงว่ามาจากกระทรวงสาธารณสุขตามที่กล่าวอ้าง ขณะนี้อยู่ระหว่างการสืบสวนและเฝ้าระวัง ซึ่งการกระทำดังกล่าวมีความผิดตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และหากปรากฏข้อมูลด้านสาธารณสุข อาจจะมีความผิดตาม พ.ร.บ.สุขภาพแห่งชาติด้วย” นพ.สุรัคเมธกล่าว
นพ.สุรัคเมธ กล่าวต่อว่า กระทรวงสาธารณสุข ได้กำชับหน่วยงานในสังกัดทุกแห่งให้เข้มงวดในการปฏิบัติตามนโยบายและมาตรการความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้โรงพยาบาลทุกแห่งในสังกัดมีการพัฒนาความมั่นคงปลอดภัยไซเบอร์ ตามมาตรฐาน ISO 27001 หรือ HAIT Plus ซึ่งเป็นมาตรฐานความมั่นคงปลอดภัยไซเบอร์เฉพาะสำหรับหน่วยงานด้านการแพทย์และสาธารณสุข พร้อมทั้งเร่งพัฒนาบุคลากรในโรงพยาบาลให้มีความตระหนักรู้และพร้อมรับมือกับภัยคุกคามทางไซเบอร์