สธ.ปัดรพ.เพชรบูรณ์ถูกแฮกข้อมูลคนไข้ 16 ล้านราย

 เมื่อเวลา 13.30 น. วันที่ 7 ก.ย.2564 ที่กระทรวงสาธารณสุข ในการแถลงข่าว ประเด็น “กรณีการแฮกข้อมูลผู้ป่วย” นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข(สธ.) กล่าวว่า เมื่อวันที่ 5 ก.ย. 2564  สธ.ได้ตั้งคณะกรรมการตรวจสอบข้อเท็จจริงและประเมินความเสียหาย พบว่า  ข้อมูลที่มีการประกาศขายทางออนไลน์ ไม่ได้อยู่ในฐานข้อมูลหลักของรพ.  และรพ.ยังสามารถให้บริการดูแลคนไข้ได้ตามปกติ ซึ่งฐานข้อมูลที่ได้ไป เป็นข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่ เพื่ออำนวยความสะดวกให้เจ้าหน้าที่ในการดูแลคนไข้ ไม่เกี่ยวข้องกับฐานข้อมูล การวินิจฉัย รักษาโรค ใดๆทั้งสิ้น เช่น ฐานข้อมูลตรวจสอบชาร์จคนไข้ ของแพทย์เมื่อจำหน่ายคนไข้ออกจากรพ.แล้ว มีประมาณ 10,095 คน ไม่มีรายละเอียดการรักษาใดๆ มีชื่อ นามสกุล วันที่เข้ารับการรักษาในรพ. และวันที่ออกไปเมื่อไร ฐานข้อมูลการนัดหมายผู้ป่วย ที่จะระบุว่าชื่อผู้ป่วยและวันนัดพบแพทย์ ฐานข้อมูลตารางเวรของแพทย์ และฐานข้อมูลคำนวณรายจ่ายการผ่าตัดแผนกออโธปิดิกส์ 692 คน เพื่อซื้ออุปกรณ์ เช่น ผ่าเข่า เป็นต้น

อ่านข่าว-เร่งล่า "แฮกเกอร์" ล้วงข้อมูล สธ. พบประวัติคนไข้หลุด หมื่นราย จาก 1 รพ.
 

“ฐานข้อมูลทั้งหมดไม่ได้อยู่ในฐานข้อมูลการรักษาของ รพ. เป็นฐานข้อมูลที่ รพ.สร้างใหม่ขึ้นมา แต่อยู่ในเซอร์เอวร์เดียวกัน ขณะนี้ระบบของรพ.สามารถดูแลได้ปกติ ฐานข้อมูลทุกอย่างเป็นปกติ  อีกทั้ง มีการประเมินความเสี่ยง ตรวจสออข้อมูลทั้งหมด โดยสธ.ร่วมกับคณะกรรมการรักษาความปลอดภัยไซเบอร์ ซึ่งยืนยันว่า ข้อมูลที่มีการแฮกไม่ได้เป็นข้อมูลการรักษาผู้ป่วย ไม่ใช่ว่าคนนี้ ผลแลป เป็นอย่างไร แพ้ยาอะไร แต่ส่วนใหญ่เป็นข้อมูลชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิรักษาพยาบาล และบางรายอาจจะมีว่านัดพบแพทย์โรคอะไร เช่น เบาหวาน  และมีแพทย์ 39 รายที่โดนแฮกข้อมูลเลขบัตรประชาชน 13 หลัก ขณะนี้ได้มีการแจ้งความและให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมหรือดีอีเอสติดตามผู้แฮกแล้วว่าเป็นใคร”นพ.ธงชัยกล่าว

       ผู้สื่อข่าวสอบถามภายหลังการแถลงข่าวถึงกรณีมีการระบุว่ามีการแฮกข้อมูล 16 ล้านราย  นพ.ธงชัย กล่าวว่า ไม่จริงเพราะเป็นการแฮกเพียงเฉพาะรพ.เพชรบูรณ์ ซึ่งจังหวัดเพชรบูรณ์มีประชากรหลักแสนราย ไม่ถึง 1 ล้านราย จำนวน 16 ล้านเข้าใจว่าเป็น 16 ล้านครั้งการบันทึกข้อมูล ซึ่งอาจจะไม่ถึงด้วย

      ต่อข้อถาม สื่อที่มีการเผยแพร่ข้อมูลคนไข้ที่ถูกแฮกไปมีความผิดหรือไม่ นพ.ธงชัย กล่าวว่า จะเข้าข่ายการเปิดเผยข้อมูลสุขภาพของบุคคลอื่นโดยไม่ได้รับความยินยอม จะมีความผิดตามมาตรา 7 พรบ.สุขภาพแห่งชาติ พ.ศ.25550

     “ได้มีการกำชับให้เจ้าหน้าที่ปฏิบัติตามแนวทางความปลอดภัยทางไซเบอร์ที่มีการกำหนดไว้แล้ว เช่น ต้องมีการเปลี่ยนยูสเซอร์เนม และพาสเวิร์ดบ่อยครั้งตามระยะเวลาที่กำหนด รวมถึงอบรมให้ความสำคัญสูงสุดตามพรบ.ควมมั่นคงทางไซเบอร์ ซึ่งการแฮกที่รพ.เพชรบูรณ์แตกต่างจากที่แฮกที่รพ.สระบุรี ซึ่งครั้งนั้นเป็นการแฮกแล้วทำให้รพ.ไม่สามารถเข้าใช้ขช้อมูลนั้นได้ และเรียกค่าไถ่หากต้องการเข้าใช้ข้อมูลดังกล่าว แต่ครั้งนี้เป็นการแฮกแล้วนำข้อมูลไปขาย ไม่ได้กระทบกับระบบการให้บริการของรพ.”นพ.ธงชัยกล่าว

     ด้านนพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร  สำนักงานปลัดกระทรวงสาธารณสุข(สป.สธ.) กล่าวว่า  มาตรการหลังจากเหตุการณ์นี้ รพ.จะต้องทบทวนมาตรการ ความเสี่ยงต่างๆ ประเมินสินทรัพย์ที่มีความเสี่ยงสูง และจัดการให้ระบบมั่นคงปลอดภัยกว่าเดิม สิ่งสำคัญคือ การสร้างความตระหนักรู้กับบุคลากรที่ใช้งานระบบ ให้ใส่ใจเข้มงวดกับกระบวนการต่างๆ ตามมาตรการ ส่วนภาพใหญ่ของ สธ.จะดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อดูในส่วนของสธ. และรพ.อื่นในภาคสุขภาพตลอดเวลา และอยู่ในระหว่างการตั้งหน่วยงานตอบโต้เหตุการณ์ฉุกเฉิน เนื่องจากเห็นว่าภาคสุขภาพมีความอ่อนไหวสูง และมีหน่วยจำนวนมาก จึงเสนอให้ สธ. ดำเนินการในส่วนนี้เอง เพื่อให้ตอบสนองทันต่อเหตุการณ์

       นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวว่า  การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ที่มี พรบ.สุขภาพแห่งชาติ พ.ศ.2550 มาตรา 7 ที่ระบุชัดเจนว่า ข้อมูลส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยทำให้บุคคลเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรงที่เจ้าตัวยินยอม หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ในกรณีใด ๆ ก็ตามผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารทางราชการ หรือกฎหมายอื่นเพื่อขอข้อมูลเอกสารเกี่ยวกับสุขภาพบุคคลที่ไม่ใช่ของตนไม่ได้  โดยมาตรา 49 ได้ระบุโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาทหรือทั้งจำทั้งปรับ ส่วนความผิดในมาตรา 7 ดังกล่าวเป็นความผิดยอมความได้ นั่นหมายถึงว่า ผู้เสียหายสามารถเจรจาไกล่เกลี่ยกับผู้ละเมิดกฎหมายแทนการดำเนินคดีได้ นอกจากนี้ ยังมีกฎหมายอื่นหลายฉบับที่เกี่ยวข้อง เช่น พ.ร.บ.คอมพิวเตอร์ พ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นต้น