เร่งศูนย์เฝ้าระวังข้อมูล ‘ภาคสุขภาพ’
กรณีเกิดเหตุเเฮกข้อมูลสุขภาพของรพ.เพชรบูรณ์ คนร้ายได้นำข้อมูลคนไข้กว่า 1 หมื่นราย ขณะนี้ยังไม่มีหน่วยงานรับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคล อย่าให้เกิดการแฮกซ้ำๆ ครั้งหน้าอาจจะมีข้อมูลชั้นความลับที่ราคาแพง เป็นอันตรายต่อเหยื่อแบบคาดไม่ถึง
กรณีเกิดเหตุเเฮกข้อมูลโรงพยาบาลเพชรบูรณ์ คนร้ายได้นำข้อมูลคนไข้กว่า 1 หมื่นราย ไปขายผ่านตลาดมืด ประกอบด้วยข้อมูลรายชื่อเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา) ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย แม้ไม่ได้เป็นข้อมูลลับมากและไม่กระทบกับระบบการให้บริการหลักของโรงพยาบาล แต่กระทรวงสาธารณสุข (สธ.) ได้ใช้โอกาสนี้จัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ และหน่วยงานตอบโต้เหตุการณ์ฉุกเฉิน ให้แล้วเสร็จภายในปี2564
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) โดยนายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดีอีเอส ประธานคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้สั่งการให้ สกมช.เข้าไปร่วมทำงานกับ สธ.เพื่อแก้ไขปัญหาเบื้องต้น ในส่วนของการแก้ปัญหาในระยะยาว ดีอีเอสเห็นว่า สธ.ต้องรวมศูนย์ระบบฐานข้อมูลรวมทั้งแอพพลิเคชั่นต่างๆ เพื่อให้การเฝ้าระวังมีความสะดวกและปลอดภัยมากขึ้น นายชัยวุฒิมองว่าการดูแลข้อมูลส่วนบุคคลของประชาชนเป็นความรับผิดชอบของทุกหน่วยงาน เป็นเรื่องสำคัญที่ไม่ควรโยนความรับผิดชอบ
ปัจจุบัน ประเทศไทย มีกฎหมายที่เกี่ยวข้องคือ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในส่วน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ มีผลบังคับใช้แล้ว แต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลยังไม่ได้บังคับใช้ ถูกเลื่อนไปเป็นวันที่ 1 มิ.ย.2565 เนื่องจากผลกระทบของโควิด19 ที่สำคัญขณะนี้ยังไม่มีหน่วยงานที่มีอำนาจและหน้าที่รับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลส่วนบุคคลด้านสุขภาพ สวนทางยุคของโรคระบาด ในขณะที่การแฮกข้อมูลส่วนบุคคลด้านสุขภาพ เป็นอาชญากรรมทางอินเทอร์เน็ตที่ร้ายแรง มีแนวโน้มจะเพิ่มขึ้น
ผู้เชี่ยวชาญชี้ปัญหาหลักของไทยมี 2 ประเด็น คือเรื่องการสั่งการระดับผู้บริหาร กับงบประมาณการลงทุนยังน้อยเกินไปไม่ว่าต่อระบบหรือบุคลากร ต้องรับแก้ไขโดยด่วนเพื่อเพิ่มประสิทธิภาพและปิดจุดอ่อน เราเห็นว่า กรณีที่เกิดขึ้นไม่ใช่ครั้งแรก การแฮกข้อมูลโรงพยาบาลสระบุรี เมื่อวันที่ 5 ก.ย.2563 ครั้งนั้น คนร้ายส่งไวรัส Ransomware voidcrpt เข้าสู่ระบบคอมพิวเตอร์ ทําให้ฐานข้อมูลผู้ป่วยไม่สามารถใช้งานได้ นับเป็นสัญญาณเตือน กระทั่งผ่านไป 1 ปีเต็ม โรงพยาบาลเพชรบูรณ์ เจอเหตุการณ์ในทำนองเดียวกัน ทำอย่างไรให้มีหน่วยงานที่ดูแลโดยตรงใช้กฎหมายที่มีอยู่และกำลังจะบังคับใช้ให้เกิดประโยชน์สูงสุด อย่าให้เกิดการแฮกซ้ำๆ ครั้งหน้าอาจจะมีข้อมูลชั้นความลับที่ราคาแพง เป็นอันตรายต่อเหยื่อแบบคาดไม่ถึง
กรณีเกิดเหตุเเฮกข้อมูลโรงพยาบาลเพชรบูรณ์ คนร้ายได้นำข้อมูลคนไข้กว่า 1 หมื่นราย ขณะนี้ยังไม่มีหน่วยงานที่มีอำนาจและหน้าที่รับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคล อย่าให้เกิดการแฮกซ้ำๆ ครั้งหน้าอาจจะมีข้อมูลชั้นความลับที่ราคาแพง เป็นอันตรายต่อเหยื่อแบบคาดไม่ถึง