ขโมยข้อมูลส่วนบุคคลคนไข้ | พิเศษ เสตเสถียร
ข้อมูลเกี่ยวกับผู้ป่วยของโรงพยาบาลและองค์กรด้านการสาธารณสุข เป็นเป้าหมายที่เหล่ามิจฉาชีพเรียกว่าเป็น “เป้าหมายที่มีมูลค่าสูง อินเตอร์เน็ตแย่”(target rich, cyber poor)
เมื่อวันที่ 6 กุมภาพันธ์ 2024 ศูนย์การแพทย์ Montefiore Medical Center (MMC) ได้ทำข้อตกลงยอมความกับ Office for Civil Rights (OCR) ของ Department of Health and Human Services ของสหรัฐอเมริกาในข้อกล่าวหาเกี่ยวกับการละเมิดการประกันสุขภาพตามกฎความปลอดภัย (Security Rule) ตามกฎหมาย Health Insurance Portability and Accountability Act (HIPAA)
เรื่องเกิดขึ้นเมื่อวันที่ 22 กรกฎาคม 2558 OCR ได้รับแจ้งจาก MMC เกี่ยวกับการเข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) ที่ไม่ชอบด้วยกฎหมาย
MMC พบว่าตั้งแต่วันที่ 1 มกราคม- 30 มิถุนายน 2556 พนักงานคนหนึ่งของ MMC ได้เข้าถึงข้อมูลบัญชีผู้ป่วย และนำข้อมูลส่วนบุคคลของผู้ป่วย เช่น ชื่อ ที่อยู่ ญาติลำดับถัดไป ฯลฯ ไปขายข้อมูลนั้นให้กับเหล่ามิจฉาชีพ
จากการตรวจสอบของ OCR พบว่า MMC มิได้ปฏิบัติตามข้อกำหนดในการดำเนินการวิเคราะห์ความเสี่ยงที่ถูกต้องและทั่วถึงเกี่ยวกับความเสี่ยงและช่องโหว่ที่อาจเกิดขึ้นต่อการรักษาความลับของ ePHI หลายประการรวมทั้งข้อกำหนดอื่น ๆ
ผลสุดท้าย MMC ยอมจ่ายเงินค่าปรับ 4.75 ล้านดอลลาร์ และยอมปฏิบัติตามแผนปฏิบัติการแก้ไข (Corrective Action Plan - CAP) ที่ OCR กำหนด
เรื่องถัดมา ในเดือนตุลาคม 2566 OCR ก็ได้ทำข้อตกลงกับ Doctors' Management Services (DMS) ซึ่งเป็นบริษัทจัดการทางการแพทย์ที่ให้บริการที่หลากหลาย
โดยเมื่อวันที่ 22 เมษายน 2562 DMS ได้ยื่นรายงานกับ OCR โดยระบุว่ามีบุคคลประมาณ 206,695 รายได้รับผลกระทบเมื่อเซิร์ฟเวอร์เครือข่ายของตนติดไวรัส GandCrab ซึ่งเป็นไวรัสประเภท ransomware (ไวรัสที่ล็อคการทำงานของระบบคอมพิวเตอร์ และเรียกค่าไถ่เพื่อปลดล็อคดังกล่าว)
ผู้บุกรุกเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตครั้งแรกเมื่อวันที่ 1 เมษายน 2560 อย่างไรก็ตาม DMS ตรวจไม่พบการบุกรุก มาพบเอาเมื่อวันที่ 24 ธันวาคม 2561 หลังจากที่มีการใช้ ransomware เพื่อเข้ารหัสไฟล์ของพวกเขา
จากการสืบสวนของ OCR พบว่า DMS มีการตรวจสอบการทำงานของระบบข้อมูลด้านสุขภาพไม่เพียงพอในการป้องกันการโจมตีทางไซเบอร์ และการขาดนโยบายและขั้นตอนในการบังคับใช้ข้อกำหนดของกฎความปลอดภัยตาม HIPAA
ดังนั้น DMS จึงต้องจ่ายเงินค่าปรับ 100,000 ดอลลาร์ให้กับ OCR และดำเนินการตามแผนปฏิบัติการแก้ไข และ OCR จะตรวจสอบ DMS เป็นเวลา 3 ปี
และเมื่อวันที่ 7 ธันวาคม 2566 OCR ก็ได้ทำข้อตกลงกับ Lafourche Medical Group (LMG) ซึ่งเป็นกลุ่มแพทย์ที่เชี่ยวชาญด้านเวชศาสตร์ฉุกเฉิน อาชีวเวชศาสตร์ และการทดสอบในห้องปฏิบัติการ
โดยเมื่อวันที่ 28 พฤษภาคม 2564 LMG ได้รายงานต่อ OCR ว่ามีแฮ็กเกอร์เข้าโจมตีแบบ Phising เมื่อวันที่ 30 มีนาคม 2564 และสามารถเข้าถึงบัญชีอีเมลที่มีข้อมูลด้านสุขภาพ ePHI
การสอบสวนของ OCR พบว่า LMG ขาดการวิเคราะห์ความเสี่ยงเพื่อระบุภัยคุกคามที่อาจเกิดขึ้นกับข้อมูล ePHI ตามที่ HIPAA กำหนด OCR ยังค้นพบว่า LMG ไม่มีนโยบายหรือขั้นตอนในการตรวจสอบระบบข้อมูลอย่างสม่ำเสมอเพื่อปกป้องข้อมูล ePHI จากการโจมตีทางไซเบอร์
เมื่อเป็นดังนี้ LMG จึงต้องจ่ายเงินค่าปรับ 480,000 ดอลลาร์ และดำเนินการตามแผนปฏิบัติการแก้ไขที่ OCR จะติดตามเป็นเวลา 2 ปี