สธ.แจง รพ.เพชรบูรณ์ถูกแฮกข้อมูลผู้ป่วย 18,000 ราย

2021-09-07 21:06:56

สธ.แจง รพ.เพชรบูรณ์ถูกแฮกข้อมูลผู้ป่วย 18,000 ราย

Advertisement

สธ.แจง รพ.เพชรบูรณ์ถูกแฮก ไม่ใช่ฐานข้อมูลหลักของผู้ป่วย ไม่กระทบบริการแจ้งความแล้ว ชี้แค่ 18,000 กว่าราย ไม่ใช่ 16 ล้านราย

เมื่อวันที่ 7 ก.ย. นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข และ นพ.อนันต์ กนกศิลป์ ผอ.ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร แถลงข่าวกรณีการแฮกข้อมูลผู้ป่วยของกระทรวงสาธารณสุข โดยนายแพทย์ธงชัยกล่าวว่า กระทรวงสาธารณสุขได้รับรายงานว่า รพ.เพชรบูรณ์ถูกผู้ไม่ประสงค์ดีแฮกข้อมูลผู้ป่วยไปโพสต์ขายบนเว็บไซต์ เมื่อวันที่ 5 กันยายน 2564 จึงร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ลงไปตรวจสอบข้อเท็จจริงและประเมินความเสียหายทันที พบว่าไม่ได้เป็นการแฮกฐานข้อมูลหลักที่ใช้ในการให้บริการและมีประวัติการรักษาผู้ป่วย แต่เป็นฐานข้อมูลที่โรงพยาบาลเขียนขึ้นบนโปรแกรมที่เปิดให้ใช้ฟรี (Open source) สำหรับใช้ในการทำงานของเจ้าหน้าที่ เช่น การสรุปข้อมูลผู้ป่วย การนัดหมายผู้ป่วย ตารางเวรแพทย์ และการคำนวณรายจ่ายในการผ่าตัดของกลุ่มศัลยกรรมกระดูกและข้อ เป็นต้น

“ข้อมูลที่ถูกแฮกส่วนใหญ่เป็นบางไฟล์ที่มีชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิการรักษา แต่ไม่ได้มีรายละเอียดเกี่ยวกับข้อมูลการตรวจรักษา โรงพยาบาลเพชรบูรณ์ยังสามารถให้การดูแลคนไข้ได้ปกติ โดยข้อมูลที่ถูกแฮกมีประมาณ 18,000 กว่าราย ไม่ใช่ 16 ล้านราย เนื่องจากเพชรบูรณ์มีประชากรไม่ถึงล้านคน ซึ่งกรณีนี้ต่างจาก รพ.สระบุรี ที่ถูกแฮกระบบฐานข้อมูลหลักจนทำให้จุดบริการเข้าถึงข้อมูลผู้ป่วยไม่ได้ อย่างไรก็ตามการกระทำดังกล่าวมีความผิดตาม พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 1 หมื่นบาท หรือทั้งจำทั้งปรับ และ กฏหมายอื่น ที่เกี่ยวข้อง” นพ.ธงชัย กล่าว

นพ.ธงชัย กล่าวว่า ขณะนี้ได้แจ้งความแล้ว และกระทรวงดิจิทัลฯ กำลังติดตามตรวจสอบหาแฮกเกอร์ ซึ่งไม่ได้เจาะจงข้อมูลสุขภาพเป็นพิเศษ แต่จะตระเวนหาระบบที่มีจุดอ่อนเพื่อโจรกรรมข้อมูล จึงต้องกำชับบุคลากรให้เข้มงวดการปฏิบัติตามมาตรการความปลอดภัยทางไซเบอร์ เช่น เปลี่ยนยูสเซอร์เนมและพาสเวิร์ดเป็นประจำ ทั้งนี้ จะจัดตั้งหน่วยงานเฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพและหน่วยตอบโต้เหตุการณ์ฉุกเฉิน ประสานการทำงานกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ด้าน นพ.อนันต์ กล่าวว่า เซิร์ฟเวอร์ที่โรงพยาบาลเขียนโปรแกรมสำหรับการทำงานภายใน จำเป็นต้องเชื่อมต่ออินเทอร์เน็ต อาจถูกผู้ไม่ประสงค์ดีบุกรุกได้ จากการตรวจสอบเบื้องต้นไม่พบการข้ามไปยังเซิร์ฟเวอร์อื่น และ รพ.เพชรบูรณ์ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมดเพื่อป้องกันการบุกรุก ส่วนการป้องกันในอนาคต โรงพยาบาลต่างๆ ต้องทบทวนมาตรการ ความเสี่ยง และประเมินเรื่องสินทรัพย์ที่มีความเสี่ยงสูง เพื่อจัดการให้ระบบมีความมั่นคงปลอดภัยมากขึ้น เข้มงวดผู้ที่ใช้งานระบบให้ทำตามมาตรการความปลอดภัยทางไซเบอร์