แฮกข้อมูลคนไข้ สธ. สะท้อนระบบ Cyber Security ในไทย ยังไหวไหม ?

07 ก.ย. 2564 | 13:46 น.
อัปเดตล่าสุด :08 ก.ย. 2564 | 01:23 น.
967

กรณีการแฮกข้อมูลคนไข้ของกระทรวงสาธารณสุข ไม่ใช่ครั้งเเรกที่เกิดขึ้น คำถามที่ตามมาคือ การมีระบบ Cyber Security ที่ดี เป็นเรื่องที่ควรให้ความสำคัญ เเม้ไทยจะมี พ.ร.บ.ไซเบอร์ก็ตาม สำคัญคือนำมาใช้แก้ปัญหาตรงจุดหรือไม่

เป็นอีกประเด็นที่ถูกวิพากวิจารณ์และถูกแชร์ต่อในโลกโซเชียลกันอย่างต่อเนื่องหลังจากเพจเฟซบุ๊ก “น้องปอสาม” ได้เผยแพร่ข้อมูลและภาพเรื่องข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก พร้อมข้อความระบุว่า

"ไม่แน่ใจมีใครนำเสนอเรื่องนี้ยัง ตอนนี้เราไปสนใจเรื่อง พส กันหมด แต่เรื่องนี้ก็สำคัญ ข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก โดยมีการเรียกค่าไถ่ด้วย"

เรื่องนี้ นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (สธ.) ยอมรับว่า ข้อมูลดังหลุดจริง เบื้องต้น เหตุเกิดที่ จ.เพชรบูรณ์ เจ้าหน้าที่ที่เกี่ยวข้องได้เร่งดำเนินการโดยเร็ว และได้ให้ปลัดกระทรวงสาธารณสุข ตรวจสอบข้อมูล หากเป็นการเข้าสู่ระบบเพื่อลักลอบนำข้อมูลผู้ป่วยออกไปจริง จะต้องมีการแจ้งความ ดำเนินคดี และตามตัวผู้กระทำความผิดมารับบทลงโทษตามกฏหมายโดยเร็วที่สุด 

แฮกข้อมูลคนไข้ สธ. สะท้อนระบบ Cyber Security ในไทย ยังไหวไหม ?

นายอนุทิน กล่าวว่า ข้อมูลทุกอย่างเป็นสิทธิผู้ป่วย ตาม พ.ร.บ.สุขภาพแห่งชาติ มาตรา 7 ระบุว่า ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยและอาจทำให้บุคคลนั้นเสียหายไม่ได้ นอกจากนั้น ยังผิดตามกระบวนกฎหมายอาญา และ พ.ร.บ.คอมพิวเตอร์ ด้วย

ด้าน น.อ. อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้สัมภาษณ์ผ่านรายการ เจาะลึกทั่วไทย Inside Thailand ว่าเว็บไซต์ RaidForums เป็นเหมือนแหล่งขายข้อมูล พบว่ามีการประกาศขายข้อมูล เมื่อวันที่ 5 กันยายนที่ผ่านมา ส่วนตัวฐานข้อมูลมีจำนวน 3.7 GB ในส่วนของ Record ทั้งหมด

รูปแบบนั้นแฮกเกอร์ใช้วิธีนับจำนวนตารางทั้งหมดรวม 16 ล้าน Record แต่ไม่ใช่ข้อมูลของ 16 ล้านคน เบื้องต้นทราบว่าเป็นโรงพยาบาลของรัฐแห่งเดียว

จากการตรวจสอบเป็นระบบภายในของโรงพยาบาล ใช้เพื่อป้องกันความสับสนในการดูแลคนไข้ของแพทย์แต่ละราย ซึ่งรวมจริงๆ มีข้อมูลคนไข้ไม่เกิน 10,000 ราย

โดยมีข้อมูลเพียงชื่อคนไข้ หมายเลขคนไข้ และชื่อแพทย์ที่ดูแล ไม่ปรากฏหมายเลขบัตรประชาชน ส่วนโรคต่างๆ จะปรากฏแค่วอร์ดคนไข้ ไม่มีข้อมูลที่ระบุโรค

เบื้องต้นได้นำระบบดังกล่าวออกจากการใช้งานเเละได้ตรวจสอบเซิร์ฟเวอร์ พร้อมหารือกับทีมไอทีของโรงพยาบาล และพบว่าไม่มีการเรียกค่าไถ่กับโรงพยาบาล

ฝั่งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส ระบุว่า ได้ประสานร่วมหาสาเหตุกับกระทรวงสาธารณสุข โดยจะตรวจสอบการวางระบบรักษาความปลอดภัยทางไซเบอร์ ว่าเป็นไปตามมาตรฐานหรือไม่ พร้อมรอข้อมูลจากทางกระทรวงสาธารณสุข ว่า ข้อมูลหลุดมาจากไหน และส่งผลกระทบต่อประชาชนที่มีข้อมูลหลุดออกไปมากน้อยเพียงใด

ปัจจุบัน ระบบยังมีช่องโหว่ให้เกิดการโจรกรรมข้อมูล วิธีป้องกัน คือ ต้องมีรหัสป้องกันไว้ไม่ให้แฮกเกอร์ สามารถนำข้อมูลไปขายได้

นี่ไม่ใช่ครั้งแรกที่มีการแฮกข้อมูลหรือการโจมตีระบบจัดเก็บข้อมูล เหตุลักษณะนี้เคยเกิดขึ้นที่โรงพยาบาลสระบุรี ถูกแฮกระบบ ข้อมูลคนไข้  เมื่อช่วงดือนกันยายน 2563 ครั้งนั้นเกิดความโกลาหลอย่างมากมีผลกระทบต่อการบริการของโรงพยาบาลในการดึงข้อมูลคนไข้เพื่อทำการรักษา  

ประเทศไทยมีกฎหมายคุ้มครองข้อมูลของผู้ป่วย พระราชบัญญัติสุขภาพแห่งชาติพ.ศ. 2550 มาตรา 7 มีการระบุไว้ดังนี้ ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิ ด เผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือ มีกฎหมายเฉพาะบัญญัติให้ ต้องเปิดเผย แต่ไม่ว่ากรณีใดๆ ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

ขณะที่ข้อมูลจาก ศูนย์กฎหมายสุขภาพและจริยศาสตร์ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ มีสาระสำคัญว่า ปัจจุบันกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลด้านสุขภาพมีหลายฉบับ เช่น กฎหมายควบคุมการประกอบวิชาชีพด้านสาธารณสุขฉบับต่าง ๆ (เช่น พระราชบัญญัติวิชาชีพเวชกรรม พ.ศ. 2525 พระราชบัญญัติ วิชาชีพการพยาบาลและการผดุงครรภ์ พ.ศ. 2528 พระราชบัญญัติการประกอบโรคศิลปะ พ.ศ. 2542 และฉบับแก้ไขเพิ่มเติม) พระราชบัญญัติสุขภาพแห่งชาติพ.ศ.2550 พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 รวมถึงประมวลกฎหมายอาญา มาตรา 323 แต่บทบัญญัติกฎหมายเหล่านี้ก็ไม่ได้กำหนดรายละเอียดเรื่องแนวปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลของผู้ป่วย เนื่องจากยังไม่มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ

ซึ่งเมื่อตรวจสอบพบว่ามีการเลื่อนการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ออกไปก่อนจนถึงวันที่ 31 พ.ค. 2565 เหตุมีผลกระทบจากโควิด กฎหมายมีรายละเอียดซับซ้อน ต้องใช้เทคโนโลยีขั้นสูง และมีบทลงโทษทั้งคามรับผิดทางแพ่งและโทษทางปกครองและอาญา หลังจากเคยเลื่อนมาแล้วหลายครั้ง

ทำให้ขณะนี้จึงยังไม่มีหน่วยงานระดับชาติที่มีอำนาจหน้าที่รับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคลของภาครัฐและภาคเอกชน โดยเฉพาะข้อมูลส่วนบุคคลด้านสุขภาพ

ขณะเดียวกันประเทศไทยยังมี พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่เป็นกฎหมายป้องกันเรื่องนี้โดยตรง และหลายหน่วยงานที่เป็นภาคเอกชนก็เริ่มดำเนินการกันไปบ้างแล้ว เช่น การเงิน การธนาคาร จะมีระบบป้องกันเต็มที่

ที่ผ่านมาการถูกแฮกระบบเกิดขึ้นอยู่ตลอดเวลา หากติดตามข่าวสารเกี่ยวกับ Cyber security จะพบรายงานข่าวการตกเป็นเหยื่อบนโลกออนไลน์ให้เห็นเป็นประจำ เช่น  องค์กรขนาดใหญ่ถูก Ransomware ซึ่งเป็นมัลแวร์ Malware ที่ถูกออกแบบมาเพื่อทำการเข้ารหัสหรือล็อกไฟล์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ผู้ใช้งานจะไม่สามารถเปิดไฟล์ใด ๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส  หรือแม้แต่ ดารานักแสดงที่ถูกคุกคามบนโลกออนไลน์

วันนี้มีตัวอย่างมากมายที่แสดงให้เห็นว่า อาชญากรทางไซเบอร์อันตรายและสร้างความเสียหายได้รุนแรงกว่าที่คิด เพราะสามารถที่เจาะระบบหรือปล่อยมัลแวร์เข้าไปโจมตีองค์กรธุรกิจทุกระดับ

สิ่งหนึ่งที่สังคมต้องการรู้ก็คือจุดประสงค์ที่แฮกเกอร์ หรือผู้ไม่หวังดีโจมตีหน่วยงาน องค์กร บุคคลที่มีชื่อเสียง แต่ที่สำคัญมากไปกว่านั้นคือระบบ Cyber Security ที่ถือเป็นเรื่องสำคัญและทุกองค์กรไม่ว่าภาครัฐหรือภาคเอกชน ควรตระหนักและให้ความสำคัญอย่างจริงจัง

แม้เราจะมี พ.ร.บ. ไซเบอร์ แต่ก็ดูเหมือนจะแก้ปัญหาที่ปลายเหตุและไม่ตรงจุด...