นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (สธ.) เปิดเผยว่า จากกรณีที่มีรายงานการขายข้อมูลของโรงพยาบาลเพชรบูรณ์ทางอินเทอร์เน็ต เมื่อวันที่ 5 ก.ย. 64 ทาง สธ.รับทราบและได้มีการจัดตั้งคณะกรรมการเพื่อตรวจสอบข้อเท็จจริง และประเมินความเสียหายทันที โดยพบว่าข้อมูลที่มีการประกาศขายทางสื่อออนไลน์ ไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลการบริการคนไข้ปกติของโรงพยาบาล หรือฐานข้อมูลหลัก ซึ่งโรงพยาบาลยังสามารถดำเนินการทุกอย่างได้ตามปกติ ทั้งนี้ ฐานข้อมูลที่ถูกแฮกไปนั้นคือฐานข้อมูลย่อยที่สร้างขึ้นมาใช้ในโรงพยาบาล และอยู่ในเซิร์ฟเวอร์ของโรงพยาบาล
ดังนั้นการที่เจ้าหน้าที่ได้จัดทำโปรแกรมย่อยขึ้นมาใช้อำนวยความสะดวกภายในโรงพยาบาลนั้น ไม่มีความเกี่ยวข้องกับฐานข้อมูลรายละเอียดการวินิจฉัยโรค การรักษาโรค หรือข้อมูลผลแล็ปใดๆ โดยฐานข้อมูลที่โดนแฮกไปทั้งหมด ได้แก่ ฐานข้อมูลการ Audit Chart ของแพทย์ ซึ่งมีฐานข้อมูลของผู้ป่วยประมาณ 10,095 ราย โดยไม่มีรายละเอียดของการรักษา แต่มีรายละเอียดของชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิในการรักษา เช่น ผู้ป่วยใน-นอก หรือประกันสังคม, รายละเอียดการปล่อยผู้ป่วยกลับบ้าน (Discharge), รายละเอียดการแอดมิท, ฐานข้อมูลการนัดผู้ป่วย, ฐานข้อมูลตารางเวรของแพทย์ และฐานข้อมูลการคำนวณค่าใช้จ่ายในการซื้ออุปกรณ์สำหรับผ่าตัด ของแผนกศัลยกรรมกระดูก (Orthopedic) ทั้งหมด 692 ราย ทั้งนี้ ข้อมูลที่โดนแฮกมีรายละเอียดของการวินิจฉัยโรค (Diag) ในบางรายเท่านั้น
“ขอโทษทุกท่านจากกรณีที่ทางโรงพยาบาลโดนแฮกข้อมูลจากผู้ไม่ประสงค์ดี ยืนยันว่าฐานข้อมูลย่อยทั้งหมด ไม่อยู่ในฐานข้อมูลของการรักษาพยาบาลทั่วไปของโรงพยาบาล และระบบของโรงพยาบาลยังสามารถดำเนินการได้ตามปกติ”
นพ.ธงชัย กล่าว
ทั้งนี้ ทางสธ. ได้มีการตรวจสอบความเสี่ยง และทำการสำรองข้อมูลทั้งหมด ร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) หรือ NCSA และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) แล้ว
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า ในส่วนของโรงพยาบาลเพชรบูรณ์ ได้มีการพัฒนาโปรแกรมอยู่ภายใต้ไฟร์วอลล์ (Firewall) แต่เป็นการพัฒนาที่เป็น Open Source หรือซอฟต์แวร์ที่เปิดเผยซอร์สโค๊ด ต่อสาธารณชน จึงเป็นจุดอ่อนที่สามารถบุกรุกได้ง่าย ทั้งนี้ จากการตรวจสอบเบื้องต้นยังไม่มีการบุกรุกเซิร์ฟเวอร์อื่นๆ
ทางศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้ทำการสืบสวนย้อนกลับว่ามีปัจจัยหรือสาเหตุมาจากอะไร อย่างไรก็ดี จากการที่ข้อมูลรั่วไหลในครั้งนี้ ผู้กระทำการไม่มีการเรียกร้องเงิน หรือทรัพย์สินใดๆ จากโรงพยาบาล แต่มีการนำข้อมูลไปประกาศขายในเว็บไซต์
ทั้งนี้ ทางโรงพยาบาลจะมีการทบทวนมาตรการอีกครั้ง ทั้งการประเมินสินทรัพย์ที่มีความเสี่ยง การจัดการให้ระบบมีความมั่นคงปลอดภัยมากยิ่งขึ้น รวมทั้งมีการสร้างความรู้ และการตระหนักรู้แก่บุคลากรที่มีความเกี่ยวข้องกับงานดังกล่าว ในส่วนของสธ. อยู่ระหว่างการเตรียมจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ และหน่วยงานการตอบโต้เหตุการณ์ฉุกเฉิน
ด้านนายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวถึงการคุ้มครองข้อมูลด้านสุขภาพว่า จาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 ในมาตรา 7 มีการระบุว่า “ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้น เป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่ากรณีใด ๆ ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ หรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้”
ดังนั้น จากกรณีแฮกข้อมูลและนำไปขายดังกล่าว แสดงให้เห็นว่าอาจสร้างความเสียหายต่อผู้ป่วยได้ ดังนั้นหากการกระทำนี้มีการละเมิดสิทธิส่วนบุคคล จะมีความผิดตามมาตรา 49 ที่ระบุว่า “ผู้ใดฝ่าฝืนมาตรา 7 ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้” นอกจากนี้ยังมีกฎหมายอื่นๆ ที่มีความเกี่ยวข้องกับกรณีดังกล่าว เช่น พ.ร.บ.คอมพิวเตอร์ และพ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นต้น
โดย สำนักข่าวอินโฟเควสท์ (07 ก.ย. 64)
Tags: ธงชัย กีรติหัตถยากร, พ.ร.บ.คอมพิวเตอร์, สธ., แฮกข้อมูล, โรงพยาบาลเพชรบูรณ์