“ชัยวุฒิ” รมว.ดีอีเอส แถลงความคืบหน้ากรณีแฮกเกอร์โจมตีข้อมูล รพ.เพชรบูรณ์ ผนึกกำลัง ดีอีเอส-สกมช.-ก.สาธารณสุข ลงพื้นที่ตรวจสอบความเสี่ยง-ความปลอดภัยของระบบ ชี้ต้องรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน เดินตามแนวกฎหมายที่เกี่ยวข้อง นำไปสู่การแก้ปัญหาระยะยาว
วันนี้ (8 กันยายน 2564) นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ในฐานะเป็นประธานคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) และ พลโท ดร.ปรัชญา เฉลิมวัฒน์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ตัวแทนสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้แถลงข่าวกรณีแฮกเกอร์โจมตีข้อมูลของโรงพยาบาลเพื่อชี้แจงรายละเอียดและแนวทางแก้ไข ณ ห้องประชุม MDES ชั้น 9 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
โดยก่อนหน้านี้ได้สั่งการให้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ประสานเข้าไปร่วมทำงานกระทรวงสาธารณสุข ในการลงพื้นที่ตรวจสอบช่องโหว่ของระบบของโรงพยาบาลเพชรบูรณ์ และพูดคุยกับทีมไอทีของโรงพยาบาลฯ ได้ทำการแก้ไขปัญหาเบื้องต้นแล้ว โดยนำระบบที่เป็นปัญหาดังกล่าวออกไปจากการใช้งาน และดำเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก อีกทั้ง จากการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย
ทั้งนี้ เบื้องต้นได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ทั้งหมด มีการสำรองข้อมูลทั้งหมด ทั้งนี้ โรงพยาบาลมีระบบสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้วทางโรงพยาบาลได้หารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข และขอรับคำปรึกษาจาก สกมช. และกระทรวงดิจิทัลฯ ตั้งแต่ต้น เพื่อให้คำแนะนำและเป็นที่ปรึกษาในการปรับปรุงระบบคอมพิวเตอร์ของโรงพยาบาลให้ปลอดภัย เพื่อสร้างความมั่นใจในการให้บริการต่อไป
“จากเหตุการณ์ที่เกิดขึ้นสามารถแก้ไขได้ด้วยความร่วมมือจากทุกภาคส่วน ซึ่งเป็นความรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน ไม่ควรตั้งคำถามว่าเกี่ยวข้องหน่วยงานใด เป็นหน้าที่ของทุกหน่วยงานที่ต้องดำเนินการรักษาและจัดเก็บข้อมูลให้ปลอดภัย ซึ่งมีแนวทางในการปฏิบัติระบุไว้แล้วอย่างชัดเจนตาม พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ 2544 พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 ถึงแม้จะมีการขยายการบังคับใช้ออกไป แต่หน่วยที่เก็บข้อมูลส่วนบุคคลยังต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 เมื่อวันที่ 17 กรกฎาคม 2563” นายชัยวุฒิ กล่าว
โดยการแก้ปัญหาในระยะสั้น ทุกหน่วยงานต้องมุ่งเน้นในด้านนโยบาย กรอบแนวทางปฏิบัติ และยกระดับบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ต้องถือปฏิบัติตาม พรบ.ดังกล่าวข้างต้น มาใช้ในการจัดเก็บข้อมูลต่าง ๆ โดยมุ่งเน้นรับผิดชอบต่อสังคม และประชาชน และสร้างความตระหนักให้บุคลากรของทุกหน่วยงาน มีความเข้มข้นในกลไกการป้องกัน ตรวจสอบ เฝ้าระวัง
ในส่วนของการแก้ปัญหาในระยะยาว คือ กระทรวงสาธารณสุขต้อง centralized ระบบฐานข้อมูล และ แอปพลิเคชั่นต่าง ๆ ซึ่งการเฝ้าระวังเรื่องความปลอดภัยจะทำได้ง่ายขึ้น โดยต้องคำนึงถึงเรื่องความปลอดภัยของข้อมูลเป็นสำคัญ
“ปัญหาที่เกิดขึ้น รพ.เพชรบูรณ์ ยืนยันว่าข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษาเลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา อีกทั้งข้อมูลรายชื่อที่ถูกแฮกไปมีจำนวนกว่า 1 หมื่นรายชื่อ ไม่ใช่ 1.6 ล้านรายชื่อตามที่แฮกเกอร์กล่าวอ้าง” นายชัยวุฒิ กล่าว
ประกอบด้วย ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา) ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย
ด้านนางสาวอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ปัจจุบันกระทรวงดิจิทัลฯ มีหน่วยงานที่อยู่ภายใต้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) คือ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ทำหน้าที่เป็นหน่วยงานกลางที่พร้อมให้บริการหน่วยงานต่างๆ ในการเฝ้าระวัง (monitor) การถูกโจมตีระบบ โดยปัจจุบันให้บริการอยู่แล้ว 250 หน่วยงาน ดังนั้นโรงพยาบาลต่างๆ โดยเฉพาะโรงพยาบาลระดับจังหวัด สามารถติดต่อเข้ามาใช้บริการได้
โดยในเร็วๆ นี้ บมจ. โทรคมนาคมแห่งชาติ (NT) ก็เตรียมเปิดให้บริการลักษณะนี้เช่นกัน เนื่องจากในเรื่องความมั่นคงปลอดภัยไซเบอร์นั้น นอกจากมีระบบที่มั่นคงปลอดภัยแล้ว ยังจำเป็นที่ต้องมีการเฝ้าระวังตลอดเวลาอีกด้วย
นายชัยวุฒิ กล่าวต่ออีกว่า จากเหตุการณ์ที่เกิดขึ้นสามารถแก้ไขได้ด้วยความร่วมมือจากทุกภาคส่วน ซึ่งเป็นความรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน ไม่ควรตั้งคำถามว่าเกี่ยวข้องหน่วยงานใดหน่วยงานหนึ่ง แต่เป็นหน้าที่ของทุกหน่วยงานที่ต้องดำเนินการรักษาและจัดเก็บข้อมูลให้ปลอดภัยต่อไป
ด้าน พลโท ดร.ปรัชญา เฉลิมวัฒน์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เปิดเผยว่า สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ประสานเข้าร่วมทำงานกับกระทรวงสาธารณสุข ในการตรวจสอบช่องโหว่ของระบบของโรงพยาบาลเพชรบูรณ์ และพูดคุยกับทีมไอทีของโรงพยาบาลฯ ได้ทำการแก้ไขปัญหาเบื้องต้นแล้ว โดยนำระบบที่เป็นปัญหาดังกล่าวออกไปจากการใช้งาน และดำเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก อีกทั้ง จากการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย
พลโท ดร.ปรัชญา กล่าวเพิ่มเติมว่า การดำเนินการในระยะสั้น ทุกหน่วยงานต้องมุ่งเน้นในด้านนโยบาย กรอบแนวทางปฏิบัติ และยกระดับบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ต้องถือปฏิบัติตาม พ.ร.บ. และมาตรการที่เกี่ยวข้อง มาใช้ในการจัดเก็บข้อมูลต่าง ๆ โดยมุ่งเน้นรับผิดชอบต่อสังคมและประชาชน อีกทั้งสร้างความตระหนักให้บุคลากรของทุกหน่วยงาน ให้มีความเข้มข้นในกลไกการป้องกัน ตรวจสอบ เฝ้าระวัง ในส่วนของการแก้ปัญหาในระยะยาว คือ กระทรวงสาธารณสุขต้องจัดทำระบบฐานข้อมูลแบบรวมศูนย์ และแอพพลิเคชั่นต่าง ๆ ที่มีความมั่นคงปลอดภัย ซึ่งการเฝ้าระวังเรื่องความปลอดภัยจะทำได้ง่ายขึ้น ไม่ใช่ต่างคนต่างทำ หรือพัฒนาของหน่วยงานกันเอง ต้องคำนึงถึงเรื่องความปลอดภัยของข้อมูล จึงจำเป็นต้องมีการพัฒนาความเชี่ยวชาญของบุคลากรในด้านนี้ ทั้งในระยะสั้นและระยะยาว ซึ่งปัจจุบัน สกมช. กำลังดำเนินการในด้านนี้