หลายคนคงจะได้ยินข่าวเมื่อาทิตย์ก่อนหยุดยาว ที่รัฐบาลสิงคโปร์ หรือ SingHealth ได้ออกมายอมรับว่า ฐานข้อมูลด้านสุขภาพของประชาชนถูกจารกรรมครั้งใหญ่ ข้อมูลประชาชน 1.5 ล้านคนถูกขโมย
SingHealth ทำไมข้อมูลคนไข้ถึงต้องเป็นความลับ…..
ก่อนจะเข้าเนื้อหาหลัก เรามาดูว่าทำไม ทุกประเทศต้องให้ความสำคัญกับข้อมูลด้านสุขภาพ ซึ่งโดยทั่วไปแล้วสิ่งที่แพทย์ตรวจพบจากตัวคนไข้ หรือสิ่งที่คนไข้บอกเล่าให้แพทย์ทราบ จะต้องถูกเก็บเป็นความลับโดย รวมทั้งการเก็บรักษาข้อมูลของคนไข้ต่างๆ ที่บันทึกได้ในเวชระเบียน โรงพยาบาลต้องจัดระบบการเก็บรักษา เพื่อไม่ให้บุคคลอื่นๆ แม้แต่เจ้าหน้าที่ของโรงพยาบาล หรือญาติของคนไข้เข้าถึงข้อมูลได้ และถ้าข้อมูลของคนไข้หลุดจะเกิดอะไรขึ้น ….
ยกตัวอย่างเช่น สามีพาภรรยามาคลอดลูก ได้ลูกสุขภาพดีน่ารัก มีความสุขทั้งพ่อและแม่ เรื่องน่าจะจบด้วยดี ถ้าไม่บังเอิญเกิดเรื่องเสียก่อน กล่าวคือวันที่หมอให้กลับบ้าน พยาบาลให้สามีนำเวชระเบียนไปประกอบการคิดค่าใช้จ่ายที่ฝ่ายการเงิน ระหว่างนั่งรอ สามีอ่านเวชระเบียนพบว่าภรรยาเคยแท้งบุตรก่อนแต่งงานกับตน ชีวิตสามีภรรยาคู่นี้จบลงด้วยการแยกทางกัน
หรือแม้แต่การนำข้อมูลไปใช้ระบุตัวตนเพื่อทำธุรกรรมทางการเงินก็สามารถทำได้ เพราะเวชระเบียนคนไข้ จะประกอบไปด้วยฐานข้อมูลที่มีรายเอียดอยู่มาก ทั้งชื่อ เบอร์โทร อีเมล ข้อมูลหน้าบัตรประชาชนหรืออาจจะมีแม้กระทั่งรูปภาพ แฮคเกอร์สามารถนำข้อมูลเหล่านี้ไปขายหรือนำไปใช้เพื่อทำธุรกรรมการเงินแบบออนไลน์ที่อาจจะยังมีช่องโหว่อยู่ก็ย่อมได้
ในสิงค์โปร์ หลังจากที่เหตุการณ์ SingHealth ถูกแฮค ธนาคารกลางสิงคโปร์ก็ออกคำเตือนอย่างรวดเร็วให้ธนาคารต่าง ๆ เฝ้าระวังกระบวนการยืนยันตัวตนลูกค้า โดยระบุว่าธนาคารไม่ควรยืนยันตัวตนโดยอาศัยข้อมูลที่หลุดไปในครั้งนี้ พร้อมกับให้วิเคราะห์ความเสี่ยงว่าข้อมูลที่หลุดออกไปนี้จะกระทบลูกค้าอย่างไร
แต่กับประเทศไทยเรา เรื่องหน้าตาคือเรื่องสำคัญ องค์กรส่วนใหญ่ที่โดนแฮคอาจจะไม่อยากเปิดข้อมูลว่าโดนโจมตีสักเท่าไหร่ และผมเชื่อว่าองค์กรหรือโรงพยาบาลหลายแห่งทุกวันนี้อาจจะไม่ได้ให้ความสำคัญระบบความปลอดภัยในการป้องข้อมูลมากนัก และโชคดี (หรือเปล่า) ที่โรงพยาบาลหลายแห่งข้อมูลยังเป็นแบบกึ่งดิจิทัล ที่ข้อมูลเวชระเบียนคนไข้ยังถูกเก็บในรูปแบบแฟ้ม ทำให้เราอาจจะยังปลอดภัยต่อการแฮกในลักษณะนี้
แต่แน่นอนว่าในอนาคตที่กำลังมาถึง โรงพยาบาลต้องปรับรูปแบบการให้บริการให้รวดเร็วขึ้น การเปลี่ยนแปลงเชิงบังคับจึงต้องเริ่มต้น ข้อมูลต้องถูกเก็บในรูปแบบดิจิทัลเพื่อให้สะดวกต่อการเรียกใช้งาน ซึ่งปัจจุบันโรงพยาบาลทั้งเอกชนและรัฐหลายแห่งเริ่มทำแล้ว และนั่นคือความปลอดภัยที่ไม่ควรมองข้าม
ลองนึกดูว่าขนาดสิงค์โปร์ที่ระบบไอทีแบบฟูลพาวเวอร์ ถึงขนาดรัฐบาลสิงคโปร์โดยกระทรวงกลาโหมเคยออกโครงการเชิญชวนแฮกเกอร์จากทั่วโลกรวมทดสอบเจาะระบบอินเตอร์เน็ตของรัฐบาลจำนวน 8 เว็บไซต์ เพื่อทดสอบระบบเว็บไซต์ของรัฐบาลว่ามีช่องโหว่จนสามารถเข้ามาล้วงข้อมูลของรัฐบาลได้หรือไม่ ซึ่งถ้าได้ ก็จะได้รางวัล เป็นการเชิญชวนเชิงท้าทายแต่มีผลต่อความมั่นใจของนักลงทุนอย่างมาก
แล้วไทยควรนำเคสนี้มาปรับตัวอย่างไร
ในทางการแพทย์ เทคโนโลยีสารสนเทศถูกมองว่าเป็นงานสนับสนุนซึ่งไม่มีความสำคัญ แต่แท้ที่จริง ดังที่กล่าวมาในตอนต้น ๆ สารสนเทศเป็นงานหลัก (Core Business) ของการให้บริการทางการแพทย์และสาธารณสุข เกี่ยวกับความเป็นความตายของผู้ป่วย เป็นการขาดการพัฒนาและจัดสรรกำลังคนอย่างเหมาะสมทำให้งานด้านไอทีทางการแพทย์ถูกทิ้งไว้เบื้องหลัง
ปัญหาประการแรกคือการไม่เข้าใจ และไม่ใส่ใจด้านไอทีที่เพียงพอ ทำให้ไม่มีการวางแผนและพัฒนาอย่างเป็นระบบโรงพยาบาลส่วนใหญ่จะไม่มีแผนไอทีที่ชัดเจน หรือมีแผนซื้อเครื่องคอมพิวเตอร์จัดหาโปรแกรม อบรมบุคลากร แผนมักไม่สอดคล้องกับแผนยุทธศาสตร์และเป้าหมายแท้จริงของโรงพยาบาล ทำให้เกิดการใช้ไอทีอย่างไม่เต็มประสิทธิภาพและสูญเปล่า
เรื่องต่อมาเป็นเรื่องมาตรฐานซึ่งเป็นเรื่องใหญ่ ท่านคงสังเกตได้ว่าถ้าท่านเปลี่ยนโรงพยาบาลที่ไปรับการรักษา ข้อมูลจากโรงพยาบาลเดิมไม่สามารถมาที่ใหม่ได้ทำให้ต้องเสียเวลาจัดทำข้อมูลใหม่ทั้งหมดบางครั้งต้องตรวจซ้ำทั้งที่โรงพยาบาลเดิมก็ตรวจไปแล้ว อันที่จริงแม้แต่โรงพยาบาลเดียวกันแต่คนละแผนก บางทีข้อมูล ยังเชื่อมกันไม่ได้ เพราะใช้หลายระบบในโรงพยาบาลเดียวกัน
นอกจากระบบเข้ากันไม่ได้แล้ว การขาดมาตรฐานทำให้เกิดความเสี่ยง เพราะระบบงานไม่ได้มาตรฐาน ตัวอย่างเช่น การบันทึกเวชระเบียนให้ครบถ้วน (มาตรฐานกระบวนการ) การ Backup ข้อมูล (มาตรฐานปฏิบัติการ) การปกปิดความลับของผู้ป่วย(มาตรฐานความปลอดภัย) และอื่น ๆ อีกมากโรงพยาบาลส่วนใหญ่ยังละเลยด้านคุณภาพมาตรฐานไอทีโดยการละเลยนี้อาจเป็นต้นเหตุของความเสียหายทั้งเวลา ทรัพย์สินจนถึงความปลอดภัยของผู้ป่วยด้วย
ประการสุดท้าย คือ การพัฒนากำลังคนด้านไอทีทางการแพทย์และสาธารณสุข ประเมินว่าในกระทรวงสาธารณสุขควรมีบุคลากรด้านนี้ประมาณ 5,000 ตำแหน่ง โดยต้องสรรหาหรือเพิ่มพูนความรู้ ทักษะ และสมรรถนะให้เหมาะสม และควรจัดการบริหารทรัพยากรบุคคลในลักษณะรวมศูนย์เนื่องจากมีหน่วยงานเล็ก ๆ จำนวนมาก เช่นโรงพยาบาลชุมชนไม่สามารถมีบุคลากรด้านนี้ได้ครบทุกสมรรถนะที่จำเป็น
ติดตามเรื่องอื่น ๆ ที่เกี่ยวข้องกับ Cyber Security
ข้อมูลจากข่าวต่างประเทศ Govinsider