โรงพยาบาลเพชรบูรณ์
ภาพจาก สวท.เพชรบูรณ์

กระทรวงสาธารณสุข แถลงกรณีข้อมูลผู้ป่วย รพ.เพชรบูรณ์ ถูกแฮก พบมีข้อมูลรายชื่อเวชระเบียนผู้ป่วยหลุดไป 10,095 ราย ยืนยันไม่มีรายละเอียดเกี่ยวกับการรักษาหลุด เตรียมตั้ง “ศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ภาคสุขภาพ” ย้ำขโมยข้อมูลสุขภาพส่วนบุคคล เสี่ยงผิดทั้ง พ.ร.บ.สุขภาพแห่งชาติ, พ.ร.บ.คอมพิวเตอร์, พ.ร.บ.ข้อมูลข่าวสารฯ 

วันนี้ (7 กันยายน 2564) เวลา 13.30 น. ที่กระทรวงสาธารณสุข ได้มีการแถลงข่าวประเด็น “กรณีการแฮกข้อมูลผู้ป่วย” แถลงโดย นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข, นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร และนายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ

โดย นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ระบุว่า ทางกระทรวงได้มีการตั้งคณะทำงานติดตามตรวจสอบกรณี รพ.เพชรบูรณ์ ถูกแฮ็กข้อมูลนำไปขาย ตั้งแต่วันที่ 5 กันยายน 2564 โดยพบว่าข้อมูลที่ถูกนำไปขายไม่ได้อยู่ในระบบฐานข้อมูลที่ใช้ในการให้บริการคนไข้ของ รพ. ซึ่ง รพ. ยังสามารถให้บริการได้ตามปกติ

ฐานข้อมูลที่ได้ไปเป็นฐานข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่อีกหนึ่งโปรแกรม เพื่ออำนวยความสะดวกในการดูแลคนไข้ เช่น Audit charge ของแพทย์ โดยเวลาคนไข้นอนอยู่ที่ รพ. จะต้อง charge นั้นเมื่อมีการ discharge ออกจาก รพ.นั้นแล้ว ได้มีการตรวจ charge แล้วหรือยัง charge นี้เป็นของแพทย์คนใด เพื่อให้เกิดความสมบูรณ์ในการสรุป charge โดยไม่เกี่ยวข้องกับฐานข้อมูลวินิจฉัยโรคหรือข้อมูลผลแลปใดๆ ทั้งสิ้น ส่วนข้อมูลที่ถูกแฮ็กออกไปนั้น เป็นข้อมูลผู้ป่วยจำนวน 10,095 ราย ประกอบด้วย ชื่อ-นามสกุลผู้ป่วยที่มีการระบุว่า discharge เมื่อไร admit เมื่อไร

อีกฐานข้อมูลที่ถูกแฮ็กคือ ฐานข้อมูลการนัดผู้ป่วย โดยมีชื่อ-นามสกุลผู้ป่วย พร้อมระบุวันและเวลาที่ต้องมาพบแพทย์ นอกจากนี้ยังมีฐานข้อมูลตารางเวรของแพทย์ ซึ่งมีการระบุว่าแพทย์แต่ละคนต้องขึ้นเวรทำงานวันใดบ้าง และมีฐานข้อมูลในการคำนวณรายจ่ายในการผ่าตัดของกลุ่ม orthopedics (ศักยกรรมกระดูกและข้อ) ของผู้ป่วย 692 ราย โดยเป็นการคำนวณรายจ่ายเพื่อไปซื้ออุปกรณ์เพื่อการผ่าตัด เช่น การผ่าเข่า ว่ามีจำนวนเท่าใด

“เพราะฉะนั้นยืนยันว่าฐานข้อมูลทั้งหมดตรงนี้ ไม่ได้อยู่ในฐานข้อมูลของการรักษาพยาบาลทั่วๆ ไปของ รพ. เป็นฐานข้อมูลที่ รพ. ได้สร้างเว็บเพจขึ้นมาอีกอันหนึ่ง แต่ว่าแปะอยู่ในเซิร์ฟเวอร์เดียวกันของ รพ. และวันนี้ระบบของ รพ. ก็ยังสามารถดำเนินการได้ปกติ สามารถที่จะเข้า สามารถที่จะดูแลได้อย่างปกติ เพราะฉะนั้นฐานข้อมูลทุกอย่างยังอยู่” นพ.ธงชัย กล่าว

ล่าสุด นพ.ธงชัย ระบุว่า กระทรวงสาธารณสุข ร่วมมือกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (กระทรวงดีอีเอส) ได้ดำเนินการตรวจสอบด้านความเสี่ยงและแบ็กอัพข้อมูลทั้งหมด รวมถึงได้มีการเช็กว่ามีสิ่งแปลกปลอมยังแผงอยู่ในเซิร์ฟเวอร์หรือเว็บไซต์แล้ว โดยขณะนี้ก็ยังดำเนินการตรวจสอบต่อไป

ชี้โปรแกรม Open-source ที่อาจมีจุดอ่อน อาจเป็นส่วนทำให้ถูกแฮกข้อมูล

ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข เปิดเผยว่า เซิร์ฟเวอร์ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่ใช้งานการบริหารงาน รพ. ไม่เกี่ยวกับเซิร์ฟเวอร์ที่ใช้ในการให้บริการผู้ป่วยโดยตรง พร้อมยืนยันมี Firewall ในการปกป้องอยู่ เพียงแต่ว่ามีการพัฒนาโปรแกรมโดยใช้โปรแกรม Open-source ซึ่งโปรแกรมตัวนี้อาจมีจุดอ่อนที่ทำให้เกิดการบุกรุกเข้ามาในระบบได้

อีกสาเหตุหนึ่งที่ทำให้เกิดการแฮ็กข้อมูลไปได้ ก็คือ การนำระบบภายในของ รพ. เชื่อมต่อกับอินเทอร์เน็ต จึงอาจเป็นเหตุทำให้เกิดการบุกรุกเข้ามาในระบบดังกล่าวได้ และเมื่อตรวจสอบเบื้องต้นก็พบว่าไม่ได้มีการบุกรุกข้ามไปยังเซิร์ฟเวอร์อื่น โดยเมื่อทราบเหตุแล้ว ทาง รพ.เพชรบูรณ์ ก็ได้มีการตัดการเชื่อมต่อจากภายนอกทั้งหมด และได้มีการตรวจสอบความเสียหายเบื้องต้นแล้ว และระบบการบริการยังเป็นไปอย่างปกติทุกอย่าง

“ข้อมูลที่รั่วไหลในครั้งนี้ ผู้กระทำการไม่ได้มีการเรียกร้องเงินหรือทรัพย์สินใดๆ จาก รพ. แต่มีเพียงการนำข้อมูลไปประกาศขายบนเว็บไซต์เท่านั้น” นพ.อนันต์ กล่าว

โดยหลังจากนี้ ทาง รพ. จะได้ทบทวนมาตรการ-ความเสี่ยงต่างๆ รวมถึงประเมินสินทรัพย์ที่มีความเสี่ยงสูง พร้อมจัดการให้ระบบมีความมั่นคงปลอดภัยมากขึ้นกว่าเดิม และที่สำคัญคือการให้ความรู้และสร้างความตระหนักรู้แก้บุคลากรที่ใช้ระบบ ให้ใส่ใจและเข้มงวดกับกระบวนการต่างๆ ที่ทาง รพ. กำหนดมาตรการเอาไว้

“ในส่วนของภาพใหญ่ของกระทรวงสาธารณสุขที่ดูแลอยู่ เราก็จะมีการดำเนินการในส่วนของการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อที่จะมอนิเตอร์หน่วยงาน ทั้งในส่วนของกระทรวงสาธารณสุข หรือ รพ.อื่นๆ ที่อยู่ในภาคสุขภาพ อยู่ตลอดเวลา แล้วจะมีการจัดตั้งหน่วยงานตอบโต้เหตุการณ์ฉุกเฉิน ซึ่งอยู่ระหว่างการดำเนินการ” นพ.อนันต์ กล่าว

นพ.อนันต์ เปิดเผยเพิ่มเติมว่า การเตรียมตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ มาจากข้อเสนอแนะของกระทรวงดีอีเอส ระบุว่าภาคสุขภาพมีความอ่อนไหวสูง อีกทั้งมีหน่วยงานในสังกัดจำนวนมาก ซึ่งดีอีเอสอาจเข้าไปได้ไม่สะดวกหรือดูแลไม่ทันเวลา เพื่อให้การดำเนินการเป็นไปโดยทันเวลา ดีอีเอสจึงแนะนำให้กระทรวงสาธารณสุขตั้งศูนย์เฝ้าระวังฯ ดังกล่าวโดยเบื้องต้นไปก่อน โดยศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ จะทำงานร่วมกับ ศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ ของดีอีเอส ต่อไป

ขโมย “ข้อมูลสุขภาพส่วนบุคคล” เสี่ยงผิดทั้ง พ.ร.บ.สุขภาพแห่งชาติ, พ.ร.บ.คอมพิวเตอร์, พ.ร.บ.ข้อมูลข่าวสารฯ

ขณะที่ นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ เปิดเผยว่า พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 เป็นมาตราที่ระบุชัดเจนว่า ข้อมูลสุขภาพส่วนบุคคลเป็น “ความลับส่วนบุคคล” ผู้ใดจะนำไปเปิดเผยเพื่อทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่ว่าการเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรงหรือว่าเจ้าตัวยินยอม หรือว่ามีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย แต่ว่าในกรณีใดก็ตาม ผู้ใดจะอาศัยอํานาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

“เพราะฉะนั้นจากกรณีดังกล่าว ก็เห็นได้ชัดเจนว่าอาจทำให้เกิดความเสียหายต่อผู้ป่วยได้ ดังนั้นการกระทำดังกล่าว ถ้าหากมีความเสียหายเกิดขึ้นเป็นการละเมิดสิทธิส่วนบุคคล โดยในมาตรา 49 (ของ พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550) ได้มีโทษที่ระบุไว้ คือ จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ” นายสุทธิพงษ์ กล่าว

นายสุทธิพงษ์ ระบุต่อว่า นอกจากนี้ ยังมีกฎหมายอื่นๆ อีกหลายฉบับที่เกี่ยวข้อง เช่น พ.ร.บ.คอมพิวเตอร์, พ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นต้น

รพ.เพชรบูรณ์ ออกแถลงการณ์ฉบับแรก เผยรายละเอียดเกี่ยวกับการถูกแฮก

ต่อมาในเวลา 14.43 น. รพ.เพชรบูรณ์ เผยประกาศฉบับที่ 1 เกี่ยวกับเหตุภัยคุกคามทางไซเบอร์โรงพยาบาลเพชรบูรณ์ รายละเอียดมีดังนี้

ประกาศโรงพยาบาลเพชรบูรณ์ ฉบับที่ 1
เหตุภัยคุกคามทางไซเบอร์โรงพยาบาลเพชรบูรณ์

โรงพยาบาลเพชรบูรณ์ได้รับรายงานการประกาศขายข้อมูลของโรงพยาบาลเพชรบูรณ์ใน Internet ในวันที่ 5 กันยายน 2564 เวลา 13.30 น. ขนาด 3.75 GB จำนวน 16 ล้าน records จากฐานข้อมูล จำนวน 146 ฐานข้อมูล ในราคา 500 เหรียญสหรัฐอเมริกา

โรงพยาบาลเพชรบูรณ์ ได้รีบดำเนินการตรวจสอบโดยด่วน โดยมีการจัดตั้งคณะกรรมการแก้ไขปัญหาภาวะคุกคามทาง Cyber ขึ้นตั้งแต่ 5 กันยายน 2564 เวลา 14.00 น. เพื่อตรวจสอบข้อเท็จจริงและประเมินความเสียหายที่เกิดขึ้น ข้อมูลที่มีการเผยแพร่ใน Internet แสดงข้อมูลทั่วไปของประชาชนที่มารับบริการ และเจ้าหน้าที่บางส่วน

ในขั้นต้นทางโรงพยาบาลได้ดำเนินการปิดกั้นการเข้าถึง Internet จากภายนอก ตรวจสอบความเสียหายระบบภายในโรงพยาบาล มีการตรวจสอบความปลอดภัยด้านไซเบอร์ ตรวจสอบระบบที่ข้อมูลรั่วไม่ให้มีแฮกเกอร์อยู่ในระบบ ผลการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย และที่จากการตรวจสอบขั้นต้น ข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษา เลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา ได้แก่

  • ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน
    (ไม่มีรายละเอียดการดูแลรักษา)
  • ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา 7,000 ราย
  • ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล
  • ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย
  • ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย

การแก้ไขปัญหา

เบื้องต้น โรงพยาบาลได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ทั้งหมด
มีการสำรองข้อมูลทั้งหมด ทั้งนี้โรงพยาบาลมีระบบสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้ว

ทางโรงพยาบาลได้หารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสารกระทรวงสาธารณสุข และขอรับคำปรึกษาจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และกระทรวงดิจิทัลเพื่อเศษฐกิจและสังคมตั้งแต่ต้น เพื่อให้คำแนะนำและเป็นที่ปรึกษาในการปรับปรุงระบบคอมผิวเตอร์ของโรงพยาบาลให้ปลอดภัย เพื่อสร้างความมั่นใจในการให้บริการต่อไป ทางโรงพยาบาลเพชรบูรณ์ขอยืนยันว่า ระบบข้อมูลทางด้านการรักษาพยาบาลยังสามารถใช้งานได้ปกติ

ทางคณะกรรมการแก้ไขปัญหาภาวะคุกคามทาง Cyber ได้ดำเนินการด้านกฎหมาย และรายงานผู้บังคับบัญชาตามลำดับ ขณะนี้ยังไม่มีข้อเรียกร้องทางการเงินจากโรงพยาบาลใด ๆ ทั้งสิ้น นอกจากการประกาศขายทาง Internet ขอให้ประชาชนมีความเชื่อมั่นในการรับบริการโรงพยาบาลเพชรบูรณ์ ทางโรงพยาบาลเพชรบูรณ์ขออภัยในปัญหาที่เกิดขึ้น และจะพัฒนาระบบสารสนเทศให้ปลอดภัยเพื่อคุณภาพในการรักษาพยาบาลให้ดีขึ้น

ประกาศ ณ วันที่ 7 กันยายน 2564