สธ.ยันถูกแฮกเพียงข้อมูลทั่วไป-ไม่ลงลึก จ่อตั้งศูนย์เฝ้าระวังไซเบอร์ภาคสุขภาพ ดูแล-มอนิเตอร์กันเองตามข้อเสนอ 'ดีอี'

สธ.แถลงกรณีแฮกเกอร์ดูดข้อมูล รพ.เพชรบูรณ์ ยันไม่ใช่ฐานข้อมูลหลักในการให้บริการ เตรียมจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ ตามข้อเสนอ "กระทรวงดีอี" ที่อาจไม่สะดวกดูแลทั้งประเทศ

นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (สธ.) เปิดเผยในการแถลงข่าวประเด็น "กรณีการแฮกข้อมูลผู้ป่วย" เมื่อวันที่ 7 ก.ย. 2564 ตอนหนึ่งว่า เหตุการณ์ที่มีแฮกเกอร์นำข้อมูลไปประกาศขายนั้น เป็นข้อมูลของโรงพยาบาลเพชรบูรณ์ ซึ่งเกิดขึ้นตั้งแต่วันที่ 5 ก.ย. 2564 โดย สธ. ได้มีการตั้งคณะกรรมการเข้าไปตรวจสอบข้อเท็จจริงและประเมินความเสียหายตั้งแต่วันดังกล่าวแล้ว

ทั้งนี้ ข้อมูลที่มีการประกาศขายนั้น ไม่ใช่ฐานข้อมูลหลักที่เป็นระบบฐานข้อมูลในการให้บริการคนไข้ของ รพ. หากแต่เป็นฐานข้อมูลที่จัดทำโปรแกรมขึ้นมาใหม่ เพื่ออำนวยความสะดวกในการทำงานของเจ้าหน้าที่ในการดูแลคนไข้ เช่น ฐานข้อมูลการ audit แฟ้มประวัติคนไข้ของแพทย์ ซึ่งไม่เกี่ยวข้องกับการวินิจฉัย การรักษา หรือข้อมูลผลการตรวจแล็บใดๆ ทั้งสิ้น 

"ตรงนี้เป็นฐานข้อมูลผู้ป่วยประมาณ 10,095 ราย ซึ่งไม่มีรายละเอียดของการรักษาใดๆ ทั้งสิ้น มีเพียงชื่อ นามสกุล ข้อมูลว่าแอดมิทเมื่อไร กลับบ้านเมื่อไร เพื่อให้แพทย์รู้ว่าได้สรุปหมดแล้วหรือยัง ส่วนฐานข้อมูลหลักทุกอย่างยังคงอยู่ปกติ และขณะนี้ รพ.ก็ยังสามารถดำเนินการดูแลคนไข้ได้ตามปกติ" นพ.ธงชัย กล่าว

นพ.ธงชัย กล่าวว่า ส่วนฐานข้อมูลอื่นๆ ที่ถูกแฮกไป เช่น ข้อมูลการนัดผู้ป่วย ว่าแต่ละวันนัดผู้ป่วยชื่ออะไรบ้าง มาโรงพยาบาลวันไหน ข้อมูลตารางเวรของแพทย์ ว่าแพทย์แต่ละท่านขึ้นเวรวันไหน เมื่อไรบ้าง และอีกฐานข้อมูลคือรายการคำนวณค่าใช้จ่ายในการผ่าตัดของกลุ่มออร์โธปิดิกส์จำนวน 692 ราย ว่าซื้ออุปกรณ์ไปเท่าไร เป็นต้น

"ข้อมูลที่ถูกแฮกไปเป็นเพียงชื่อ นามสกุล หรือบางไฟล์อาจมีเบอร์โทรศัพท์ และมากที่สุดคือข้อมูลว่าคนไข้คนนี้วินิจฉัยว่าอะไร เป็นส่วนสูงสุดที่ทางคนแฮกเอาข้อมูลไปได้ ไม่ได้ลงลึกไปส่วนอื่นๆ อย่างผลแล็บ แพ้ยา โรคประจำตัวอย่างไร เรายังยืนยันว่า รพ. สามารถดำเนินการได้เป็นปกติทุกอย่าง และมีการเฝ้าระวังสูงสุดมากขึ้น" นพ.ธงชัย กล่าว

ขณะที่ นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สธ. กล่าวว่า เซิร์ฟเวอร์ของ รพ.เพชรบูรณ์ ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่แยกออกมาต่างหาก ใช้สำหรับประสานงานภายในโรงพยาบาล ไม่ได้เกี่ยวข้องกับเซิร์ฟเวอร์ที่ใช้ในการบริการผู้ป่วยโดยตรง เพียงแต่มีการพัฒนาขึ้นมาโดยใช้โปรแกรม open source ซึ่งอาจจะมีจุดอ่อนที่ทำให้ถูกบุกรุกได้

"เดิมฐานข้อมูลมีวัตถุประสงค์เพื่อใช้ภายใน รพ. เพื่ออำนวยความสะดวกบุคลากร เลยจำเป็นต้องมีการเชื่อมต่ออินเตอร์เน็ต จึงอาจเป็นเหตุให้ถูกบุกรุกได้ และจากการตรวจสอบเบื้องต้นไม่พบการบุกรุกข้ามไปยังเซิร์ฟเวอร์ตัวอื่น หรือฐานข้อมูลอื่น โดยข้อมูลรั่วไหลครั้งนี้ผู้กระทำการไม่ได้เรียกร้องเงินหรือทรัพย์สินใดๆ จาก รพ. เพียงนำเอาข้อมูลไปประกาศขายบนเว็บไซต์เท่านั้น" นพ.อนันต์ กล่าว

นพ.อนันต์ กล่าวว่า ในส่วนการดูแลภาพใหญ่ของ สธ. จะดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพขึ้น เพื่อมอนิเตอร์หน่วยงานทั้งในส่วนของ สธ. และโรงพยาบาลอื่นๆ ในภาคสุขภาพ และจัดตั้งหน่วยงานสำหรับตอบโต้เหตุการณ์ฉุกเฉิน ซึ่งขณะนี้อยู่ระหว่างดำเนินการ โดยส่วนนี้จะมีการเชื่อมโยงระหว่างศูนย์เฝ้าระวังความมั่นคงปลอดภัยทางไซเบอร์ ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี)

"เดิมกระทรวงดีอี เป็นคนดูทั้งหมด แต่ด้วยเห็นว่าภาคสุขภาพเป็นภาคที่มีความอ่อนไหวสูง และเป็นภาคที่มีหน่วยงานจำนวนมากอยู่ภายใต้ เลยมีข้อเสนอจากกระทรวงดีอี ที่ได้ให้ สธ.ดำเนินการในส่วนนี้เบื้องต้น เพื่อเกิดความมั่นใจในการตอบสนองต่อเหตุการณ์ได้ทันเวลา เพราะลำพังดีอีที่ดูแลทั้งประเทศอาจจะมีความไม่สะดวกหรือพร้อมใช้ได้ทันเวลา" นพ.อนันต์ กล่าว

ด้าน นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพใน พ.ร.บ.สุขภาพแห่งชาติ 2550 ในมาตรา 7 ได้ระบุไว้ชัดเจนว่าข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่จะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือเจ้าตัวยินยอม หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย

"โดยหลักแล้วข้อมูลสุขภาพของแต่ละบุคคลถือเป็นความลับ จะเปิดเผยไม่ได้เว้นแต่จะได้รับความยินยอมจากเจ้าตัว กรณีดังกล่าวชัดเจนว่าอาจทำให้เกิดความเสียหายกับผู้ป่วยได้ และได้มีโทษระบุให้จำคุกไม่เกิน 6 เดิน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ ซึ่งความผิดนี้เป็นความผิดอันยอมความได้ โดยผู้เสียหายสามารถพิจารณาเจรจาไกล่เกลี่ย หรือคุยกับผู้ละเมิดแทนการร้องทุกข์หรือดำเนินคดีก็ได้" นายสุทธิพงษ์ กล่าว