สธ.ยืนยัน 'ระบบข้อมูล' มีความปลอดภัย ทุกแอปฯเคยเจาะระบบทดสอบก่อนเปิดใช้

สธ. ตอกย้ำความมั่นใจในความปลอดภัยของ “ข้อมูล” ยืนยันหน่วยบริการมีมาตรฐานทางไซเบอร์ เน้นจัดเก็บข้อมูลผ่านคลาวด์ที่ได้มาตรฐานสากล พร้อมมอบรอง สสจ. ดูแลภัยไซเบอร์ระดับจังหวัด มีการประเมินโรงพยาบาลอัจฉริยะ เชื่อเป็นกระทรวงแรกตั้งผู้บริหาร “CISO” ขึ้นมาดูแลเรื่องนี้ทุกระดับ ส่วน 12 จังหวัดนำร่องนโยบาย “30 บาทรักษาทุกที่” มี CO-CSIRT ดูแลความปลอดภัยเฉพาะ

นพ.สุรัคเมธ มหาศิริมงคล ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร และโฆษกกระทรวงสาธารณสุข (สธ.) เปิดเผยในการแถลงข่าวกรณีแฮกเกอร์ประกาศขายข้อมูลที่อ้างว่ามาจากหน่วยงานของ สธ. ระบุตอนหนึ่งว่า สธ. เตรียมยกระดับความมั่นคงปลอดภัยทางไซเบอร์ทั้งกระทรวง โดยเน้นที่หน่วยบริการจะต้องมีมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ขั้นต่ำ หรือ Healthcare Accreditation Information Technology (HAIT) ที่เน้นระบบจัดเก็บข้อมูลคลาวด์ที่ต้องได้มาตรฐานนานาชาติ เช่น ISO 27001, ISO 27799

นพ.สุรัคเมธ กล่าวว่า มากไปกว่านั้น ก่อนการเปิดแอปพลิเคชันให้ประชาชนเข้าถึงจะต้องมีการเจาะระบบเพื่อทดสอบก่อน ซึ่งทั้งหมดนี้มีการบริหารโดยมอบให้รองนายแพทย์สาธารณสุขจังหวัด (รอง นพ.สสจ.) ท่านหนึ่งดูแลทุกเรื่องที่เกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์ในระดับจังหวัด หากมีเหตุการณ์ต้องสงสัย รอง นพ.สสจ. จะเข้าไปบริหารจัดการกับเหตุการณ์นั้นๆ รวมทั้งการดูแลทรัพยากรให้เพียงพอ

“โรงพยาบาลเล็ก โรงพยาบาลใหญ่ ถ้าขาดแคลนทรัพยากร รองนายแพทย์สาธารณสุขจังหวัดจะคอยดูแลในส่วนนี้ มีการทำแผน จัดหาคอมพิวเตอร์ รวมถึงมีการประเมินโรงพยาบาลอัจฉริยะ ที่ประเมินแล้วทั่วประเทศและทุกโรงพยาบาลก็ได้คะแนนค่อนข้างดี นอกจากนี้ สธ. ยังมีนโยบายอัพเดท Software ถูกลิขสิทธิ์ จัดหาระบบความปลอดภัยไซเบอร์ให้ได้มาตรฐาน และสำรองข้อมูลกู้คืนระบบได้ทันที” นพ.สุรัคเมธ ระบุ

ด้าน นพ.พงศธร พอกเพิ่มดี รองปลัด สธ. กล่าวว่า สธ. มีนโยบายโรงพยาบาลอัจฉริยะตั้งแต่เดือน ต.ค. 2566 โดยมีหลักเกณฑ์เรื่องความปลอดภัยทางไซเบอร์และธรรมาภิบาลระบบข้อมูล เป็น 1 ใน 4 หลักเกณฑ์การประเมิน ขอให้มั่นใจว่าขณะนี้ทุกโรงพยาบาลได้ดำเนินการตามนโยบายที่จะเดินหน้าไปสู่ดิจิทัลอย่างเข้มข้น โดยมีมาตรฐาน HAIT เข้าไปผนวกด้วย ซึ่งขณะนี้เกือบ 90% ของโรงพยาบาลได้ผ่านการประเมินในระดับเงินแล้ว

อย่างไรก็ดี สธ. มีการตั้งผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง หรือเป็น Chief Information Security Officer (CISO) ซึ่งน่าจะเป็นกระทรวงแรกที่มีระบบดังกล่าวทั้งกระทรวง ดูแลตั้งแต่ระดับกระทรวง ระดับเขตสุขภาพ ระดับจังหวัด ไปจนถึงระดับโรงพยาบาล นอกจากนี้ ปลัด สธ. ก็มีนโยบายในการตั้งกลุ่มงานดิจิทัล ตั้งแต่เดือน ต.ค. 2566 ทำให้มีการจัดระบบวางกำลังคนดูแลเรื่องนี้อย่างเข้มงวด

“ใน 12 จังหวัดนำร่อง (30 บาทรักษาทุกที่ด้วยบัตรประชนใบเดียว) เรายังมีระบบพิเศษเรื่องความปลอดภัยขึ้นมาโดยเฉพาะ เรียกว่า CO-CSIRT เพื่อป้องกันใน 12 จังหวัดอย่างเข้มข้น จึงขอเน้นย้ำว่ากระทรวงสาธารณสุขได้วางเรื่องความปลอดภัยเป็นความสำคัญลำดับต้นๆ ในการขับเคลื่อนนโยบาย และขอให้ทุกท่านให้มั่นใจ” นพ.พงศธร ระบุ