สธ. เผย ข้อมูลที่ ถูกแฮก จาก เว็บไซต์สาธารณสุข ไม่ถึง 16 ล้านรายการ
กระทรวงสาธารณสุขได้ออกมาตั้งโต๊ะแถลงหลัง เว็บไซต์สาธารณสุข ถูกแฮก เผยข้อมูลที่ถูกขโมยไม่ถึง 16 ล้านรายการ และไม่ใช่ข้อมูลสำคัญ
นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (สธ.) ได้ออกมาแถลงถึงกรณีที่มีเพจเฟซบุ๊กเปิดเผยว่าเว็บกระทรวงสาธารณสุขถูกแฮกและมีข้อมูลของผู้ป่วยกว่า 16 ล้านรายการถูกขโมยไปขาย ทางกระทรวงได้ตั้งคณะกรรมการลงไปตรวจสอบข้อเท็จจริงและประเมินความเสียหาย ต้องเรียนว่า ข้อมูลที่นำไปประกาศขายไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลในการบริการผู้ป่วยปกติของ รพ.ที่เป็นฐานข้อมูลหลัก ณ วันนี้ รพ.ยังสามารถดำเนินการดูแลผู้ป่วยได้ปกติ โดยฐานข้อมูลที่ได้ไป เป็นข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่ 1 โปรแกรม เพื่ออำนวยความสะดวกให้เจ้าหน้าที่ดูแลผู้ป่วย
“ไม่เกี่ยวข้องกับฐานข้อมูล รายละเอียดการวินิจฉัย รักษาโรค หรือผลตรวจทางห้องปฏิบัติการ (แล็บ) ใดๆ ทั้งสิ้น แต่เป็นข้อมูลที่เจ้าหน้าที่เอาไปแปะไว้กับเซิร์ฟเวอร์เดียวกันกับของ รพ. เช่น ฐานข้อมูลออดิดชาร์ต ของแพทย์ ที่เมื่อแพทย์มีผู้ป่วย 1 รายนอนอยู่ที่ รพ. ต้องมีการตรวจสอบว่าชาร์ตนั้น หลังจากที่ผู้ป่วยออกจาก รพ.แล้ว ได้มีการสรุปชาร์ตแล้วหรือยัง เป็นชาร์ตของแพทย์คนใด เพื่อให้เกิดความสมบูรณ์ ตรงนี้มีฐานข้อมูลผู้ป่วยอยู่ 10,95 ราย แต่ไม่มีรายละเอียดการรักษาใดๆ มีชื่อ นามสกุล และมีข้อมูลแอดมิทเข้า-ออก รพ.เมื่อไร” นพ.ธงชัยกล่าว และว่า มีแพทย์ถูกนำเลขบัตรประชาชน 13 หลัก ออกไปด้วย
นพ.ธงชัยกล่าวว่า อีกฐานข้อมูลอื่นคือ การนัดผู้ป่วย ฐานข้อมูลคือ ตารางเวรแพทย์ การคำนวณรายจ่ายเพื่อซื้ออุปกรณ์ในการผ่าตัดแผนกออร์โธปิดิกส์ 692 ราย ฉะนั้น ยืนยันว่าฐานข้อมูลทั้งหมดไม่ได้อยู่ในฐานข้อมูลการรักษาพยาบาลทั่วไปของ รพ. และระบบยังดำเนินการได้ปกติ อย่างไรก็ตาม สธ.ได้ร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ดำเนินการตรวจสอบความเสี่ยงและแบ๊กอัพ (Back Up) ข้อมูลทั้งหมด รวมถึงตรวจสอบว่ายังมีการซ่อนอะไรในเซิร์ฟเวอร์หรือไม่
“ขอกราบขอโทษทุกท่านที่มีผู้ไม่ประสงค์ดีแฮกข้อมูล เราทราบตั้งแต่บ่ายโมงของวันอาทิตย์ (5 ก.ย.64) เมื่อรับทราบก็ได้สั่งการให้ สธ. กับกระทรวงดีอีเอส โดย สกมช. ลงไปประเมินสถานการณ์ในพื้นที่ทันทีว่าสูญเสียอย่างไร ต้องเฝ้าระวังอย่างไร แต่ย้ำว่าข้อมูลที่ถูกแฮกไปจะเป็นชื่อนามสกุล เบอร์ติดต่อ บางไฟล์ไม่มีเบอร์ แต่มีการนัดผู้ป่วย มากที่สุดคือ บอกว่าผู้ป่วยคนนี้ไดเอ็ตว่าอะไร แต่ไม่ได้ลึกถึงผลแล็บ หรือโรคประจำตัวผู้ป่วย” นพ.ธงชัยกล่าว
นพ.ธงชัยกล่าวต่อไปว่า สำหรับที่มีการรายงานข่าวออกมาว่ามีข้อมูลคนไข้ถูกนำออกไปกว่า 16 ล้านราย นั้น ไม่เป็นความจริง เฉพาะประชากรที่เพชรบูรณ์ก็ไม่ถึงล้านคนแล้ว ความจริงคือ ตัวเลข 16 ล้านนั้น เป็นตัวเลขการบันทึก 16 ล้านครั้ง แต่มีข้อมูลประชาชน 10,095 ราย ตอนนี้ได้มีการแจ้งความดำเนินคดีแล้ว มูลเหตุจูงใจนั้นไม่ทราบ
แต่พฤติกรรมของแฮกเกอร์นั้น เจาะไปทั่ว ที่ไหนมีจุดอ่อนก็เจาะเข้าไป เพื่อเอาข้อมูลไปขาย ซึ่งการแฮกข้อมูลที่ รพ.เพชรบูรณ์ ครั้งนี้ ต่างจากการแฮกข้อมูลที่ รพ.สระบุรี ซึ่งครั้งนั้นเป็นการเจาะเข้าฐานข้อมูลผู้ป่วย ไม่สามารถเปิดข้อมูล กระทบกับการให้บริการผู้ป่วย อีกทั้งยังมีการเรียกค่าไถ่ด้วย แต่เราแก้ปัญหาได้ ไม่ต้อจ่ายเงินค่าไถ่แต่อย่างใด ส่วนที่ รพ.เพชรบูรณ์ ไม่ได้เจาะเข้าระบบฐานข้อมูลสุขภาพใหญ่ ไม่ได้เรียกค่าไถ่ และไม่กระทบการให้บริการสาธารณสุข
“เรื่องนี้รองนายกรัฐมนตรี และรัฐมนตรีว่าการ สธ.ให้ความสำคัญมาก และเร่งรัดให้มีการตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพฯ คาดว่าจะตั้งได้ภายในปี 2564 โดยจะมีการหารือกันในวันนี้ (7 ก.ย.)” นพ.ธงชัยกล่าว และว่า ตรวจสอบแล้ว เจ้าหน้า รพ.เพชรบูรณ์ ไม่มีส่วนเกี่ยวข้อง
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า เซิร์เฟเวอร์ที่ถูกโจมตีเป็นส่วนที่แยกออกมาต่างหาก ใช้สำหรับประสานงานภายในของ รพ. ไม่เกี่ยวข้องกับเซิร์ฟเวอร์ที่ใช้ในการบริการผู้ป่วยโดยตรงและอยู่ในการปกป้องด้วยไฟร์วอลล์ (Fire Wall) ของ รพ. เพียงแต่ว่าการพัฒนามาจากโปรแกรมโอเพน ซอร์ส (Open source) ซึ่งอาจมีจุดอ่อนที่ทำให้สามารถบุกลุกได้ด้วยการเชื่อมต่ออินเตอร์เน็ต เมื่อ รพ.เพชรบูรณ์ ทราบเหตุก็ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมด ไม่ให้เกิดการบุกลุกและตรวจสอบความเสียหาย จากการตรวจสอบเบื้องต้น พบว่า ยังไม่ได้บุกลุกข้ามไปที่เซิร์ฟเวอร์อื่น ทั้งนี้ ศูนย์เทคโนโลยีสารสนเทศฯ ร่วมกับ สกมช. ลงไปสอบย้อนกลับหาเหตุปัจจัย
“การที่ข้อมูลรั่วไหลครั้งนี้ ผู้กระทำการไม่ได้เรียกร้องเงินหรือทรัพย์สินใดๆ ของ รพ. แต่มีการนำไปประกาศขายบนเว็บไซต์” นพ.อนันต์กล่าว
นพ.อนันต์ กล่าวถึงมาตรการหลังจากเหตุการณ์นี้ ว่า ส่วนของ รพ.จะต้องทบทวนมาตรการ ความเสี่ยงต่างๆ ประเมินสินทรัพย์ที่มีความเสี่ยงสูง และจัดการให้ระบบมั่นคงปลอดภัยกว่าเดิม สิ่งสำคัญคือ การสร้างความตระหนักรู้กับบุคลากรที่ใช้งานระบบ ให้ใส่ใจเข้มงวดกับกระบวนการต่างๆ ตามมาตรการ
ส่วนภาพใหญ่ของ สธ. เราจะดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อดูแลส่วนหน่วยของ สธ. และรพ.อื่นในภาคสุขภาพตลอดเวลา และอยู่ในระหว่างการตั้งหน่วยงานตอบโต้เหตุการณ์ฉุกเฉิน โดยมีความเชื่อมโยงกับ กสมช. อยู่แล้ว เดิมการ กมช.ดูแลทั้งหมด แต่ด้วยเห็นว่าภาคสุขภาพมีความอ่อนไหวสูง และมีหน่วยจำนวนมากภายใต้ พ.ร.บ.สุขภาพแห่งชาติ จึงเสนอให้ สธ. ดำเนินการในส่วนนี้ เพื่อให้ตอบสนองทันต่อเหตุการณ์