ผู้เขียน หัวข้อ: สธ.ถูกแฮกเกอร์เจาะระบบข้อมูลคนไข้ อนุทินสั่งปลัดจัดการ  (อ่าน 102 ครั้ง)

story

  • Staff
  • Hero Member
  • ****
  • กระทู้: 8247
    • ดูรายละเอียด
เพจช่วยกันเปิดข้อมูล กระทรวงสาธารณสุขถูกแฮกข้อมูลคนไข้ ล่าสุด “อนุทิน” ทราบเรื่องแล้ว สั่งปลัดจัดการ เตรียมแถลงข่าวบ่ายนี้

วันที่ 7 กันยายน 2564 ผู้สื่อข่าวรายงานว่า วานนี้ (6 ก.ย.) เพจเฟซบุ๊ก น้องปอสาม ที่นำเสนอข้อมูลด้านพลังงานเพื่อการรับรู้ที่ไม่บิดเบือน มีผู้ติดตามกว่า 7 หมื่นคน ได้โพสต์อ้างว่า ข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก ระบุว่า ไม่แน่ใจมีใครนำเสนอเรื่องนี้ยัง ตอนนี้เราไปสนใจเรื่อง พส.กันหมด แต่เรื่องนี้ก็สำคัญ ข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก โดยมีการเรียกค่าไถ่ด้วย

เว็บไซต์ Raidforums.com ก่อนหน้าได้มีการ Hack พวกเว็บ e-commerce ขายของรายใหญ่ไปแล้ว คราวนี้ได้มี Hack และโพสต์ขายข้อมูลของคนไข้ของกระทรวงสาธารณสุข โดยประกอบไปด้วย

ข้อมูลผู้ป่วย-ที่อยู่-โทรศัพท์-รหัสประจำตัว-มือถือ-วันเดือนปีเกิด-ชื่อบิดา-ชื่อโรงพยาบาล-ข้อมูลแพทย์ทั้งหมด-ชื่อโรงพยาบาล-และรหัสผ่านทั่วไปของระบบโรงพยาบาลและข้อมูลที่น่าสนใจทั่วไป มีภาพตัวอย่างข้อมูลค่อนข้างละเอียดนะครับ ไม่แน่ใจว่าจริงหรือไม่

ในเวลาต่อมาเพจ Drama-addict ให้ข้อมูลเรื่องนี้เพิ่มเติมว่า จากประเด็นข้อมูลคนไข้ถูกแฮกของเพจ น้องปอสาม ข้างในเป็นฐานข้อมูลคนไข้ ประกอบด้วย ชื่อคนไข้ เบอร์โทร. ที่อยู่ ชื่อหมอที่รักษา ชื่อแผนก ชื่อ รพ. รวมทั้งสิ้น 16 ล้านข้อมูล ไม่รู้ว่าแฮกเกอร์ไปแฮกมาจากไหน แต่เอาไปขายกันสนุกเลยข้อมูลนี้ แถมขายถูกด้วย พับผ่าสิวะ ถ้าพวกเว็บพนันซื้อไปนี่เดี๋ยวได้ sms ชวนเล่นการพนันกันรัว ๆ แน่ทั้งสิบหกล้านคนนั่น

ล่าสุด มติชน รายงานว่า นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (สธ.) ให้สัมภาษณ์เรื่องนี้ที่ทำเนียบรัฐบาลว่า เรื่องเกิดขึ้นที่จังหวัดเพชรบูรณ์ และเคยเกิดที่สระบุรี หลังจากทราบข่าวได้มอบหมายให้ปลัดกระทรวงสาธารณสุขดำเนินการ และได้มีการสั่งการเรียบร้อยแล้ว ที่ทราบมาข้อมูลที่ถูกโจรกรรมเป็นข้อมูลเบื้องต้นทั่ว ๆ ไป ไม่ได้เป็นความลับอะไร

เมื่อถูกถามเรื่องการปรับมาตรการ เนื่องจากเหตุการณ์เกิดขึ้นเป็นครั้งที่สองแล้ว นายอนุทินตอบว่า หลังจากนี้จะปรับมาตรการทางปลอดภัยทางไซเบอร์เพิ่มขึ้น

“เราไม่คิดจะมีคนคิดทำได้ขนาดนี้ แต่เชื่อว่าโรงพยาบาลจะมีการจัดข้อมูลชั้นความลับของคนไข้ ซึ่งเป็นเรื่องที่สำนักปลัดกระทรวงต้องไปแก้ไขให้สอดคล้องกับสถานการณ์อยู่ ไม่ตื่นตระหนกอะไร”

ผู้สื่อข่าวรายงานเพิ่มเติมว่า นายแพทย์ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข จะแถลงกรณีการแฮกข้อมูลผู้ป่วยอย่างเป็นทางการอีกครั้งในวันนี้ (7 ก.ย.) เวลา 13.30 น. ณ ห้องประชุมไพจิตรปวะบุตร ชั้น 9 อาคาร 7 กระทรวงสาธารณสุข

1 กันยายน 2564
https://www.prachachat.net/marketing/news-755382

story

  • Staff
  • Hero Member
  • ****
  • กระทู้: 8247
    • ดูรายละเอียด
รองเลขาธิการสำนักงานคณะกรรมการไซเบอร์ ชี้แจงกรณีเพจ “น้องปอสาม” เผยมีแฮกเกอร์ นำข้อมูลบัญชีรายชื่อคนไข้กระทรวงสาธารณสุข 16 ล้านคน ปล่อยขายว่อนเว็บ Raidforums

วันที่ 7 กันยายน 2564 ผู้สื่อข่าวรายงานว่า เฟซบุ๊กเพจ น้องปอสาม เพจนำเสนอข้อมูลด้านพลังงานเพื่อการรับรู้ที่ไม่บิดเบือน ได้เผยแพร่ขอมูลเรื่องคนไข้ของกระทรวงสาธารณสุข (สธ.) โดนแฮก พร้อมระบุข้อความ ดังนี้ ไม่แน่ใจมีใครนำเสนอเรื่องนี้ยัง ตอนนี้เราไปสนใจเรื่อง พส กันหมด แต่เรื่องนี้ก็สำคัญ ข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮค โดยมีการเรียกค่าไถ่ด้วย

เว็บไซต์ Raidforums.com ก่อนหน้าได้มีการ Hack พวกเว็บ e-commerce ขายของรายใหญ่ไปแล้ว คราวนี้ได้มี Hack และโพสต์ขายข้อมูลของคนไข้ของกระทรวงสาธารณสุข โดยประกอบไปด้วย

ข้อมูลผู้ป่วย – ที่อยู่ – โทรศัพท์ – รหัสประจำตัว – มือถือ – วันเดือนปีเกิด – ชื่อบิดา – ชื่อโรงพยาบาล – ข้อมูลแพทย์ทั้งหมด – ชื่อโรงพยาบาล – และรหัสผ่านทั่วไปของระบบโรงพยาบาลและข้อมูลที่น่าสนใจทั่วไป มีภาพตัวอย่างข้อมูลค่อนข้างละเอียดนะครับ ไม่แน่ใจว่าจริงหรือไม่

ซึ่งข้อมูลที่แฮกเกอร์คนดังกล่าวนำมาขาย มีขนาดฐานข้อมูลอยู่ที่ 3.7 กิ๊กะไบท์ และปรากฏบัญชีรายชื่อคนไข้จำนวน 16 ล้านราย

ต่อกรณีที่เกิดขึ้นดังกล่าว น.อ.อมร ชมเชย รองเลขาธิการสำนักงานคณะกรรมการไซเบอร์ ได้ให้สัมภาษณ์ผ่านทางรายการ เจาะลึกทั่วไทย Inside Thailand ทางช่อง MCOT HD ถึงการตรวจสอบเบื้องต้นของการแฮกที่เกิดขึ้น ระบุว่า เหตุการณ์ที่เกิดขึ้นนี้ มีหน่วยงานที่เฝ้าระวังอยู่แล้ว โดยเว็บไซต์ raidforums นี้ ไม่นับว่าเป็นดาร์คเว็บ (Dark Web) แต่เป็นเว็บที่แฮกเกอร์มักนำข้อมูลมาขาย

น.อ.อมร เปิดเผยว่า ยังไม่ทราบว่าเริ่มต้นเมื่อไหร่ แต่มีการประกาศขายข้อมูลในวันที่ 5 กันยายน หลังจากนั้นจึงได้ตรวจสอบอย่างไม่ล่าช้า ได้ตรวจสอบไปจนถึงทางโรงพยาบาลที่เกี่ยวข้องโดยการเทียบกับข้อมูลที่มีอยู่ พบว่าขนาดฐานข้อมูลมีประมาณ 3.7 GB (กิ๊กะไบท์) จริง

ในส่วนของคำว่า Record ในที่นี้ไม่ใช่จำนวนของคนไข้ แต่เวลาแฮกเกอร์จะขายก็จะขายให้น่าสนใจเกินจริง จึงนับจำนวนตารางบรรทัดทั้งหมดในโปรแกรม Microsoft Excel เป็นที่มาคำพูดของแฮกเกอร์ “16 ล้าน Records”

ต่อคำถามที่ว่า การแฮกเกิดจากโรงพยาบาลใด น.อ.อมร เปิดเผยว่า กำลังพูดคุยกับทางโรงพยาบาล เพื่อเตรียมให้ความชัดเจน แต่ขออนุญาตยังไม่บอกชื่อโรงพยาบาล บอกได้เพียงแค่ว่าเป็นโรงพยาบาลรัฐฯ และถูกแฮกจากโรงพยาบาลเดียวเท่านั้น

“ตัวผมคิดว่าพอเราตรวจสอบไปแล้ว มันเป็นระบบที่เขาเอามาใช้บริหารจัดการภายในโรงพยาบาล เพื่อไม่ให้เกิดความสับสนเมื่อเวลาที่คุณหมอคนไหน ดูแลคนไข้คนไหนแล้วเอาตัวชาร์ตไปสรุปเนี่ย ตัวชาร์ตที่ว่าจะไม่สับสนในเรื่องของการหล่นหาย Records จริง ๆ จะประมาณ 1 หมื่น Records ที่เกี่ยวข้องกับคนไข้ที่เขาเอาตัวอย่างมาให้ดูที่ปรากฎชื่อคนไข้ ชื่อหมอ ออกมา 1 หมื่น Records” น.อ.อมร กล่าว

ต่อคำถามที่ว่า ใน 1 หมื่น Records นั้นเป็นคนไทยประมาณกี่คน น.อ.อมร กล่าวว่า ในส่วนนี้ต้องไปตรวจสอบก่อน แต่เบื้องต้นน่าจะไม่เกิน 1 หมื่นคน และสิ่งที่ปรากฎในข้อมูลจะเป็น ชื่อคนไข้ หมายเลขคนไข้ ชื่อคุณหมอ จะไม่มีเลขบัตรประชาชนของคนไข้ ในส่วนของโรคที่เป็นจะระบุเพียงว่าอยู่ในวอร์ดไหน ไม่ได้ลงลึกว่าป่วยเป็นโรคอะไร

“เพราะว่าเป็นเรื่องระบบการบริหารจัดการภายใน ที่จะเพิ่มประสิทธิภาพภายในของเขาเอง ระบบนี้ไม่ได้ตั้งใจให้เข้าได้จากทางของพับลิค แต่ในช่วงของการพัฒนาอาจจะมีข้อผิดพลาดในเรื่องกระบวนการความปลอดภัย อาจจะเกิดจากความคาดไม่ถึงของผู้ที่ดำเนินการตรงนี้” น.อ.อมร กล่าวเพิ่มเติม


ต่อคำถามที่ว่า มีคนทดลองเข้าไปชมข้อมูลที่ถูกประกาศขาย ปรากฎว่าได้เห็นทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ วันเกิด ชื่อบิดามารดา ชื่อหมอ รหัสผ่านทั่วไป นั่นแปลว่าข้อมูลส่วนตัวของคนไข้ถูกเปิดเผยหมดแล้ว น.อ.อมร ระบุว่า ตรงนี้ไม่น่าจะเป็นไปได้ แต่ตนไม่ได้เห็นว่าคนที่กล่าวเรื่องดังกล่าวได้มีข้อมูลอะไร เพราะว่าตนได้พยายามทดลอง และพูดคุยเพื่อตรวจสอบให้ได้ความจริง แต่ก็ไม่ได้รับการติดต่อกลับมา แต่สิ่งที่ได้ตรวจสอบจากทางโรงพยาบาลที่ได้ยอมรับแล้วว่าเป็นข้อมูลจริง ได้มีการตรวจสอบตามนี้

น.อ.อมร เปิดเผยว่า เว็บไซต์ดังกล่าวเป็นของต่างประเทศ แต่ยังไม่ทราบว่าประเทศไหน ต้องตรวจสอบเพิ่มเติม โดยเบื้องต้นเว็บเช่นนี้ หากมีคนสนใจในด้านนี้ ต่อให้บล็อคการเข้าถึงจากช่องทางปกติ ก็ยังมีโอกาสคนมุดผ่าน vpn หรือช่องทางอื่นใดในการเข้าถึงอยู่ดี และในสิ่งที่เขาประกาศขายกัน ถ้าคนไทยเข้าถึงไม่ได้ คนต่างชาติก็เข้าได้อยู่ดี

“ฉะนั้น ในการจัดการด้วยการบล็อคจะไม่ใช่หนทางที่จะแก้ปัญหาได้ทั้งหมด เราควรจะมอนิเตอร์ดูอย่างใกล้ชิดว่าเมื่อไหรที่แฮกเกอร์นำอะไรออกมาเผยแพร่ เราก็จะได้รับรู้ผ่านช่องทางนี้เลยแล้วจะได้แก้ไข แต่แน่นอนที่สุดว่าการป้องกันดีที่สุดอยู่แล้ว แล้วเราต้องเน้นย้ำให้ทุกคนยกระดับในการป้องกัน แต่สิ่งที่ดีที่สุดถัดมาก็คือการรู้ว่าอะไรมันรั่วไหลและเสียหาย แล้วประเมินด้วยข้อเท็จจริงที่ถูกต้องและจัดการในหนทางที่ถูกต้อง ก็จะดีกว่าการพยายามไล่ปิดเว็บ” น.อ.อมร กล่าว

ต่อคำถามที่ว่า ทางโรงพยาบาลทราบแล้วหรือไม่ว่าระบบฐานข้อมูลมีรูรั่ว น.อ.อมร กล่าวว่า ทราบแล้ว และเบื้องต้นได้นำระบบที่เป็นปัญหาดังกล่าวออกไปจากการใช้งานแล้ว ได้มีการตรวจสอบร่วมมือกันอย่างใกล้ชิด อีกทั้ง กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และ กระทรวงสาธารณสุขก็ได้เข้าไปพูดคุยกับทีมไอทีของโรงพยาบาลนี้แล้ว

น.อ.อมร เปิดเผยเพิ่มเติมว่า เขาไม่ได้สิทธิ์ของการเป็นแอดมินระบบ ไม่มีการเข้ารหัสข้อมูล ไม่มีการเรียกค่าไถ่ไปยังโรงพยาบาลแห่งนี้ แค่นำข้อมูลไปขายในอินเทอร์เน็ตเพียงเท่านั้น


7 กันยายน 2564
https://www.prachachat.net/ict/news-755375

story

  • Staff
  • Hero Member
  • ****
  • กระทู้: 8247
    • ดูรายละเอียด
สธ.รับมือดีแฮกข้อมูล รพ.เพชรบูรณ์ ชื่อ เบอร์ เลข 13 หลัก แพทย์ เอาไปขายจริง ยัน จนท.ไม่เกี่ยว อนุทิน สั่งตั้งศูนย์เฝ้าระวังไซเบอร์ภาคสุขภาพฯ
เมื่อวันที่ 7 กันยายน นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (สธ.) แถลงกรณีพบมีการแฮกข้อมูลผู้ป่วยจากโรงพยาบาล (รพ.) ในสังกัด สธ.ว่า ตามที่มีรายงานข่าวว่ามีการขายข้อมูลผู้ป่วยของ รพ.เพชรบูรณ์ ผ่านอินเตอร์เน็ต เมื่อวันที่ 5 กันยายน 2564 โดยในวันเดียวกัน จึงได้ตั้งคณะกรรมการลงไปตรวจสอบข้อเท็จจริงและประเมินความเสียหาย ต้องเรียนว่า ข้อมูลที่นำไปประกาศขายไม่ได้เป็นข้อมูลที่อยู่ในระบบฐานข้อมูลในการบริการผู้ป่วยปกติของ รพ.ที่เป็นฐานข้อมูลหลัก ณ วันนี้ รพ.ยังสามารถดำเนินการดูแลผู้ป่วยได้ปกติ โดยฐานข้อมูลที่ได้ไป เป็นข้อมูลที่เจ้าหน้าที่ได้ทำโปรแกรมขึ้นมาใหม่ 1 โปรแกรม เพื่ออำนวยความสะดวกให้เจ้าหน้าที่ดูแลผู้ป่วย

“ไม่เกี่ยวข้องกับฐานข้อมูล รายละเอียดการวินิจฉัย รักษาโรค หรือผลตรวจทางห้องปฏิบัติการ (แล็บ) ใดๆ ทั้งสิ้น แต่เป็นข้อมูลที่เจ้าหน้าที่เอาไปแปะไว้กับเซิร์ฟเวอร์เดียวกันกับของ รพ. เช่น ฐานข้อมูลออดิดชาร์ต ของแพทย์ ที่เมื่อแพทย์มีผู้ป่วย 1 รายนอนอยู่ที่ รพ. ต้องมีการตรวจสอบว่าชาร์ตนั้น หลังจากที่ผู้ป่วยออกจาก รพ.แล้ว ได้มีการสรุปชาร์ตแล้วหรือยัง เป็นชาร์ตของแพทย์คนใด เพื่อให้เกิดความสมบูรณ์ ตรงนี้มีฐานข้อมูลผู้ป่วยอยู่ 10,95 ราย แต่ไม่มีรายละเอียดการรักษาใดๆ มีชื่อ นามสกุล และมีข้อมูลแอดมิทเข้า-ออก รพ.เมื่อไร” นพ.ธงชัยกล่าว และว่า มีแพทย์ถูกนำเลขบัตรประชาชน 13 หลัก ออกไปด้วย

นพ.ธงชัยกล่าวว่า อีกฐานข้อมูลอื่นคือ การนัดผู้ป่วย ฐานข้อมูลคือ ตารางเวรแพทย์ การคำนวณรายจ่ายเพื่อซื้ออุปกรณ์ในการผ่าตัดแผนกออร์โธปิดิกส์ 692 ราย ฉะนั้น ยืนยันว่าฐานข้อมูลทั้งหมดไม่ได้อยู่ในฐานข้อมูลการรักษาพยาบาลทั่วไปของ รพ. และระบบยังดำเนินการได้ปกติ อย่างไรก็ตาม สธ.ได้ร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ดำเนินการตรวจสอบความเสี่ยงและแบ๊กอัพ (Back Up) ข้อมูลทั้งหมด รวมถึงตรวจสอบว่ายังมีการซ่อนอะไรในเซิร์ฟเวอร์หรือไม่

“ขอกราบขอโทษทุกท่านที่มีผู้ไม่ประสงค์ดีแฮกข้อมูล เราทราบตั้งแต่บ่ายโมงของวันอาทิตย์ (5 ก.ย.64) เมื่อรับทราบก็ได้สั่งการให้ สธ. กับกระทรวงดีอีเอส โดย สกมช. ลงไปประเมินสถานการณ์ในพื้นที่ทันทีว่าสูญเสียอย่างไร ต้องเฝ้าระวังอย่างไร แต่ย้ำว่าข้อมูลที่ถูกแฮกไปจะเป็นชื่อนามสกุล เบอร์ติดต่อ บางไฟล์ไม่มีเบอร์ แต่มีการนัดผู้ป่วย มากที่สุดคือ บอกว่าผู้ป่วยคนนี้ไดเอ็ตว่าอะไร แต่ไม่ได้ลึกถึงผลแล็บ หรือโรคประจำตัวผู้ป่วย” นพ.ธงชัยกล่าว

นพ.ธงชัยกล่าวต่อไปว่า สำหรับที่มีการรายงานข่าวออกมาว่ามีข้อมูลคนไข้ถูกนำออกไปกว่า 16 ล้านราย นั้น ไม่เป็นความจริง เฉพาะประชากรที่เพชรบูรณ์ก็ไม่ถึงล้านคนแล้ว ความจริงคือ ตัวเลข 16 ล้านนั้น เป็นตัวเลขการบันทึก 16 ล้านครั้ง แต่มีข้อมูลประชาชน 10,095 ราย ตอนนี้ได้มีการแจ้งความดำเนินคดีแล้ว มูลเหตุจูงใจนั้นไม่ทราบ แต่พฤติกรรมของแฮกเกอร์นั้น เจาะไปทั่ว ที่ไหนมีจุดอ่อนก็เจาะเข้าไป เพื่อเอาข้อมูลไปขาย ซึ่งการแฮกข้อมูลที่ รพ.เพชรบูรณ์ ครั้งนี้ ต่างจากการแฮกข้อมูลที่ รพ.สระบุรี ซึ่งครั้งนั้นเป็นการเจาะเข้าฐานข้อมูลผู้ป่วย ไม่สามารถเปิดข้อมูล กระทบกับการให้บริการผู้ป่วย อีกทั้งยังมีการเรียกค่าไถ่ด้วย แต่เราแก้ปัญหาได้ ไม่ต้อจ่ายเงินค่าไถ่แต่อย่างใด ส่วนที่ รพ.เพชรบูรณ์ ไม่ได้เจาะเข้าระบบฐานข้อมูลสุขภาพใหญ่ ไม่ได้เรียกค่าไถ่ และไม่กระทบการให้บริการสาธารณสุข

“เรื่องนี้รองนายกรัฐมนตรี และรัฐมนตรีว่าการ สธ.ให้ความสำคัญมาก และเร่งรัดให้มีการตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพฯ คาดว่าจะตั้งได้ภายในปี 2564 โดยจะมีการหารือกันในวันนี้ (7 ก.ย.)” นพ.ธงชัยกล่าว และว่า ตรวจสอบแล้ว เจ้าหน้า รพ.เพชรบูรณ์ ไม่มีส่วนเกี่ยวข้อง
ด้าน นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า เซิร์เฟเวอร์ที่ถูกโจมตีเป็นส่วนที่แยกออกมาต่างหาก ใช้สำหรับประสานงานภายในของ รพ. ไม่เกี่ยวข้องกับเซิร์ฟเวอร์ที่ใช้ในการบริการผู้ป่วยโดยตรงและอยู่ในการปกป้องด้วยไฟร์วอลล์ (Fire Wall) ของ รพ. เพียงแต่ว่าการพัฒนามาจากโปรแกรมโอเพน ซอร์ส (Open source) ซึ่งอาจมีจุดอ่อนที่ทำให้สามารถบุกลุกได้ด้วยการเชื่อมต่ออินเตอร์เน็ต เมื่อ รพ.เพชรบูรณ์ ทราบเหตุก็ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมด ไม่ให้เกิดการบุกลุกและตรวจสอบความเสียหาย จากการตรวจสอบเบื้องต้น พบว่า ยังไม่ได้บุกลุกข้ามไปที่เซิร์ฟเวอร์อื่น ทั้งนี้ ศูนย์เทคโนโลยีสารสนเทศฯ ร่วมกับ สกมช. ลงไปสอบย้อนกลับหาเหตุปัจจัย

“การที่ข้อมูลรั่วไหลครั้งนี้ ผู้กระทำการไม่ได้เรียกร้องเงินหรือทรัพย์สินใดๆ ของ รพ. แต่มีการนำไปประกาศขายบนเว็บไซต์” นพ.อนันต์กล่าว

นพ.อนันต์ กล่าวถึงมาตรการหลังจากเหตุการณ์นี้ ว่า ส่วนของ รพ.จะต้องทบทวนมาตรการ ความเสี่ยงต่างๆ ประเมินสินทรัพย์ที่มีความเสี่ยงสูง และจัดการให้ระบบมั่นคงปลอดภัยกว่าเดิม สิ่งสำคัญคือ การสร้างความตระหนักรู้กับบุคลากรที่ใช้งานระบบ ให้ใส่ใจเข้มงวดกับกระบวนการต่างๆ ตามมาตรการ ส่วนภาพใหญ่ของ สธ. เราจะดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ภาคสุขภาพ เพื่อดูแลส่วนหน่วยของ สธ. และรพ.อื่นในภาคสุขภาพตลอดเวลา และอยู่ในระหว่างการตั้งหน่วยงานตอบโต้เหตุการณ์ฉุกเฉิน โดยมีความเชื่อมโยงกับ กสมช. อยู่แล้ว เดิมการ กมช.ดูแลทั้งหมด แต่ด้วยเห็นว่าภาคสุขภาพมีความอ่อนไหวสูง และมีหน่วยจำนวนมากภายใต้ พ.ร.บ.สุขภาพแห่งชาติ จึงเสนอให้ สธ. ดำเนินการในส่วนนี้ เพื่อให้ตอบสนองทันต่อเหตุการณ์

ทั้งนี้ นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ (สช.) กล่าวถึงความผิดในการเข้าถึงข้อมูลผู้ป่วยจากบุคคลภายนอก ว่า การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ที่มี พ.ร.บ.สุขภาพแห่งชาติ พ.ศ.2550 มาตรา 7 ที่ระบุชัดเจนว่า ส่วนมูลส่วนบุคคล เป็นความลับส่วนบุคคล ผู้ใดที่นำไปเปิดเผยทำให้บุคคลเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรงที่เจ้าตัวยินยอม หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย แต่ในกรณีใดๆ ก็ตาม ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารทางราชการ หรือกฎหมายอื่นเพื่อขอข้อมูลเอกสารเกี่ยวกับสุขภาพบุคคลที่ไม่ใช่ของตนไม่ได้

“นี่คือสาระสำคัญในมาตรา 7 ที่ระบุไว้ในการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้ป่วย โดยหลักแล้วข้อมูลสุขภาพบุคคลถือเป็นความลับ จะเปิดเผยไม่ได้เว้นแต่เจ้าตัวยินยอม จากกรณีดังกล่าวเห็นได้ชัดเจนว่าอาจทำให้เกิดความเสียหายกับบุคคลได้ ดังนั้น การกระทำในลักษณะนี้ หากมีความเสียหายเกิดขึ้น ถือเป็นการละเมิดสิทธิส่วนบุคคล” นายสุทธิพงษ์กล่าว

นายสุทธิพงษ์กล่าวว่า มาตรา 49 ได้ระบุโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ ส่วนความผิดในมาตรา 7 ดังกล่าว เป็นความผิดยอมความได้ หมายถึงว่า ผู้เสียหายสามารถเจรจาไกล่เกลี่ยกับผู้ละเมิดกฎหมายแทนการดำเนินคดีได้ นอกจากนี้ ยังมีกฎหมายอื่นหลายฉบับที่เกี่ยวข้อง เช่น พ.ร.บ.คอมพิวเตอร์ พ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นต้น

7 กันยายน 2564
https://www.matichon.co.th/local/quality-life/news_2927320

story

  • Staff
  • Hero Member
  • ****
  • กระทู้: 8247
    • ดูรายละเอียด
ผู้จัดการสุดสัปดาห์ -  ประเด็นความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) กลับมาเป็นที่สนใจของสังคมอีกครั้ง เมื่อข้อมูลขององค์กรด้านสาธารณสุขถูกโจมตีอย่างต่อเนื่องถึง 2 ครั้ง 2 คราด้วยกันคือ “โรงพยาบาลเพชรบูรณ์” และ “สถาบันโรคไตภูมิราชนครินทร์” จนทำให้เกิดคำถามตามมาว่า เพราะเหตุใดองค์กรเหล่านี้ถึงตกเป็นเป้าของเหล่า “แฮกเกอร์” บ่อยครั้งขึ้น รวมทั้งมีคำถามไปถึงรัฐบาลไทย โดยเฉพาะ “กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม” ว่าจะรับมือกับ “มัลแวร์เรียกค่าไถ่” ที่กำลังเกิดระบาดในองค์กรรัฐอย่างไร

สำหรับเหตุการณ์แรกตามรายงานข่าวระบุว่า เมื่อวันที่ 5 ก.ย. 2564 พบการขายบนเว็บไซต์ RaidForums ซึ่งเป็นเหมือนแหล่งขายข้อมูล ฐานข้อมูลมีจำนวน 3.7 GB ในส่วนของ Record ทั้งหมด รูปแบบนั้นแฮกเกอร์ใช้วิธีนับจำนวนตารางทั้งหมดรวม 16 ล้าน Record แต่ไม่ใช่ข้อมูลของ 16 ล้านคน โดยมีข้อมูลเพียงชื่อคนไข้ หมายเลขคนไข้ และชื่อแพทย์ที่ดูแล ไม่ปรากฏหมายเลขบัตรประชาชน ส่วนโรคต่างๆ จะปรากฏแค่วอร์ดคนไข้ ไม่มีข้อมูลที่ระบุโรค โดยมีข้อมูลคนไข้ไม่เกิน 10,000 ราย

ทั้งนี้ นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (สธ.) ยอมรับว่าข้อมูลดังหลุดจริงเหตุเกิดที่โรงพยาบาลเพชรบูรณ์ แต่ไม่พบมีการเรียกค่าไถ่กับโรงพยาบาล อย่างไรก็ตามได้กำชับให้ทางกระทรวงฯ เข้มงวดในเรื่องความปลอดภัยทางไซเบอร์ เพราะโรงพยาบาลถือเป็นเป้าหมายสำคัญของการเรียกค่าไถ่ไซเบอร์

เวลาไล่เรี่ยกัน “โรงพยาบาลสถาบันโรคไตภูมิราชนครินทร์” ก็ถูกแฮกโดยลักษณะคล้ายคลึงกับโรงพยาบาลเพชรบูรณ์ เป็นข้อมูลของผู้ป่วยแต่คราวนี้เป็นข้อมูลเชิงลึกเกี่ยวกับการเอกซเรย์ การฟอกไต และการจ่ายยา ข้อมูลคนไข้หลุดกว่า 40,000 ราย จากทั้งหมด 100,000 ราย ซึ่งทางโรงพยาบาลมีการปรับปรุงข้อมูล จึงอาจเป็นช่องโหว่ทำให้มีผู้กระทำผิดเจาะข้อมูล โดยคาดว่าผู้ก่อเหตุ เจาะระบบด้วยวิธีการรีโมตมาจากภายนอกโรงพยาบาล

อย่างไรก็ตาม เหตุการณ์คล้ายกันนี้เคยเกิดขึ้นมาแล้วเมื่อปี 2563 ที่ “โรงพยาบาลสระบุรี โดยมีรายงานว่าระบบถูกโจมตีโดย Ransomware มัลแวร์ค่าไถ่เพื่อแลกกับการยกเลิกการปิดกั้นข้อมูล และถูกเรียกค่าไถ่เป็นจำนวนถึง 200,000 บิตคอยน์ หรือราว 6.3 หมื่นล้านบาท เพื่อแลกเปลี่ยนกับการคืนข้อมูล โดยสร้างความโกลาหลทำให้ระบบคอมพิวเตอร์ของโรงพยาบาลขัดข้อง และบริการคนไข้อย่างล่าช้า เพราะระบบค้นหาประวัติเก่าใช้การไม่ได้

ข้อมูลน่าสนใจ  นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ โรงพยาบาลรามาธิบดี ได้ออกมาเปิดเผยว่า โรงพยาบาลในประเทศไทยโดน Ransomware หรือ มัลแวร์เรียกค่าไถ่ กันเป็นระยะๆ ซึ่งจะเข้ารหัสข้อมูลสำคัญและเรียกค่าไถ่ในจำนวนเงินที่สูงเพื่อแลกกับการได้ข้อมูลคืน

นอกจากนี้ ยังมีกระแสข่าวมูลกองทัพบกหลุด ซึ่งเป็นข้อมูลที่เผยแพร่ข้อมูลข่าวสาร ประชาสัมพันธ์ของหน่วยงาน แต่ไม่ใช่ระบบป้องกันประเทศ รวมทั้งภาคเอกชน ล่าสุด มีการตรวจพบข้อมูลของ CP Freshmart ถูกแฮก ประกอบด้วยข้อมูลค้ากว่า 6 แสนรายการ ประกอบด้วย ชื่อ ที่อยู่ หมายเลขโทรศัพท์ อีเมล แต่ไม่มีข้อมูลบัตรเครดิตหรือข้อมูลด้านการเงิน

นายชัยวุฒิ ธมาคมานุสรณ์  รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) แถลงข่าวถึงกรณีการโจมตีข้อมูลระบบของโรงพยาบาลเพชรบูรณ์ว่า เป็นระบบโรงพยาบาลใช้มาหลายปีแล้ว เป็นระบบ Chart audit ไว้ตรวจสอบการทำงานของแพทย์ เมื่อเชื่อมต่ออินเทอร์เน็ตและซอฟต์แวร์ไม่ได้มาตรฐาน จึงทำให้ถูกโจมตีอย่างที่เป็นข่าว

สำหรับการรับมือความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) กระทรวงดีอีเอสได้ย้ำมาตรการเบื้องต้นใหห้ทุกหน่วยงานรัฐพัฒนาซอฟท์แวร์ที่ปลอดภัยที่เพียงพอ และขั้นตอนต่อไปคือการเฝ้าระวังเพิ่มเติม โดยระบบ ThaiCert จะต้องประสานงานกับทุกส่วนราชการที่เก็บข้อมูลสำคัญ และข้อมูลส่วนบุคคล ว่าต้องการให้เฝ้าระวังอะไรบ้าง โดยที่ผ่านมาได้เฝ้าระวัง 250 หน่วยงานแล้ว แต่ยังไม่ได้หยิบยกโรงพยาบาลระดับจังหวัดเข้ามาอยู่ในระบบเฝ้าระวังอยู่ระหว่างพัฒนาระบบต่อไป

ประเด็นสำคัญ โรงพยาบาลหรือหน่วยงานที่มีข้อมูลส่วนบุคคลมากๆ หากไม่ระมัดระวัง ไม่ใช้ระบบที่มีความมั่นคงปลอดภัยเพียงพอ ก็มีความผิดด้วยเช่นกัน โดยเมื่อนำข้อมูลส่วนบุคคลไปใช้ก็ต้องระมัดระวังเรื่องความปลอดภัย และควรมีการปรับปรุงระบบอย่างต่อเนื่อง ซึ่งดีอีเอสจะมีระบบ ThaiCert (Computer Emergency Response Team) และ GovernmentCert อยู่แล้ว จึงขอให้ทุกหน่วยงานรัฐร่วมใช้ระบบนี้ เพื่อสร้างความปลอดภัยเรื่องฐานข้อมูลส่วนบุคคลต่อไป

นอกจากนี้ สำนักงานตำรวจแห่งชาติ ได้เตือนภัยประชาชนกรณีแฮกเกอร์เรียกค่าไถ่ข้อมูลเป็นเรื่องใกล้ตัว โดย  พ.ต.อ.กฤษณะ พัฒนเจริญ  รองโฆษกสำนักงานตำรวจแห่งชาติ ระบุว่าการเรียกค่าไถ่ข้อมูลหรือ Ransomware อาชญากรรมรูปแบบใหม่ที่เกิดขึ้นพร้อมๆ กับเทคโนโลยีที่พัฒนาอย่างรวดเร็ว

โดยเฉพาะในช่วงการแพร่ระบาดของเชื้อโควิด-19 ที่หลายคนต้องทำงานผ่านคอมพิวเตอร์และสื่อออนไลน์ รวมถึงบริษัทต่างๆ ต้องมีการป้องกันและพร้อมรับมือกับอาชญากรรมรูปแบบดังกล่าว ไม่เช่นนั้นท่านอาจจะตกเป็นเหยื่อได้โดยง่าย

รูปแบบของการเรียกค่าไถ่ข้อมูลหรือ Ransomware จะแฝงตัวมาในรูปแบบของอีเมลล์ที่แนบลิงค์มาด้วย หรือลิงค์ที่แอบแฝงอยู่ในโฆษณาบนเว็บไซต์ต่างๆ เมื่อเหยื่อกดเข้าไปที่ลิงค์ดังกล่าว ก็จะเป็นการรับเอามัลแวร์เข้ามาในเครื่องคอมพิวเตอร์โดยไม่รู้ตัว


X


จากนั้นมัลแวร์ก็จะแพร่กระจายไปยังข้อมูลต่างๆ เมื่อมัลแวร์ได้แพร่กระจายไปครอบคลุมข้อมูลที่บรรดาแฮกเกอร์ต้องการแล้ว ก็จะล็อกข้อมูลดังกล่าว ไม่ให้ผู้ใช้งานเข้าถึงข้อมูลได้ และจะปรากฎข้อความขึ้นมาแจ้งว่าข้อมูลเหล่านี้ได้ถูกล็อกไว้ หากต้องการปลดล็อกจะต้องจ่ายเงิน ไม่เช่นนั้นจะลบข้อมูล แต่ในช่วงหลังเริ่มมีการข่มขู่ว่าจะปล่อยข้อมูลสู่สาธารณะหรือนำไปประมูลขาย เป็นต้น

ทั้งนี้ การกระทำกล่าวเข้าข่ายความผิดฐานข่มขืนใจผู้อื่นให้กระทำการใด ไม่กระทำการใด หรือจำยอมต่อสิ่งใด โดยทำให้กลัวว่าจะเกิดอันตรายต่อชีวิต ร่างกาย เสรีภาพ ชื่อเสียงหรือทรัพย์สินของผู้ถูกข่มขืนใจนั้นเองหรือของผู้อื่น มีโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ และความผิดฐานเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สําหรับตน มีโทษจำคุกไม่เกิน 2 ปี ปรับไม่เกิน 40,000 บาท หรือทั้งจำทั้งปรับ ตาม พ.ร.บ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560 หรือกฎหมายอื่นๆ ที่เกี่ยวข้อง

อย่างไรก็ตาม ในปัจจุบันประเทศไทยมี พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่เป็นกฎหมายป้องกันเรื่องนี้โดยตรง แต่ต้องยอมรับว่าเป็นการแก้ปัญหาปลายเหตุเพราะการการโจมตีทางไซเบอร์เกิดขึ้นตลอดเวลา

 ท้าทายว่ารัฐบาลไทยจะรับมือกับสถานการณ์เรียกค่าไถ่ไซเบอร์ที่เกิดถี่ขึ้นโดยเฉพาะในหน่วยงานด้านสาธารณสุขของรัฐอย่างไร

11 ก.ย. 2564  ผู้จัดการออนไลน์