มือดีแฮกข้อมูลสธ. สะท้อน “ระบบ Cyber Security ในไทย” จะเดินหน้ารับมือยังไง ?

เป็นกระแสร้อนๆ ที่ถูกวิจารณ์หนักมากในโลกออนไลน์ หลังจากเพจเฟซบุ๊ก “น้องปอสาม” ได้เผยแพร่ข้อมูลและภาพเรื่องข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก พร้อมข้อความระบุว่า

 

"ไม่แน่ใจมีใครนำเสนอเรื่องนี้ยัง ตอนนี้เราไปสนใจเรื่อง พส กันหมด แต่เรื่องนี้ก็สำคัญ ข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก โดยมีการเรียกค่าไถ่ด้วย"

 

ในประเด็นดังกล่าวนี้ นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (สธ.) ยอมรับว่า ข้อมูลดังหลุดจริง เบื้องต้นเหตุเกิดที่ จ.เพชรบูรณ์ เจ้าหน้าที่ที่เกี่ยวข้องได้เร่งดำเนินการโดยเร็ว และได้ให้ปลัดกระทรวงสาธารณสุข ตรวจสอบข้อมูล หากเป็นการเข้าสู่ระบบเพื่อลักลอบนำข้อมูลผู้ป่วยออกไปจริง จะต้องมีการแจ้งความ ดำเนินคดี และตามตัวผู้กระทำความผิดมารับบทลงโทษตามกฏหมายโดยเร็วที่สุด 

 

 

ขณะที่ทางด้าน น.อ.อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้สัมภาษณ์ผ่านรายการ เจาะลึกทั่วไทย Inside Thailand ว่าเว็บไซต์ RaidForums เป็นเหมือนแหล่งขายข้อมูล พบว่ามีการประกาศขายข้อมูล เมื่อวันที่ 5 กันยายนที่ผ่านมา ส่วนตัวฐานข้อมูลมีจำนวน 3.7 GB ในส่วนของ Record ทั้งหมด

 

รูปแบบนั้นแฮกเกอร์ใช้วิธีนับจำนวนตารางทั้งหมดรวม 16 ล้าน Record แต่ไม่ใช่ข้อมูลของ 16 ล้านคน เบื้องต้นทราบว่าเป็นโรงพยาบาลของรัฐแห่งเดียว จากการตรวจสอบเป็นระบบภายในของโรงพยาบาล ใช้เพื่อป้องกันความสับสนในการดูแลคนไข้ของแพทย์แต่ละราย ซึ่งรวมจริงๆ มีข้อมูลคนไข้ไม่เกิน 10,000 ราย

 

โดยมีข้อมูลเพียงชื่อคนไข้ หมายเลขคนไข้ และชื่อแพทย์ที่ดูแล ไม่ปรากฏหมายเลขบัตรประชาชน ส่วนโรคต่างๆ จะปรากฏแค่วอร์ดคนไข้ ไม่มีข้อมูลที่ระบุโรค

 

เบื้องต้น ได้นำระบบดังกล่าวออกจากการใช้งานเเละได้ตรวจสอบเซิร์ฟเวอร์ พร้อมหารือกับทีมไอทีของโรงพยาบาล และพบว่าไม่มีการเรียกค่าไถ่กับโรงพยาบาล

ในส่วนของ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ “ดีอีเอส” เผยว่า

 

ได้ประสานความร่วมมือ หาสาเหตุกับทางกระทรวงสาธารณสุข โดยจะตรวจสอบ การวางระบบรักษาความปลอดภัยทางไซเบอร์ ว่าเป็นไปตามมาตรฐานหรือไม่ พร้อมรอข้อมูลจากทางกระทรวงสาธารณสุข ว่า ข้อมูลหลุดมาจากไหน และส่งผลกระทบต่อประชาชนที่มีข้อมูลหลุดออกไปมากน้อยเพียงใด

 

ปัจจุบัน ระบบยังมีช่องโหว่ให้เกิดการโจรกรรมข้อมูล วิธีป้องกัน คือ ต้องมีรหัสป้องกันไว้ไม่ให้แฮกเกอร์ สามารถนำข้อมูลไปขายได้

 

นี่ไม่ใช่ครั้งแรกที่มีการแฮกข้อมูลหรือการโจมตีระบบจัดเก็บข้อมูล เหตุลักษณะนี้เคยเกิดขึ้นที่โรงพยาบาลสระบุรี ถูกแฮกระบบ ข้อมูลคนไข้ เมื่อช่วงดือนกันยายน 2563 ในครั้งนั้นทำให้เกิดความโกลาหลอย่างมาก มีผลกระทบต่อการบริการของโรงพยาบาลในการดึงข้อมูลคนไข้เพื่อทำการรักษา  

 

ประเทศไทย มีกฎหมายคุ้มครองข้อมูลของผู้ป่วย พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 มีการระบุไว้ดังนี้ ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิด เผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้

 

 

เว้นแต่การเปิดเผยนั้น เป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือ มีกฎหมายเฉพาะบัญญัติให้ ต้องเปิดเผย แต่ไม่ว่ากรณีใดๆ ผู้ใดจะอาศัยอำนาจหรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

 

ขณะที่ข้อมูลจาก ศูนย์กฎหมายสุขภาพและจริยศาสตร์ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ มีสาระสำคัญว่า ปัจจุบันกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลด้านสุขภาพมีหลายฉบับ เช่น กฎหมายควบคุมการประกอบวิชาชีพด้านสาธารณสุขฉบับต่าง ๆ (เช่น พระราชบัญญัติวิชาชีพเวชกรรม พ.ศ. 2525 พระราชบัญญัติ วิชาชีพการพยาบาลและการผดุงครรภ์ พ.ศ. 2528 พระราชบัญญัติการประกอบโรคศิลปะ พ.ศ. 2542 และฉบับแก้ไขเพิ่มเติม) พระราชบัญญัติสุขภาพแห่งชาติพ.ศ.2550 พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 รวมถึงประมวลกฎหมายอาญา มาตรา 323 แต่บทบัญญัติกฎหมายเหล่านี้ก็ไม่ได้กำหนดรายละเอียดเรื่องแนวปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลของผู้ป่วย เนื่องจากยังไม่มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ

 

ซึ่งเมื่อตรวจสอบ พบว่า มีการเลื่อนการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ออกไปก่อนจนถึงวันที่ 31 พ.ค. 2565 เหตุมีผลกระทบจากโควิด กฎหมายมีรายละเอียดซับซ้อน ต้องใช้เทคโนโลยีขั้นสูง และมีบทลงโทษทั้งคามรับผิดทางแพ่งและโทษทางปกครองและอาญา หลังจากเคยเลื่อนมาแล้วหลายครั้ง

 

ทำให้ขณะนี้ จึงยังไม่มีหน่วยงานระดับชาติ ที่มีอำนาจหน้าที่รับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคลของภาครัฐและภาคเอกชน โดยเฉพาะข้อมูลส่วนบุคคลด้านสุขภาพ

 

ขณะเดียวกัน ประเทศไทย ยังมี พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่เป็นกฎหมายป้องกันเรื่องนี้โดยตรง และหลายหน่วยงานที่เป็นภาคเอกชนก็เริ่มดำเนินการกันไปบ้างแล้ว เช่น การเงิน การธนาคาร จะมีระบบป้องกันเต็มที่

 

ที่ผ่านมาการถูกแฮกระบบเกิดขึ้นอยู่ตลอดเวลา หากติดตามข่าวสารเกี่ยวกับ Cyber security จะพบรายงานข่าวการตกเป็นเหยื่อบนโลกออนไลน์ให้เห็นเป็นประจำ เช่น องค์กรขนาดใหญ่ถูก Ransomware ซึ่งเป็นมัลแวร์ Malware ที่ถูกออกแบบมาเพื่อทำการเข้ารหัสหรือล็อกไฟล์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ผู้ใช้งานจะไม่สามารถเปิดไฟล์ใด ๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส  หรือแม้แต่ ดารานักแสดงที่ถูกคุกคามบนโลกออนไลน์

 

วันนี้มีตัวอย่างมากมายที่แสดงให้เห็นว่า อาชญากรทางไซเบอร์อันตรายและสร้างความเสียหายได้รุนแรงกว่าที่คิด เพราะสามารถที่เจาะระบบหรือปล่อยมัลแวร์เข้าไปโจมตีองค์กรธุรกิจทุกระดับ

 

สิ่งหนึ่งที่สังคมต้องการรู้ ก็คือจุดประสงค์ที่แฮกเกอร์ หรือ ผู้ไม่หวังดีโจมตีหน่วยงาน องค์กร บุคคลที่มีชื่อเสียง แต่ที่สำคัญมากไปกว่านั้นคือ ระบบ Cyber Security ที่ถือเป็นเรื่องสำคัญและทุกองค์กรไม่ว่าภาครัฐหรือภาคเอกชน ควรตระหนักและให้ความสำคัญอย่างจริงจัง

แม้เราจะมี พ.ร.บ. ไซเบอร์ แต่ก็ดูเหมือนจะแก้ปัญหาที่ปลายเหตุและไม่ตรงจุด...