Site icon Mekha News (มีค่านิวส์) : เว็บไซต์ข่าว ที่จะนำเสนอข่าวสารเพื่อรักษาสิทธิให้กับคุณ

รพ.เพชรบูรณ์ ถูกแฮกข้อมูลผู้ป่วยไปขาย! ไม่ใช่ข้อมูลหลัก

Mekha News
เปิดสาเหตุ รพ.เพชรบูรณ์ ถูกแฮกข้อมูลผู้ป่วย

นายแพทย์ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข และนายแพทย์อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร  เปิดเผยถึงกรณีที่มีมือดีแฮกข้อมูลผู้ป่วยโรงพยาบาลเพชรบูรณ์ นำไปโพสต์ขายบนเว็บไซต์ เมื่อวันที่ 5 กันยายน 2564 กระทรวงสาธารณสุข

จึงร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ตรวจสอบข้อเท็จจริงทันที พบว่า ไม่ได้เป็นการแฮกฐานข้อมูลหลักที่ใช้ในการให้บริการและมีประวัติการรักษาผู้ป่วย

แต่เป็นฐานข้อมูลที่โรงพยาบาลเขียนขึ้นบนโปรแกรมที่เปิดให้ใช้ฟรี (Open source) สำหรับใช้ในการทำงานของเจ้าหน้าที่ เช่น การสรุปข้อมูลผู้ป่วย การนัดหมายผู้ป่วย ตารางเวรแพทย์ และการคำนวณรายจ่ายในการผ่าตัดของกลุ่มศัลยกรรมกระดูกและข้อ เป็นต้น

ข้อมูลที่ถูกแฮกส่วนใหญ่ เป็นบางไฟล์ที่มีชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิการรักษา แต่ไม่ได้มีรายละเอียดเกี่ยวกับข้อมูลการตรวจรักษา โรงพยาบาลเพชรบูรณ์ ยังสามารถให้การดูแลคนไข้ได้ปกติ โดยข้อมูลที่ถูกแฮกมีประมาณ 18,000 กว่าราย ไม่ใช่ 16 ล้านราย เนื่องจากเพชรบูรณ์มีประชากรไม่ถึงล้านคน

ซึ่งกรณีนี้ ต่างจาก รพ.สระบุรี ที่ถูกแฮกระบบฐานข้อมูลหลัก จนทำให้จุดบริการเข้าถึงข้อมูลผู้ป่วยไม่ได้ อย่างไรก็ตาม การกระทำดังกล่าว มีความผิดตาม พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 มีโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 1 หมื่นบาท หรือ ทั้งจำทั้งปรับ ขณะนี้ได้แจ้งความแล้ว

พร้อมทั้งให้กระทรวงดิจิทัลฯ ติดตามตรวจสอบหาแฮกเกอร์  ซึ่งไม่ได้เจาะจงข้อมูลสุขภาพเป็นพิเศษ แต่จะตระเวนหาระบบที่มีจุดอ่อน เพื่อโจรกรรมข้อมูล จึงต้องกำชับบุคลากรให้เข้มงวดการปฏิบัติตามมาตรการความปลอดภัยทางไซเบอร์ เช่น เปลี่ยนยูสเซอร์เนมและพาสเวิร์ดเป็นประจำ 

ทั้งนี้ จะจัดตั้งหน่วยงานเฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพและหน่วยตอบโต้เหตุการณ์ฉุกเฉิน ประสานการทำงานกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

สำหรับเซิร์ฟเวอร์ที่โรงพยาบาลเขียนโปรแกรม สำหรับการทำงานภายใน จำเป็นต้องเชื่อมต่ออินเทอร์เน็ต อาจถูกผู้ไม่ประสงค์ดีบุกรุกได้ จากการตรวจสอบเบื้องต้น ไม่พบการข้ามไปยังเซิร์ฟเวอร์อื่น และ รพ.เพชรบูรณ์ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมด เพื่อป้องกันการบุกรุก

ส่วนการป้องกันในอนาคต โรงพยาบาลต่างๆ ต้องทบทวนมาตรการ ความเสี่ยง และประเมินเรื่องสินทรัพย์ที่มีความเสี่ยงสูง เพื่อจัดการให้ระบบมีความมั่นคงปลอดภัยมากขึ้น เข้มงวดผู้ที่ใช้งานระบบให้ทำตามมาตรการความปลอดภัยทางไซเบอร์

Exit mobile version