รพ.เพชรบูรณ์ แจงข้อมูลถูกแฮกไม่กระทบการรักษา

เพชรบูรณ์ 7 ก.ย. – โรงพยาบาลเพชรบูรณ์ออกประกาศชี้แจงเหตุถูกแฮกข้อมูลคนไข้ ยืนยันเกิดขึ้นที่โรงพยาบาลเพชรบูรณ์แห่งเดียว เป็นข้อมูลทั่วไป ไม่มีผลกระทบต่อการรักษา

โรงพยาบาลเพชรบูรณ์ออกประกาศฉบับที่ 1 ชี้แจงเหตุถูกคุกคามทางไซเบอร์ หลังถูกประกาศขายข้อมูลของโรงพยาบาลในอินเทอร์เน็ตเมื่อวันที่ 5 กันยายนที่ผ่านมา เวลา 13.00 น. ขนาด 3.75 GB จำนวน 16 ล้าน records จากฐานข้อมูลจำนวน 146 ฐานข้อมูล ในราคา 500 ดอลลาร์สหรัฐ หรือคิดเป็นเงินไทยประมาณ 16,240 บาท หลังเกิดเหตุทางโรงพยาบาลได้ตั้งคณะกรรมการแก้ไขปัญหาทันทีในวันเดียวกัน เพื่อตรวจสอบข้อเท็จจริงและประเมินความเสียหายที่เกิดขึ้น พร้อมปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก

จากการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย ส่วนข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษา เลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา ได้แก่ ข้อมูลรายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา), ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย

ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล, ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย, ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย

ส่วนการแก้ไขปัญหาเบื้องต้น โรงพยาบาลได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ทั้งหมด มีการสำรองข้อมูลทั้งหมด ซึ่งโรงพยาบาลมีระบบสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้ว และได้หารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข และขอรับคำปรึกษาจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ตั้งแต่ต้น เพื่อให้คำแนะนำและเป็นที่ปรึกษาในการปรับปรุงระบบคอมพิวเตอร์ของโรงพยาบาลให้ปลอดภัย เพื่อสร้างความมั่นใจในการให้บริการต่อไป ทางโรงพยาบาลเพชรบูรณ์ขอยืนยันว่าระบบข้อมูลทางด้านการรักษาพยาบาลยังสามารถใช้งานได้ปกติ

สธ.ยืนยันแฮกข้อมูลคนไข้ที่ รพ.เพชรบูรณ์ แห่งเดียว
ทางกระทรวงสาธารณสุขออกมาแถลงชี้แจงเรื่องนี้ โดย นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ยืนยันว่าข้อมูลที่ถูกแฮกไปนั้นไม่ใช่ 16 ล้านคน อย่างที่เป็นข่าว แต่เป็น 16 ล้านครั้ง ในการบันทึกข้อมูล และเกิดขึ้นกับโรงพยาบาลเพชรบูรณ์เพียงแห่งเดียว มีข้อมูลคนไข้ที่เข้าไปเกี่ยวข้อง 10,095 คนเท่านั้น และข้อมูลที่ได้ไปไม่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคนไข้โดยตรง แต่เป็นโปรแกรมพื้นฐานการนัดหมายคนไข้ว่าเข้ามารับการรักษาเมื่อไร สิ้นสุดการรักษาเมื่อไร รวมถึงแพทย์ที่เข้าเวรรับการรักษา จึงทำให้มีข้อมูลแพทย์ 39 คน หลุดออกไปด้วย แต่ไม่ใช่ข้อมูลหลัก ตอนนี้ได้แจ้งความดำเนินคดีแล้ว คาดว่าการแฮกข้อมูลครั้งนี้น่าจะเป็นกลุ่มแฮกเกอร์ที่มีพฤติกรรมเข้ามาเจาะฐานข้อมูล เห็นตรงไหนมีเข้าโหว่ก็เข้ามา แต่ครั้งนี้ไม่ได้มีการเจาะเข้าไปในเซิร์ฟเวอร์หลัก เป็นเพียงแต่ข้อมูลที่เกี่ยวข้องเพื่ออำนวยความสะดวกเท่านั้น

นพ.ธงชัย ยังเปรียบเทียบการแฮกข้อมูลครั้งนี้กับการแฮกข้อมูลครั้งที่แล้ว ที่เกิดขึ้นกับโรงพยาบาลสระบุรี แตกต่างกัน โดยกรณีโรงพยาบาลสระบุรี เป็นการแฮกเรียกค่าไถ่ ดำเนินการโดยกลุ่มมิจฉาชีพต่างชาติ แต่ครั้งนี้เป็นการแฮกข้อมูลคนไข้เพื่อนำข้อมูลไปขายต่อ และยังไม่ทราบรายละเอียดว่ากลุ่มแฮกเกอร์เป็นต่างชาติหรือไม่ โดยเตรียมตั้งศูนย์เฝ้าระวังปลอดภัยทางไซเบอร์ด้านสุขภาพและศูนย์ตอบโต้สถานการณ์ภาวะฉุกเฉิน เพื่อมาดำเนินการป้องกันในเรื่องนี้

ด้านนายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ บอกว่า การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ มี พ.ร.บ.คุ้มครองฯ มาตรา 7 ระบุว่าข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยไม่ได้ ยกเว้นเจ้าตัวยินยอมหรือกฎหมายเฉพาะให้เปิดเผย จากกรณีนี้เห็นได้ชัดว่าอาจทำให้เกิดความเสียหายกับผู้ป่วยได้ การกระทำลักษณะนี้ถ้ามีความเสียหาย ถือเป็นการละเมิดสิทธิส่วนบุคคล มาตรา 49 มีโทษ จำคุก 1 ปี ปรับไม่เกิน 10,000 หรือทั้งจำทั้งปรับ และเป็นความผิดที่ยอมความได้ สามารถไกล่เกลี่ยกับผู้ละเมิดแทนการร้องทุกข์ได้.-สำนักข่าวไทย