สธ.แจงแฮกข้อมูลคนไข้ รพ.เพชรบูรณ์ แห่งเดียว

สธ. 7 ก.ย.-สธ.แจงแฮกข้อมูลคนไข้เกิดที่ รพ.เพชรบูรณ์ เพียงแห่งเดียว ข้อมูลที่ได้ไม่ใช่ 16 ล้านคนตามอ้าง แต่เป็นคนไข้แค่ 10,095 คน และหมอ 39 คน ข้อมูลที่ถูกเจาะเป็นข้อมูลสนับสนุนไม่ใช่ข้อมูลหลัก เช่น ตารางแพทย์เวร รายชื่อ และเบอร์โทร

นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข (รองปลัด สธ.) กล่าวถึงกรณีการแฮกข้อมูลคนไข้ว่า ทางกระทรวงสาธารณสุขได้ทราบเรื่องดังกล่าวตั้งแต่วันที่ 5 กันยายนที่ผ่านมา และได้มีการตั้งคณะกรรมการขึ้นตรวจสอบ โดยพบว่าข้อมูลที่ถูกแฮกไปนั้นไม่ใช่ 16 ล้านคนอย่างที่เข้าใจ แต่เป็น 16 ล้านครั้งในการบันทึกข้อมูล และเกิดขึ้นกับโรงพยาบาลแห่งเดียว คือโรงพยาบาลเพชรบูรณ์ มีข้อมูลคนไข้ที่เข้าไปเกี่ยวข้อง 10,095 คนเท่านั้น และข้อมูลที่ได้ไปไม่ได้เกี่ยวข้องกับข้อมูลส่วนบุคคลของคนไข้โดยตรง แต่เป็นโปรแกรมพื้นฐานการนัดหมายคนไข้ว่าเข้ามารับการรักษาเมื่อไหร่ สิ้นสุดการรักษาออกจาก รพ.เมื่อไหร่ รวมถึงแพทย์ที่เข้าเวรรับการรักษา จึงทำให้มีข้อมูลของแพทย์ 39 คน หลุดออกไปด้วย แต่ไม่ใช่ข้อมูลหลัก โดยเป็นรายชื่อ นามสกุล เลขบัตรประจำตัวประชาชน และเบอร์โทร

ทั้งนี้ ทาง รพ.ได้มีการแจ้งความดำเนินคดีแล้ว อยู่ในระหว่างการติดตามข้อมูลคนร้าย คาดว่าการแฮกข้อมูลครั้งนี้เป็นกลุ่มแฮกเกอร์ที่มักมีพฤติกรรมเข้ามาเจาะฐานข้อมูล เห็นตรงไหนมีช่องโหว่ก็เข้ามา แต่ครั้งนี้ไม่ได้มีการเจาะเข้าไปในเซิร์ฟเวอร์หลัก เป็นเพียงแต่ข้อมูลที่เกี่ยวข้องเพื่ออำนวยความสะดวกเท่านั้น

นพ.ธงชัย กล่าวว่า เปรียบเทียบการแฮกข้อมูลครั้งนี้กับการแฮกข้อมูลครั้งที่แล้วที่เกิดขึ้นกับ รพ.สระบุรี แตกต่างกัน โดยการแฮกข้อมูลของ รพ.สระบุรี เป็นการแฮกเรียกค่าไถ่ ดำเนินการโดยกลุ่มมิจฉาชีพต่างชาติ แต่ครั้งนี้เป็นการแฮกข้อมูลคนไข้เพื่อนำข้อมูลไปขายต่อ และยังไม่ทราบรายละเอียดว่ากลุ่มแฮกเกอร์เป็นต่างชาติหรือไม่ และเตรียมตั้งศูนย์เฝ้าระวังปลอดภัยทางไซเบอร์ด้านสุขภาพ และศูนย์ตอบโต้สถานการณ์ภาวะฉุกเฉิน เพื่อมาดำเนินการป้องกันในเรื่องนี้

นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า เซิร์ฟเวอร์ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่แยกออกมาต่างหาก อยู่ภายใต้การปกป้องของโปรแกรมในโรงพยาบาลเดิม เป็นการใช้โปรแกรมเพื่ออำนวยความสะดวกจำเป็นต้องเชื่อมต่ออินเทอร์เน็ต แต่เมื่อลงไปตรวจสอบโรงพยาบาลเพชรบูรณ์ก็ได้ตัดการเชื่อมต่อกับภายนอกทั้งหมด และตรวจสอบความเสียหายเบื้องต้น โดยพบว่าข้อมูลรั่วไหลครั้งนี้ ผู้ดำเนินการไม่ได้เรียกร้องเงิน เป็นการนำข้อมูลไปประกาศขายทางเว็บไซต์

นายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ มี พ.ร.บ.คุ้มครองฯ มาตรา 7 ระบุว่า ข้อมูลสุขภาพส่วนบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยไม่ได้ ยกเว้นเจ้าตัวยินยอมหรือกฎหมายเฉพาะให้เปิดเผย จากกรณีดังกล่าวเห็นได้ชัดว่าอาจทำให้เกิดความเสียหายกับผู้ป่วยได้ การกระทำลักษณะนี้ถ้ามีความเสียหาย ถือเป็นการละเมิดสิทธิส่วนบุคคล มาตรา 49 มีโทษจำคุก 1 ปี ปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ และเป็นความผิดที่ยอมความได้ สามารถไกล่เกลี่ยกับผู้ละเมิดแทนการร้องทุกข์ได้ .-สำนักข่าวไทย