ข้อมูลส่วนบุคคลไทยขายเกลื่อน DES เผยเอาผิดได้ไม่เต็มที่ เหตุ กม.เลื่อนบังคับใช้

แหล่งข่าว DES เผยเอาผิดแฮ็กเกอร์ขายข้อมูลส่วนบุคคลไม่ได้ เหตุ พ.ร.บ.ข้อมูลส่วนบุคคลฯ เลื่อนบังคับใช้ สธ.-กมช. แจงข้อมูลหลุดเป็นข้อมูลคนไข้ทั่วไป ไม่ใช่ความลับ เพื่อไทยเร่ง DES ตรวจสอบ พบยังมีข้อมูลส่วนบุคคลอีก 30 ล้านรายการ-ข้อมูลจาก cpfreshmartshop.com ประกาศขายบนเว็บไซต์เดียวกัน

กรณีแฮ็กเกอร์อ้างว่า สามารถเข้าถึงข้อมูลคนไข้ของกระทรวงสาธารณสุขกว่า 16 ล้านรายการ ในฐานข้อมูลจำนวน 146 ไฟล์ ขนาด 3.75 GB อัปเดตล่าสุดเมื่อวันที่ 5 ก.ย. 2564 วางจำหน่ายในราคา 500 เหรียญสหรัฐ โดยภายในมีทั้งข้อมูลเลขทะเบียนผู้ป่วย ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด หมายเลขโทรศัพท์ ชื่อแพทย์เจ้าของไข้ โรงพยาบาล และรายละเอียดผู้ป่วยต่างๆ

ผู้จัดการออนไลน์รายงานเมื่อ 6 ก.ย. 2564 ว่า แหล่งข่าวจากกระทรวง DES ระบุว่า ทางสำนักงานไซเบอร์ ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ทราบเรื่องดังกล่าวแล้ว กำลังประสานหาสาเหตุกับกระทรวงสาธารณสุข (สธ.) เนื่องจาก สธ. มีการวางระบบรักษาความปลอดภัยของตนเอง ทางกระทรวงมีหน้าที่เข้าไปตรวจสอบว่าทาง สธ. ได้วางระบบรักษาความปลอดภัยทางไซเบอร์ตามมาตรฐานที่กำหนดตาม พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 หรือระบบมีช่องโหว่

เบื้องต้น ทางกระทรวงฯ มีหน้าที่ในการใช้ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ตามจับคนร้ายที่เข้ามาแฮ็กข้อมูล ซึ่งต้องทำตามกระบวนการของกฎหมาย ส่วนประเด็นเรื่องข้อมูลคนไข้ เนื่องจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังไม่มีผลบังคับใช้จากการขยายเวลาไปในช่วง พ.ค. 2565 ทำให้ดำเนินการได้ตามประกาศมาตรฐานในการทำระบบคุ้มครองข้อมูลส่วนบุคคลเบื้องต้นเท่านั้น

อย่างไรตาม เมื่อตรวจสอบไปยังเว็บไซต์ที่มีการเผยแพร่ ข้อมูลชุดดังกล่าวได้ถูกนำออกจากระบบไปแล้ว ทำให้ต้องรอข้อมูลจากทาง สธ. ว่าข้อมูลชุดดังกล่าวหลุดไปจากที่ใด และมีประชาชนที่ได้รับผลกระทบจากเหตุการณ์ข้อมูลหลุดในครั้งนี้มากแค่ไหน

7 ก.ย. 2564 วอยซ์ออนไลน์ รายงานงานว่า อนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข กล่าวว่า ได้ตรวจสอบข้อมูลเบื้องต้นแล้ว พบว่าเกิดเหตุที่ จ.เพชรบูรณ์ ซึ่งเกิดเหตุลักษณะนี้เป็นครั้งที่ 2 ครั้งแรกที่ จ.สระบุรี ซึ่งได้สั่งการให้ปลัดกระทรวงสาธารณสุขเร่งจัดการแก้ไขปัญหาแล้ว โดยมอบหมายไปยังศูนย์เทคโนโลยีสารสนเทศให้ไปตรวจสอบรายละเอียดทั้งหมด

เบื้องต้นทราบว่าเป็นข้อมูลทั่วไปของคนไข้ ไม่ใช่ข้อมูลที่เป็นความลับ แต่เมื่อเกิดเหตุเป็นครั้งที่ 2 จึงต้องกำชับให้ปรับการป้องกันความปลอดภัยทางไซเบอร์ต่างๆ ให้รัดกุมมากขึ้น พร้อมเชื่อว่าโรงพยาบาลทุกแห่งเก็บข้อมูลคนไข้แบบมีลำดับชั้นความลับอยู่แล้ว และย้ำว่าเรื่องนี้ทางสำนักงานปลัดกระทรวงสาธารณสุขที่จะต้องเข้าไปแก้ไขดูแล จึงขอว่าไม่ต้องตื่นตระหนกจนเกินไป

ขณะที่เอชโฟกัสรายงานว่า นพ.ธงชัย กีรติหัตยากร รองปลัดกระทรวงสาธารณสุข ชี้แจงกรณีมีการแฮ็กข้อมูลผู้ป่วยในระบบสุขภาพของกระทรวงสาธารณสุข ว่า เรื่องนี่ได้รับรายงานมีการแฮ็กข้อมูลผู้ป่วยที่ รพ.เพชรบูรณ์ เมื่อวันที่ 5 ก.ย. 2564

รองปลัดกระทรวงสาธารณสุขกล่าวว่า ทันทีที่ได้ทราบข่าวก็ตั้งคณะกรรมการตั้งแต่วันที่ 5 ก.ย. เพื่อตรวจสอบข้อเท็จจริงและประเมินความเสียหาย ทั้งนี้ ข้อมูลที่มีการประกาศขายผ่านสื่อออนไลน์นั้น ไม่ได้อยู่ในระบบฐานข้อมูลการบริการคนไข้ปกติของโรงพยาบาล แต่เป็นข้อมูลที่เจ้าหน้าที่ทำโปรแกรมขึ้นมาใหม่ 1 โปรแกรม เพื่ออำนวยความสะดวกในการดูแลคนไข้ แต่ข้อมูลที่ได้ไปไม่ใช่ฐานข้อมูลสุขภาพ การวินิจฉัยรักษาโรค หรือผลแลปใดๆ ทั้งสิ้น

ข้อมูลที่ได้ไป 10,095 ราย เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ สิทธิการรักษา มีบางรายที่จะถูกระบุอาการป่วย ข้อมูลการเข้า-ออกโรงพยาบาล วันนัดหมาย แพทย์ที่เข้าเวร นอกจากนี้ ยังมีบันทึกข้อมูลการคำนวณรายจ่ายในการผ่าตัด กลุ่มออโธปิดิกส์อีก 692 ราย เป็นการคำนวณรายจ่ายเพื่อไปซื้ออุปกรณ์ในการผ่าเข่า เป็นต้น ทั้งนี้ มีแพทย์ถูกนำเลขบัตรประชาชน 13 หลัก ออกไปด้วยประมาณ 39 คน

"วันนี้ระบบของโรงพยาบาลสามารถดำเนินการได้ตามปกติ สามารถดูแลได้ปกติ ข้อมูลทุกอย่างยังอยู่ ตอนนี้กำลังอยู่ระหว่างตรวจสอบความเสี่ยงและมีการแบ็กอัปข้อมูล ตรวจสอบข้อมูลทั้งหมดว่าจะมีการซ่อนอะไรที่อยู่ในเว็บไซต์ หรือเซิร์ฟเวอร์หรือไม่ โดยร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติและกระทรวงดีอี" นพ.ธงชัย กล่าว

รองปลัดกระทรวงสาธารณสุข กล่าวต่อว่า สำหรับที่มีการรายงานข่าวออกมาว่า มีข้อมูลคนไข้ถูกนำออกไปกว่า 16 ล้านรายนั้น ไม่เป็นความจริง เฉพาะประชากรที่ จ.เพชรบูรณ์ ก็ไม่ถึง 1 ล้านคนแล้ว ความจริงคือตัวเลข 16 ล้านนั้น เป็นตัวเลขการบันทึก 16 ล้านครั้ง แต่มีข้อมูลประชาชน 10,095 ราย ตอนนี้แจ้งความดำเนินคดีแล้ว

นพ.ธงชัย กล่าวว่า ไม่ทราบมูลเหตุจูงใจ แต่พฤติกรรมของแฮ็กเกอร์นั้นเจาะไปทั่ว ที่ไหนมีจุดอ่อนก็เจาะเข้าไป เพื่อเอาข้อมูลไปขาย ซึ่งการแฮ็กข้อมูลที่ รพ.เพชรบูรณ์ ครั้งนี้ ต่างจากการแฮ็กข้อมูลที่ รพ.สระบุรี ซึ่งครั้งนั้นเป็นการเจาะเข้าฐานข้อมูลผู้ป่วย ไม่สามารถเปิดข้อมูล กระทบกับการให้บริการผู้ป่วย อีกทั้งยังมีการเรียกค่าไถ่ด้วย แต่เราแก้ปัญหาได้ ไม่ต้อจ่ายเงินค่าไถ่แต่อย่างใด ส่วนที่ รพ.เพชรบูรณ์ ไม่ได้เจาะเข้าระบบฐานข้อมูลสุขภาพใหญ่ ไม่ได้เรียกค่าไถ่ และไม่กระทบการให้บริการสาธารณสุข

“เรื่องนี้รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข ให้ความสำคัญเรื่องนี้มาก และเร่งรัดให้มีการตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพฯ คาดว่าจะตั้งได้ภายในปี 2564 โดยจะมีการหารือกันในวันนี้” นพ.ธงชัย

นอกจากนี้ รองปลัดกระทรวงสาธารณสุขยังยืนยันว่า เจ้าหน้าที่ รพ.เพชรบูรณ์ ไม่มีส่วนเกี่ยวข้อง ส่วนสื่อต่างๆ ที่เผยแพร่ข้อมูลสุขภาพผู้ป่วยโดยไม่ปิดบัง หรือไม่ได้รับความยินยอมก็ถือว่ามีความผิดด้วย

นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข กล่าวว่า เซิร์ฟเวอร์ที่ถูกโจมตี เป็นเซิร์ฟเวอร์ที่แยกออกมาต่างหาก อยู่ภายใต้การปกป้องของไฟร์วอร์ของโรงพยาบาล การพัฒนาโปรแกรมของโรงพยาบาลเป็นโอเพนซอร์ส เดิมใช้ในโรงพยาบาลเพื่ออำนวยความสะดวก จำเป็นต้องเชื่อต่ออินเตอร์เน็ต

ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กล่าวว่า ศูนย์ฯ ร่วมกับศูนย์ปลอดภัยไซเบอร์ฯ ลงไปตรวจสอบ รพ.เพชรบูรณ์ และตัดการเชื่อมต่อกับภายนอกทั้งหมด พร้อมตรวจสอบความเสียหายเบื้องต้น ไม่พบว่ามีการบุกรุกเข้าเซิร์ฟเวอร์อื่นๆ ของโรงพยาบาล การที่ข้อมูลรั่วไหลครั้งนี้ ผู้ดำเนินการไม่ได้เรียกร้องเงิน เป็นการนำข้อมูลไปประกาศขายทางเว็บไซต์

นพ.อนันต์ ชี้แจงว่า ขณะนี้มีการทบทวนมาตรการและทรัพย์สินที่มีความเสี่ยงสูงและจัดการให้มีความมั่นคงปลอดภัยมากขึ้น ด้วยการให้ความรู้ และเข้มงวดกว่าเดิมสิ่งสำคัญคือการให้ความรู้หรือการสร้างความตระหนักรู้ให้แก่บุคลากรให้เข้มงวดมาตรการที่โรงพยาบาลกำหนด

“ส่วนภาพใหญ่กระทรวงสาธารณสุขได้ดำเนินการจัดตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพ เพื่อมอนิเตอร์หน่วยงานทั้งในส่วนของกระทรวงสาธารณสุขและโรงพยาบาลอื่นๆ ตลอดเวลา และตั้งหน่วยงานตอบโต้สถานการณ์ฉุกเฉินซึ่งอยู่ระหว่างการดำเนินการ โดยเชื่อมโยงกับศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของกระทรวง DES เนื่องจากข้อมูลสุขภาพเป็นเรื่องอ่อนไหว สธ. ต้องดูแลเองเพื่อให้เกิดความมั่นใจในการตอบสนองต่อสถานการณ์ได้ทันเวลา” นพ.อนันต์ กล่าว

สุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ (สช.) กล่าวว่า ข้อมูลสุขภาพบุคคลจะได้รับการคุ้มครอง ตามมาตรา 7 แห่ง พ.ร.บ.สุขภาพแห่งชาติ ถือเป็นความลับ ใครที่นำออกไปเผยแพร่จะมีความผิดตามมาตรา 49 มีโทษจำคุก 6 เดือน ปรับไม่เกิน 1 หมื่นบาท หรือทั้งจำทั้งปรับ แต่เป็นความผิดที่ยอมความได้ ไกล่เกลี่ยได้ อย่างไรก็ตาม นอกจากกฎหมายดังกล่าวแล้ว ยังถือว่าผิด พ.ร.บ.คอมพิวเตอร์ฯ และพ.ร.บ.ข้อมูลข่าวสารของราชการฯ

ด้านเดอะสแตนดาร์ด รายงานว่า น.อ.อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) ให้สัมภาษณ์ผ่านรายการ เจาะลึกทั่วไทย Inside Thailand ถึงกรณีที่มีข้อมูลของผู้ป่วยถูกแฮ็ก โดยกล่าวว่าเว็บไซต์ RaidForums เป็นเหมือนแหล่งขายข้อมูล พบว่ามีการประกาศขายข้อมูลเมื่อวันที่ 5 กันยายนที่ผ่านมา หลังจากนั้นจึงตรวจสอบถึงโรงพยาบาลที่เกี่ยวข้อง

น.อ.อมร ระบุว่า ตัวฐานข้อมูลมีจำนวน 3.7 GB ในส่วนของรายการทั้งหมด แฮ็กเกอร์ใช้วิธีนับจำนวนตารางทั้งหมดรวม 16 ล้านรายการ แต่ไม่ใช่ข้อมูลของ 16 ล้านคน เบื้องต้นทราบว่าเป็นโรงพยาบาลของรัฐแห่งเดียว แต่ขอยังไม่เปิดเผยชื่อโรงพยาบาล

สำหรับระบบการบันทึกข้อมูลจากการตรวจสอบเป็นระบบภายในของโรงพยาบาล ใช้เพื่อป้องกันความสับสนในการดูแลคนไข้ของแพทย์แต่ละราย ซึ่งรวมจริงๆ มีข้อมูลคนไข้ไม่เกิน 10,000 ราย โดยมีข้อมูลเพียงชื่อคนไข้ หมายเลขคนไข้ และชื่อแพทย์ที่ดูแล ไม่ปรากฏหมายเลขบัตรประชาชน ส่วนโรคต่างๆ จะปรากฏแค่วอร์ดคนไข้ ไม่มีข้อมูลที่ระบุโรค

“เบื้องต้นได้เอาระบบที่เป็นปัญหาออกจากการใช้งานแล้ว ตัวเซิร์ฟเวอร์ก็มีการตรวจสอบและพูดคุยกับทางทีมไอทีของโรงพยาบาลแล้ว และไม่มีการเรียกค่าไถ่กับโรงพยาบาล” น.อ.อมร ระบุ

ขณะที่ทีมข่าวเพื่อไทย รายงานว่า ชนินทร์ รุ่งธนเกียรติ รองโฆษกพรรคเพื่อไทย กล่าวถึงกรณีพบรายชื่อข้อมูลผู้ป่วยจำนวนกว่า 16 ล้านคนในตลาดมืดซื้อขายฐานข้อมูลซึ่งถูกอ้างเป็นข้อมูลแฮ็กจากระบบของกระทรวงสาธารณสุขว่า การดูแลประชาชนในรัฐบาลชุดนี้พังทั้งระบบอย่างสิ้นเชิง  ฐานข้อมูลผู้ป่วยซึ่งเป็นความลับทางการแพทย์ตามมาตรฐานสากล  แต่กลับถูกปล่อยปละละเลยจากรัฐผู้กุมข้อมูลทั้งหมด แล้วจะให้ประชาชนไว้ใจได้อย่างไรว่าที่ได้ลงทะเบียนกับรัฐตามช่องทางต่างๆ จะไม่เกิดเหตุถูกแฮ็กข้อมูลไปขายเหมือนเหตุการณ์นี้

รองโฆษกพรรคเพื่อไทยกล่าวว่า ที่ผ่านมากว่า 7 ปี การบริหารงานของ พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ที่ต้องควบคุมดูแลการบริหารในภาพใหญ่ให้เป็นไปอย่างมีประสิทธิภาพเพื่อบริการประชาชน แต่จนถึงวันนี้ยังไม่สามารถสร้างความมั่นใจให้กับพี่น้องประชาชนได้ ซ้ำปล่อยปละละเลยให้เจ้ากระทรวงสาธารณสุข ในโควต้าของพรรคภูมิใจไทย และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ในโควต้าของพรรคพลังประชารัฐ โยนความผิดกันไปมา สุดท้ายคนที่ต้องรับกรรมคือประชาชน

ชนินทร์ กล่าวอีกว่า กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมในวันนี้ กลายเป็นหน่วยงานที่น่ารังเกียจในสายตาประชาชน ภารกิจหลักที่ควรวางรากฐานเพื่อรองรับสังคมดิจิทัล สร้างความเท่าเทียมในการเข้าถึงอินเทอร์เน็ตในทุกพื้นที่ สร้างความปลอดภัยของข้อมูลอย่างเป็นระบบ และนำเทคโนโลยีมาพัฒนาเพื่อสร้างตลาดทางเศรษฐกิจใหม่ๆ ให้ประเทศ กลับไม่เคยได้รับความสนใจ แต่ผลงานดีเด่นคือการจับเฟกนิวส์เท่านั้น จึงอยากเรียกร้องให้ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีตรี DES  เร่งตรวจสอบข้อเท็จจริงเรื่องนี้โดยด่วน เพราะข้อมูลของประชาชนที่ถูกประกาศซื้อขายในตลาดมืด  เป็นการละเมิดสิทธิและอาจทำให้ผู้ถูกเปิดเผยข้อมูลถูกละเมิดข้อมูลด้านอื่นด้วย หากปล่อยเงียบหายไปแบบไร้ร่องรอย ประชาชนอาจสงสัยได้ว่าท่านรู้เห็นเป็นใจกับกระบวนการนี้ด้วย

ทั้งนี้ เมื่อประชาไทตรวจสอบเว็บไซต์ RaidForums พบว่า นอกจากการประกาศขายข้อมูลจากกระทรวงสาธารณสุขแล้ว เมื่อวันที่ 3 ก.ย. 2564 ยังมีประกาศขายข้อมูลจากประเทศไทยอีก 30 ล้านรายการ โดยผู้ขายอ้างว่า มีข้อมูลทั้งชื่อ หมายเลขโทรศัพท์ ที่อยู่ หมายเลขบัตรประชาชน วันเกิด และเพศ เป็นต้น

ส่วนเมื่อวันที่ 6 ก.ย. 2564 มีผู้ประกาศขายข้อมูลจาก cpfreshmartshop.com โดยระบุว่ามีข้อมูลจำนวน 594,585 แถว ที่ปรากฏชื่อบัญชีผู้ใช้ รหัสผ่าน อีเมล หมายเลขโทรศัพท์ วันที่สมัคร วันเกิด เลขบัตรประชาชน และที่อยู่ เป็นต้น

เพิ่มเติมข้อมูลวันที่ 7 ก.ย. 2564 เวลา 19.15 น.

ข่าวรอบวัน

สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท

ร่วมบริจาค สนับสนุนการทำงานของ 'ประชาไท' ร่วมสร้างและรักษาสื่อเสรี Prachatai.com (ไม่มีขั้นต่ำ)

โอนเงิน บัญชีกรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM"

โอนเงิน PayPal / บัตรเครดิต https://PayPal.me/Prachatai (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

พื้นที่ประชาสัมพันธ์