7 ก.ย.2564 ที่กระทรวงสาธารณสุข นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข แถลงข่าวกรณี การแฮกข้อมูลผู้ป่วยว่า เมื่อวันที่ 5 ก.ย.64 ตรวจสอบพบการประกาศขายข้อมูลของโรงพยาบาลเพชรบูรณ์ กระทรวงสาธารณสุขจึงตั้งกรรมการตรวจสอบข้อเท็จจริงทันที พบว่าไม่ใช่ฐานข้อมูลสุขภาพหลักของโรงพยาบาล โดยข้อมูลที่หายไปเป็นเพียงโปรแกรมที่จัดทำขึ้นมา เพื่ออำนวยความสะดวกในการบริหารงานโรงพยาบาล เป็นข้อมูลคนไข้จำนวน 10,095 ราย มีรายละเอียดเพียงชื่อ-นามสกุล หมายเลขโทรศัพท์ สิทธิการรักษาพยาบาล และฐานข้อมูลการนัดผู้ป่วย ข้อมูลตารางเวรของแพทย์ ข้อมูลการคำนวณรายจ่ายในการผ่าตัด 692 ราย
ทั้งนี้ยืนยันว่าไม่ใช่ข้อมูลเกี่ยวกับการรักษาพยาบาล หรือประวัติการรักษา ซึ่งระบบการให้บริการของทางโรงพยาบาลยังสามารถดำเนินการได้ตามปกติ ซึ่งข้อกราบขอโทษประชาชนกับเหตุการณ์ที่เกิดขึ้น ทั้งนี้จะเร่งดำเนินคดีกับผู้ที่แฮกเข้ามาในระบบของโรงพยาบาลต่อไป อยู่บนเซิร์ฟเวอร์หลักเดียวกัน ส่วนการดำเนินการตรวจสอบเรื่องความเสี่ยงได้ร่วมกับสำนักงานคณะกรรมการการรักษามั่นคงปลอดภัยทางไซเบอร์แห่งชาติ กระทรวงสาธารณสุขและกระทรวงดีอีเอส ได้มีการแบ็กอัพข้อมูลทั้งหมด ว่ายังมีสิ่งใดซ่อนอยู่ในเซิร์ฟเวอร์หรือไม่
ด้านนพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ระบุว่า เซิร์ฟเวอร์ ที่ถูกโจมตีเป็นเซิร์ฟเวอร์ที่ถูกแยกออกมาต่างหาก และใช้ในการประสานงานภายในโรงพยาบาล เท่านั้น ไม่ได้เกี่ยวข้องกับเซิร์ฟเวอร์ในการบริการผู้ป่วยโดยตรง อยู่ภายใต้การปกป้องด้วยไฟล์วอร์ของโรงพยาบาล ซึ่งเป็นเพียงการพัฒนาโปรแกรมขึ้นมาจากโปรกแกรมสำเร็จรูป ซึ่งอาจมีจุดอ่อนทำให้สามารถถูกบุกรุกได้ เบื้องต้น ตรวจสอบแล้วไม่พบการบุกรุกข้ามไปยังฐานข้อมูลอื่น และผู้กระทำการไม่ได้มีการเรียกร้องเงินหรือทรัพย์สินใด ๆ จากโรงพยาบาล แต่นำข้อมูลไปประกาศขายผ่านทางเว็บไซต์เท่านั้น
อย่างไรก็ตาม ศูนย์เทคโนโลยีสารสนเทศและการสื่อสารร่วมกับศูนย์ประสานงานรักษาความปลอดภัยไซเบอร์ได้สืบย้อนกลับไปดูเหตุผลแรงจูงใจของผู้กระทำ ขณะเดียวกันโรงพยาบาลเพชรบูรณ์ เมื่อทราบเหตุก็ได้ตัดการเชื่อมต่อจากภายนอกทันที ไม่ให้มีการบุกรุกได้อีก ในภาพรวมของ สธ. ที่ดูแลอยู่ จะมีการดำเนินการการจัดตั้งศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ภาคสุขภาพ ให้เกิดขึ้น เพื่อมอนิเตอร์หน่วยงานทั้งในส่วน กระทรวงสาธารณสุข และ โรงพยาบาลอื่น ๆ อยู่ตลอดเวลา พร้อมกันนี้ ได้จัดตั้งหน่วยงานเพื่อตอบโต้ฉุกเฉิน ซึ่งอยู่ระหว่างดำเนินการ
ด้านนายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ ระบุว่า พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 ให้ความคุ้มครองข้อมูลสุขภาพส่วนบุคคล ไม่สามารถนำไปเปิดเผยได้โดยไม่ได้รับความยินยอม ผู้ฝ่าฝืนมีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ และยังมีโทษตามความผิด พ.ร.บ.คอมพิวเตอร์ ด้วย
#RATCHATANEWS #กระทรวงสาธารณสุข