วันนี้ (7 กันยายน) นพ. ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข และ นพ.อนันต์ กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร แถลงข่าวกรณีการแฮ็กข้อมูลผู้ป่วยของกระทรวงสาธารณสุข โดย นพ.ธงชัย กล่าวว่า กระทรวงสาธารณสุขได้รับรายงานว่า โรงพยาบาลเพชรบูรณ์ ถูกผู้ไม่ประสงค์ดีแฮ็กข้อมูลผู้ป่วยไปโพสต์ขายบนเว็บไซต์เมื่อวันที่ 5 กันยายน 2564 จึงร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ลงไปตรวจสอบข้อเท็จจริงและประเมินความเสียหายทันที พบว่าไม่ได้เป็นการแฮ็กฐานข้อมูลหลักที่ใช้ในการให้บริการและมีประวัติการรักษาผู้ป่วย แต่เป็นฐานข้อมูลที่โรงพยาบาลเขียนขึ้นบนโปรแกรมที่เปิดให้ใช้ฟรี (Open Source) สำหรับใช้ในการทำงานของเจ้าหน้าที่ เช่น การสรุปข้อมูลผู้ป่วย การนัดหมายผู้ป่วย ตารางเวรแพทย์ และการคำนวณรายจ่ายในการผ่าตัดของกลุ่มศัลยกรรมกระดูกและข้อ เป็นต้น
“ข้อมูลที่ถูกแฮ็กส่วนใหญ่เป็นบางไฟล์ที่มีชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิ์การรักษา แต่ไม่ได้มีรายละเอียดเกี่ยวกับข้อมูลการตรวจรักษา โรงพยาบาลเพชรบูรณ์ยังสามารถให้การดูแลคนไข้ได้ปกติ โดยข้อมูลที่ถูกแฮ็กมีประมาณ 18,000 กว่าราย ไม่ใช่ 16 ล้านราย เนื่องจากเพชรบูรณ์มีประชากรไม่ถึงล้านคน ซึ่งกรณีนี้ต่างจากโรงพยาบาลสระบุรีที่ถูกแฮ็กระบบฐานข้อมูลหลัก จนทำให้จุดบริการเข้าถึงข้อมูลผู้ป่วยไม่ได้ อย่างไรก็ตาม การกระทำดังกล่าวมีความผิดตาม พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ และกฎหมายอื่น ที่เกี่ยวข้อง” นพ.ธงชัยกล่าว
นพ.ธงชัยกล่าวด้วยว่า ขณะนี้ได้แจ้งความแล้ว และกระทรวงดิจิทัลฯ กำลังติดตามตรวจสอบหาแฮ็กเกอร์ ซึ่งไม่ได้เจาะจงข้อมูลสุขภาพเป็นพิเศษ แต่จะตระเวนหาระบบที่มีจุดอ่อนเพื่อโจรกรรมข้อมูล จึงต้องกำชับบุคลากรให้เข้มงวดการปฏิบัติตามมาตรการความปลอดภัยทางไซเบอร์ เช่น เปลี่ยนยูสเซอร์เนมและพาสเวิร์ดเป็นประจำ ทั้งนี้ จะจัดตั้งหน่วยงานเฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพและหน่วยตอบโต้เหตุการณ์ฉุกเฉิน ประสานการทำงานกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ด้าน นพ.อนันต์ กล่าวว่า เซิร์ฟเวอร์ที่โรงพยาบาลเขียนโปรแกรมสำหรับการทำงานภายใน จำเป็นต้องเชื่อมต่ออินเทอร์เน็ต อาจถูกผู้ไม่ประสงค์ดีบุกรุกได้ จากการตรวจสอบเบื้องต้นไม่พบการข้ามไปยังเซิร์ฟเวอร์อื่น และโรงพยาบาลเพชรบูรณ์ได้ตัดการเชื่อมต่อจากภายนอกทั้งหมดเพื่อป้องกันการบุกรุก ส่วนการป้องกันในอนาคต โรงพยาบาลต่างๆ ต้องทบทวนมาตรการ ความเสี่ยง และประเมินเรื่องสินทรัพย์ที่มีความเสี่ยงสูง เพื่อจัดการให้ระบบมีความมั่นคงปลอดภัยมากขึ้น เข้มงวดผู้ที่ใช้งานระบบให้ทำตามมาตรการความปลอดภัยทางไซเบอร์