สธ.ยอมรับ ข้อมูลคนไข้ถูกแฮ็กจริง ยันไม่มีการเรียกค่าไถ่ พร้อมตั้งศูนย์เฝ้าระวังไซเบอร์จัดการปัญหาในอนาคต

7 ก.ย. 64 นายแพทย์ ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข แถลงข่าวขอโทษประชาชน กรณีมีข้อมูลผู้ป่วยถูกนำมาเผยแพร่ในสื่อออนไลน์ โดยยอมรับว่าจากการตรวจสอบพบข้อมูลถูกแฮ็กเป็นระบบข้อมูลผู้ป่วยของโรงพยาบาลในจังหวัดเพชรบูรณ์ที่ทางเจ้าหน้าที่ดำเนินการทำโปรแกรมขึ้นมาใหม่เพื่ออำนวยความสะดวกในการดูแลคนไข้ ซึ่งมีเพียงชื่อ-สกุล เบอร์โทรศัพท์ รายละเอียดวันนัดตรวจหรือวันเข้ารับการรักษา สิทธิการรักษา ไม่มีประวัติการรักษาหรือข้อมูลโรคแต่อย่างใด ทั้งนี้มีข้อมูลรายชื่อกว่า 10,095 รายชื่อ นอกจากนั้นเป็นข้อมูลเจ้าหน้าที่แพทย์ พยาบาล 692 ราย สำหรับการจัดตารางเวรการทำงานและข้อมูลการจัดซื้ออุปกรณ์ ค่าใช่จ่ายการผ่าตัด เท่านั้น ยืนยันว่าข้อมูลที่มีการรั่วไหลทั้งหมดไม่ใช่ข้อมูลหลักในฐานข้อมูลของโรงพยาบาล แต่เป็นเพียงข้อมูลใหม่ที่อยู่ในเซิร์ฟเวอร์เดียวกัน ซึ่งประเด็นดังกล่าวทางกระทรวงได้รับทราบแจ้งเหตุตั้งแต่วันอาทิตย์ช่วงบ่ายและได้ดำเนินการประสานกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมลงพื้นที่ตรวจสอบ และระงับการใช้ข้อมูลในทันที

ทั้งนี้ ได้ประสานเข้าแจ้งความเพื่อดำเนินคดีตามกฎหมายกับผู้ก่อเหตุ โดยเท่าที่ทราบคือกลุ่มแฮ็กเกอร์ตระเวนทำไปเรื่อยไม่ได้เจาะจง หรือเลือกเฉพาะข้อมูลของคนไข้โรงพยาบาล โดยก่อนหน้านี้ พบว่ามีการแฮ็กข้อมูลระบบการรักษาของโรงพยาบาลสระบุรี ซึ่งทำให้ไม่สามารถใช้ระบบได้ และในครั้งนั้นเป็นการแฮ็กข้อมูลเพื่อเรียกค่าไถ่ แต่ครั้งนี้เป็นการแฮ็กเพื่อนำเอาข้อมูลไปขายเท่านั้น ยืนยันไม่กระทบต่อระบบข้อมูลของโรงพยาบาล ยังสามารถใช้งานได้ตามปกติ

ด้าน นายแพทย์อนัน กนกศิลป์ ผู้อำนวยการศูนย์เทคโนโลยีสาระสนเทศและการสื่อสาร ระบุว่า เซิร์ฟเวอร์ที่เป็นปัญหานั้นเป็นเซิร์ฟเวอร์ที่แยกออกมาจากเซิร์ฟเวอร์หลักของโรงพยาบาล โดยศูนย์เทคโนโลยีความปลอดภัยทางไซเบอร์ร่วมกับศูนย์ความปลอดภัยทางเทคโนโลยี กระทรวงสาธารณสุขได้เข้าตรวจสอบระบบทำการปิดระบบและตัดอินเตอร์เน็ตแล้ว ทั้งนี้ ได้มีการจัดตั้งศูนย์เฝ้าระวังความปลอดภัยข้อมูลทางไซเบอร์ ในภาคสุขภาพ และ หน่วยงานตอบโต้สถานการณ์ฉุกเฉินขึ้นมาเพื่อจัดการปัญหาดังกล่าว เพื่อป้องกันปัญหาที่จะเกิดขึ้นในอนาคต

ขณะที่นายแพทย์ สุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ กล่าวว่า กรณีนี้ถือว่าเป็นความผิดตามกฏหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 มาตรา 7 ที่ระบุว่าข้อมูลสุขภาพส่วนบุคคลถือเป็นสิทธิส่วนบุคคลจะเปิดเผยไม่ได้เว้นแต่จะได้รับความยินยอมจากคนนั้นนั้นหากมีการ นำไปเผยแพร่มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ นอกจากนี้ยังมีข้อกฎหมายอื่นๆที่เกี่ยวข้อง เช่น พรบ.ระบบข้อมูลคอมพิวเตอร์ พรบ.ข้อมูลข่าวสารส่วนบุคคล