อนุทินยอมรับข้อมูลคนไข้กว่า 16 ล้านรายถูกเจาะ สั่งยกระดับการป้องกันระบบคอมพิวเตอร์ สธ.

7 ก.ย. 2564 - 21:02 น.

นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (รมว. สธ.) สั่งให้เจ้าหน้าที่สารสนเทศเร่งแก้ไขปัญหาข้อมูลคนไข้หลุด และยกระดับความปลอดภัยทางไซเบอร์อย่างเต็มที่ หลังจากมีการโพสต์ข้อมูลเกี่ยวกับผู้ป่วยที่ลักลอบนำมาจากฐานข้อมูลของโรงพยาบาลเพื่อนำมาขายในเว็บไซต์

เกาะติดข่าว กดติดตาม ข่าวสด

ช่วงเช้าวันนี้ (7 ก.ย.) นายอนุทินกล่าวถึงกรณีที่ข้อมูลคนไข้ของ สธ. หลุดออกสู่สาธารณะกว่า 16 ล้านรายว่า ได้ตรวจสอบข้อมูลเบื้องต้นแล้ว พบว่าเหตุเกิดที่ จ.เพชรบูรณ์

รมว. สธ. ยังได้สั่งการให้ศูนย์เทคโนโลยีสารสนเทศตรวจสอบรายละเอียดของเหตุการณ์ครั้งนี้ ซึ่งเบื้องต้นทราบว่าข้อมูลที่หลุดออกไปเป็นข้อมูลทั่วไปของคนไข้ ไม่ใช่ข้อมูลที่เป็นความลับจึงไม่ควรตื่นตระหนกจนเกินไป

mock up of a computer screen and phone screen hacking
Getty Images

นายอนุทินกล่าวว่าโรงพยาบาลทุกแห่งเก็บข้อมูลคนไข้แบบมีลำดับขั้นความลับอยู่แล้ว อย่างไรก็ตามได้มอบหมายให้ นพ. เกียรติภูมิ วงศ์รจิต ปลัด สธ. เร่งจัดการแก้ไขปัญหา และปรับปรุงมาตรการป้องกันความปลอดภัยทางไซเบอร์ให้รัดกุมมากขึ้น

ประเด็นดังกล่าวกลายเป็นที่สนใจในสังคมหลังจากเฟซบุ๊กแฟนเพจที่ใช้ชื่อว่า “น้องปอสาม” ซึ่งเป็นผู้ให้ข้อมูลด้านพลังงานมีผู้ติดตามอยู่ราว 7.3 หมื่นคนออกมาโพสต์ข้อความเพื่อชี้เป้าไปที่เว็บไซต์ Raidforums.com ที่เผยแพร่ข้อมูลที่เจาะมาได้เพื่อขาย โดยข้อมูลดังกล่าวเป็นข้อมูลของผู้ป่วยของ สธ. เช่น ชื่อผู้ป่วย, ที่อยู่, โทรศัพท์, รหัสประจำตัว, หมายเลขโทรศัพท์มือถือ, วันเดือนปีเกิด, ชื่อบิดา, ชื่อโรงพยาบาล, ข้อมูลแพทย์ทั้งหมด, แผนกที่เข้ารับการรักษา, ชื่อโรงพยาบาลและรหัสผ่านทั่วไปของระบบโรงพยาบาล เป็นต้น

มีรายงานว่า ก่อนหน้านี้เว็บไซต์ดังกล่าวได้เจาะข้อมูลของบริษัทด้านอีคอมเมิร์สรายใหญ่มาแล้ว

โพสต์ดังกล่าวได้รับความสนใจจากผู้ใช้อินเทอร์เน็ตจำนวนมากโดยมีผู้แชร์โพสต์นี้เป็นจำนวนมากกว่า 1.4 หมื่นครั้ง ในจำนวนนั้นยังรวมถึงเพจชื่อดังอย่าง “Drama-Addict”

ต่อมา เว็บไซต์ Raidforums.com ได้นำข้อมูลชุดดังกล่าวออกไปจากระบบแล้ว แต่ก่อนหน้านั้น สื่อหลายสำนักที่ได้เข้าไปตรวจสอบข้อมูลตามลิงก์ที่เพจ “น้องปอสาม” แปะไว้ในโพสต์ดังล่าวพบว่า ผู้ที่ใช้ชื่อว่า Inanimate เป็นผู้โพสต์และประกาศขายข้อมูลที่เจาะได้ด้วยขนาดไฟล์ 3.75 กิกะไบต์ ในราคา 500 ดอลาร์สหรัฐ หรือราว 16,240 บาท

ไม่ใช่ครั้งแรกที่ สธ. ถูกแฮกข้อมูล

เหตุการณ์คล้ายกันนี้เคยเกิดขึ้นมาแล้วครั้งหนึ่งเมื่อวันที่ 8 ก.ย. 2563 ที่โรงพยาบาลสระบุรี ซึ่งได้สร้างความโกลาหลให้กับบุคลากรทางการแพทย์ที่โรงพยาบาลสระบุรีไม่น้อย โดยทำให้ระบบคอมพิวเตอร์ของโรงพยาบาลขัดข้อง และบริการคนไข้อย่างล่าช้า เพราะระบบค้นหาประวัติเก่าใช้การไม่ได้ โดยมีรายงานว่าระบบถูกโจมตีโดย Ransomware และถูกเรียกค่าไถ่เป็นจำนวนถึง 200,000 บิตคอยน์ หรือราว 6.3 หมื่นล้านบาท เพื่อแลกเปลี่ยนกับการคืนข้อมูล

ในเวลาต่อมา นพ.อนันต์ กมลเนตร ผู้อำนวยการโรงพยาบาลสระบุรียอมรับว่าระบบคอมพิวเตอร์ของโรงพยาบาลได้รับกระทบจากแฮกเกอร์ดังกล่าวจริง แต่เรื่องการถูกเรียกค่าไถ่ “ไม่เป็นความจริง”

ปี 63 ไทยรั้งอันดับ 3 ที่ถูกเรียกค่าไถ่ข้อมูลมากที่สุดในอาเซียน

เมื่อเดือน พ.ค. ที่ผ่านมา พ.ต.อ.กฤษณะ พัฒนเจริญ รองโฆษกสำนักงานตำรวจแห่งชาติได้เปิดเผยต่อสื่อมวลชนถึงรายงานสถิติการเกิดการเรียกค่าไถ่ข้อมูลจากศูนย์ข้อมูลข่าวสารอาเซียนว่า ระหว่างช่วงเดือน ม.ค.-ก.ย. 2563 เกิดการเรียกค่าไถ่ข้อมูลกว่า 2.7 ล้านครั้ง ใน 10 ประเทศอาเซียน

สำหรับประเทศไทยมีสถิติเรียกค่าไถ่ข้อมูลถึง 192,652 ครั้ง เป็นอันดับที่ 3 รองจากประเทศอินโดนีเซียและประเทศเวียดนาม กลุ่มเป้าหมายเป็นบริษัทเครื่องดื่มและโรงแรมที่พักเป็นส่วนมาก และยังคงเป็นภัยเงียบต่อทุกองค์กร

Creative image of hacker
Getty Images
แฮกเกอร์รีดไถเงินก่อเหตุด้วยวิธีการที่แยบยล เป็นระบบ และมีเป้าหมายที่สูงขึ้น

ส่วนบทลงโทษผู้กระทำความผิดในลักษณะนี้ อาจเข้าข่ายความผิดฐานข่มขืนใจผู้อื่นให้กระทำการใด ไม่กระทำการใด หรือจำยอมต่อสิ่งใด โดยทำให้กลัวว่าจะเกิดอันตรายต่อชีวิต ร่างกาย เสรีภาพ ชื่อเสียงหรือทรัพย์สินของผู้ถูกข่มขืนใจนั้นเองหรือของผู้อื่น มีโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ

นอกจากนี้ยังมีความผิดฐานเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สําหรับตน มีโทษจำคุกไม่เกิน 2 ปี ปรับไม่เกิน 40,000 บาท หรือทั้งจำทั้งปรับ ตาม พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2560 หรือกฎหมายอื่นที่เกี่ยวข้องอีกด้วย

แนวทางการรับมือมัลแวร์เรียกค่าไถ่สำหรับหน่วยงานรัฐ

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เคยออกประกาศเมื่อเดือนต.ค. 2563 เกี่ยวกับแนวปฏิบัติการป้องกันรับมือมัลแวร์เรียกค่าไถ่สำหรับหน่วยงานรัฐดังนี้

1.จัดทำหรือทบทวนแนวนโยบายและแนวปฏิบัติงาน

2. สำรองข้อมูลที่สำคัญ

3. ควบคุมการเข้าถึงเครือข่ายและระบบสารสนเทศ

4. ประเมินความเสี่ยงด้านระบบสารสนเทศ

5. จัดเก็บบันทึกกิจกรรมหรือ log ไปยังพื้นที่จัดเก็บในส่วนกลาง

6. ทบทวน และยกเลิกบริการที่ไม่จำเป็นบนเครื่องให้บริการ

7. กำหนดเจ้าหน้าที่ประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับบริหารกับระดับปฏิบัติการ

8. ให้ความรู้กับผู้ใช้งานในหน่วยงานเกี่ยวกับการป้องกันตนเองจากการติดมัลแวรด์เรียกค่าไถ่

ติดตามข่าวสด

ข่าวเด่นประจำวัน












ภาพที่



อัลบั้มภาพ อนุทินยอมรับข้อมูลคนไข้กว่า 16 ล้านรายถูกเจาะ สั่งยกระดับการป้องกันระบบคอมพิวเตอร์ สธ.
ข่าวที่เกี่ยวข้อง