สธ.ขอโทษรับ รพ.เพชรบูรณ์ถูกแฮกข้อมูล 16 ล้านเรคคอร์ด ไม่ใช่ 16 ล้านคน เหตุทั้งจังหวัดมีคนไม่ถึงล้าน เบื้องต้นไม่ใช่เซิร์ฟเวอร์หลักที่มีข้อมูลผู้ป่วย รับมีจุดอ่อนต้องเชื่อมอินเทอร์เน็ต
เมื่อวันที่ 7 ก.ย.64 ที่กระทรวงสาธารณสุข นพ.ธงชัย กีรติหัตยากร รองปลัดกระทรวงสาธารณสุข กล่าวถึงกรณีการแฮ็กข้อมูลผู้ป่วยในระบบสุขภาพ ของกระทรวงสาธารณสุข ว่า ได้รับรายงานวันที่ 5 ก.ย.ที่ผ่านมา ว่า รพ.เพชรบูรณ์ ถูกแฮ็กข้อมูล หลังได้รับรายงานมีการตั้งคณะกรรมการ เพื่อตรวจสอบข้อเท็จจริง และประเมินความเสียหาย ทั้งนี้ ข้อมูลที่มีการประกาศขายผ่านสื่อออนไลน์นั้น ไม่ได้อยู่ในระบบฐานข้อมูลการบริการคนไข้ปกติ แต่เป็นข้อมูลที่อยู่ในโปรแกรมซึ่งทำขึ้นเพื่ออำนวยความสะดวกเจ้าหน้าที่ที่ดูแลคนไข้
ฐานข้อมูลที่ได้ไปเป็นฐานข้อมูลที่เจ้าหน้าที่เขียนโปรแกรมขึ้นมาใหม่แบบโอเพนซอร์ส เพื่ออำนวยความสะดวกให้เจ้าหน้าที่ดูแลคนไข้ โดยนำมาแปะกับเซิร์ฟเวอร์ของ รพ. ได้แก่ ฐานข้อมูลการออดิทชาร์ทของแพทย์เมื่อจำหน่ายผู้ป่วยออกที่ต้องมีการสรุปก่อนนำไปเคลมการรักษาต่อ มีประมาณ 10,095 ราย ฐานข้อมูลการนัดผู้ป่วย ชื่ออะไร มา รพ.วันไหน , ฐานคือตารางเวรของแพทย์ขึ้นเวรวันที่เท่าไร และฐานข้อมูลการคำนวณรายจ่ายในการผ่าตัดของกลุ่มออโธปิดิกส์ทั้งหมด 692 ราย เพื่อซื้ออุปกรณ์ เช่น การผ่าเข่า เป็นต้น ดังนั้น ข้อมูลที่ได้ไปส่วนใหญ่จึงเป็นชื่อ นามสกุล บางไฟล์มีเบอร์โทรศัพท์ สิทธิการรักษา เช่น บัตรทอง ข้าราชการ ประกันสังคม ตารางการนัดคนไข้ ข้อมุลมากสุด คือ ชื่อโรคอะไร
“ยืนยันว่าฐานข้อมูลทั้งหมดไม่อยู่ในฐานข้อมูลการรักษาทั่วไปของ รพ. จึงไม่ได้ข้อมูลลึกในรายละเอียดถึงผลแล็บ หรือเคยแพ้ยาอะไร มีโรคประจำตัวที่ต้องเฝ้าระวังอย่างไร ส่วนที่ระบุว่าเป็นข้อมูล 16 ล้านคนไม่ใช่เรื่องจริง เพราะเพชรบูรณ์ประชากรไม่ถึงล้านคน ที่เขียนคือ 16 ล้านเรคคอร์ด ซึ่งไม่ใช่ 1 คนต่อเรคคอร์ด ข้อมูลมีเพียง 10,095 ราย ขณะนี้ดำเนินการแจ้งความแล้ว และให้กระทรวงดิจิทัลฯ ติดตามว่าผู้ที่แฮกเป็นใคร มาจากต่างประเทศหรือไม่ โดยตำรวจจะร่วมดำเนินการ” นพ.ธงชัยกล่าว
รองปลัดสธ. กล่าวต่อว่า สำหรับที่มีการรายงานข่าวออกมาว่ามีข้อมูลคนไข้ถูกนำออกไปกว่า 16 ล้านราย นั้น ไม่เป็นความจริง เฉพาะประชากรที่เพชรบูรณ์ก็ไม่ถึงล้านคนแล้ว ความจริงคือตัวเลข 16 ล้านนั้น เป็นตัวเลขการบันทึก 16 ล้านครั้ง แต่มีข้อมูลประชาชน 10,095 ราย ขณะนี้แจ้งความดำเนินคดีแล้ว แต่ยังไม่ทราบมูลเหตุจูงใจ แต่พฤติกรรมของแฮ็กเกอร์นั้นเจาะไปทั่ว ที่ไหนมีจุดอ่อนก็เจาะเข้าไป เพื่อเอาข้อมูลไปขาย ซึ่งการแฮ็กข้อมูลที่ รพ.เพชรบูรณ์ ครั้งนี้ต่างจากการแฮ็กข้อมูลที่ รพ.สระบุรี ที่ถูกเจาะเข้าฐานข้อมูลผู้ป่วย ไม่สามารถเปิดข้อมูล กระทบกับการให้บริการผู้ป่วย อีกทั้งยังมีการเรียกค่าไถ่ด้วย แต่เราแก้ปัญหาได้ ไม่ต้อจ่ายเงินค่าไถ่แต่อย่างใด ส่วนที่รพ.เพชรบูรณ์ ไม่ได้เจาะเข้าระบบฐานข้อมูลสุขภาพใหญ่ ไม่ได้เรียกค่าไถ่ และไม่กระทบการให้บริการสาธารณสุข
“เรื่องนี้รองนายกรัฐมนตรีและรมว.สาธารณสุข ให้ความสำคัญเรื่องนี้มาก และเร่งรัดให้มีการตั้งศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ด้านสุขภาพฯ คาดว่าจะตั้งได้ภายในปี 2564 โดยจะมีการหารือกันในวันนี้ (7 ก.ย.)” นพ.ธงชัย กล่าว และว่า ตรวจสอบแล้ว เจ้าหน้ารพ.เพชรบูรณ์ ไม่มีส่วนเกี่ยวข้อง ส่วนสื่อต่างๆ ที่มีการเผยแพร่ข้อมูลสุขภาพผู้ป่วยโดยไม่มีการปิดบัง หรือไม่ได้รับการยินยอมก็ถือว่ามีความผิดด้วย
ด้านนายสุทธิพงษ์ วสุโสภาพล รองเลขาธิการคณะกรรมการสุขภาพแห่งชาติ (สช.) กล่าวว่า ข้อมูลสุขภาพบุคคลจะได้รับการคุ้มครอง ตามมาตรา 7 แห่งพ.ร.บ.สุขภาพแห่งชาติ ถือเป็นความับ ใครที่นำออกไปเผยแพร่จะมีความผิดตามมาตรา 49 มีโทษจำคุก 6 เดือน ปรับไม่เกิน 1 หมื่นบาท หรือทั้งจำทั้งปรับ แต่เป็นความผิดที่ยอมความได้ ไกล่เกลี่ยได้ อย่างไรก็ตาม นอกจากก.ม.ดังกล่าวแล้ว ยังถือว่าผิดพ.ร.บ.คอมพิวเตอร์ และพ.ร.บ.ข้อมูลข่าวสารของราชการ
