เมื่อวันที่ 8 กันยายน 2564 นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ในฐานะประธานคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แถลงกรณีแฮกเกอร์โจมตีข้อมูลของโรงพยาบาลเพื่อชี้แจงรายละเอียดและแนวทางแก้ไขว่า ได้สั่งการให้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ประสานเข้าไปร่วมทำงานกระทรวงสาธารณสุข ในการลงพื้นที่ตรวจสอบช่องโหว่ของระบบของโรงพยาบาลเพชรบูรณ์ และพูดคุยกับทีมไอทีของโรงพยาบาลฯ ได้ทำการแก้ไขปัญหาเบื้องต้นแล้ว โดยนำระบบที่เป็นปัญหาดังกล่าวออกไปจากการใช้งาน และดำเนินการปิดกั้นการเข้าถึงอินเทอร์เน็ตจากภายนอก อีกทั้ง จากการตรวจสอบไม่พบความเสียหายกับระบบปฏิบัติการที่ใช้ในการดูแลรักษาผู้ป่วย
“ได้ประเมินความเสียหาย ตรวจสอบความเสี่ยงและความปลอดภัยของคอมพิวเตอร์ทั้งหมด มีการสำรองข้อมูลทั้งหมด ทั้งนี้ โรงพยาบาลมีระบบสำรองข้อมูลทุก 1 ชั่วโมง เป็นปกติอยู่แล้วทางโรงพยาบาลได้หารือผู้เชี่ยวชาญจากศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข และขอรับคำปรึกษาจาก สกมช. และกระทรวงดิจิทัลฯ ตั้งแต่ต้น เพื่อให้คำแนะนำและเป็นที่ปรึกษาในการปรับปรุงระบบคอมพิวเตอร์ของโรงพยาบาลให้ปลอดภัย เพื่อสร้างความมั่นใจในการให้บริการต่อไป”นายชัยวุฒิกล่าว
นายชัยวุฒิกล่าวว่า จากเหตุการณ์ที่เกิดขึ้นสามารถแก้ไขได้ด้วยความร่วมมือจากทุกภาคส่วน ซึ่งเป็นความรับผิดชอบของสังคมต่อข้อมูลส่วนบุคคลของประชาชน ไม่ควรตั้งคำถามว่าเกี่ยวข้องหน่วยงานใด เป็นหน้าที่ของทุกหน่วยงานที่ต้องดำเนินการรักษาและจัดเก็บข้อมูลให้ปลอดภัย ซึ่งมีแนวทางในการปฏิบัติระบุไว้แล้วอย่างชัดเจนตาม พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ 2544 พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 ถึงแม้จะมีการขยายการบังคับใช้ออกไป แต่หน่วยที่เก็บข้อมูลส่วนบุคคลยังต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 เมื่อวันที่ 17 กรกฎาคม 2563
นายชัยวุฒิ กล่าวว่าสำหรับการแก้ปัญหาในระยะสั้น ทุกหน่วยงานต้องมุ่งเน้นในด้านนโยบาย กรอบแนวทางปฏิบัติ และยกระดับบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ต้องถือปฏิบัติตาม พรบ.ดังกล่าวข้างต้น มาใช้ในการจัดเก็บข้อมูลต่าง ๆ โดยมุ่งเน้นรับผิดชอบต่อสังคม และประชาชน และสร้างความตระหนักให้บุคลากรของทุกหน่วยงาน มีความเข้มข้นในกลไกการป้องกัน ตรวจสอบ เฝ้าระวัง ส่วนการแก้ปัญหาในระยะยาว คือ กระทรวงสาธารณสุขต้อง centralized ระบบฐานข้อมูล และ แอปพลิเคชั่นต่าง ๆ ซึ่งการเฝ้าระวังเรื่องความปลอดภัยจะทำได้ง่ายขึ้น โดยต้องคำนึงถึงเรื่องความปลอดภัยของข้อมูลเป็นสำคัญ
“ปัญหาที่เกิดขึ้น รพ.เพชรบูรณ์ ยืนยันว่าข้อมูลที่ประกาศขายเป็นข้อมูลเกี่ยวกับรายชื่อประชาชนที่มารับบริการโรงพยาบาล ชื่อแพทย์ที่ดูแล และตารางเวรแพทย์ ข้อมูลสัญญาณชีพ วัน เวลาที่มารับบริการ สิทธิการรักษาเลขประจำตัวผู้ป่วย ทั้งหมดไม่ใช่ฐานข้อมูลการรักษา ไม่มีรายละเอียดเกี่ยวกับการวินิจฉัยและรักษาโรค เป็นข้อมูลทั่วไปที่ไม่มีผลกระทบต่อการดูแลรักษา อีกทั้งข้อมูลรายชื่อที่ถูกแฮกไปมีจำนวนกว่า 1 หมื่นรายชื่อ ไม่ใช่ 1.6 หรือ 16 ล้านรายชื่อตามที่แฮกเกอร์กล่าวอ้าง” นายชัยวุฒิ กล่าว
ทั้งนี้ข้อมูลที่ถูกขโมยไป ประกอบด้วย รายชื่อเวชระเบียนผู้ป่วยใน 10,095 ราย ใช้ในการตรวจสอบระบบเวชระเบียน (ไม่มีรายละเอียดการดูแลรักษา) ข้อมูลรายชื่อผู้ป่วยนอกที่นัดรับการรักษา ประมาณ 7,000 ราย ข้อมูลตารางเวรแพทย์ มีเลข 13 หลักของแพทย์ผู้รักษา 39 ราย เพื่อใช้ในการเข้าถึงฐานข้อมูล ข้อมูลรายชื่อผู้ป่วยในการคำนวณค่าใช้จ่ายในการผ่าตัด 692 ราย ข้อมูลผู้ป่วยโรงพยาบาลสนาม 795 ราย
ด้านนางสาวอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า ปัจจุบันกระทรวงดิจิทัลฯ มีหน่วยงานที่อยู่ภายใต้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) คือ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) ทำหน้าที่เป็นหน่วยงานกลางที่พร้อมให้บริการหน่วยงานต่างๆ ในการเฝ้าระวัง (monitor) การถูกโจมตีระบบ โดยปัจจุบันให้บริการอยู่แล้ว 250 หน่วยงาน ดังนั้นโรงพยาบาลต่างๆ โดยเฉพาะโรงพยาบาลระดับจังหวัด สามารถติดต่อเข้ามาใช้บริการได้
อีกทั้งในเร็วๆ นี้ บมจ. โทรคมนาคมแห่งชาติ (NT) ก็เตรียมเปิดให้บริการลักษณะนี้เช่นกัน เนื่องจากในเรื่องความมั่นคงปลอดภัยไซเบอร์นั้น นอกจากมีระบบที่มั่นคงปลอดภัยแล้ว ยังจำเป็นที่ต้องมีการเฝ้าระวังตลอดเวลาอีกด้วย
