แฮกข้อมูลผู้ป่วย โรงพยาบาลเพชรบูรณ์

‘ชัยวุฒิ’ เตือน หากทาง รพ.เก็บข้อมูลไม่ระวัง ถือเป็นความผิดเช่นกัน

'ชัยวุฒิ' รมว.ดีอีเอส เผยกรณีแฮกข้อมูลโรงพยาบาลเพชรบูรณ์ ระบบที่ใช้อาจไม่ได้มาตรฐาน

Home / NEWS / ‘ชัยวุฒิ’ เตือน หากทาง รพ.เก็บข้อมูลไม่ระวัง ถือเป็นความผิดเช่นกัน

ประเด็นน่าสนใจ

  • ’ชัยวุฒิ’ รมว.ดีอีเอส เผยกรณีแฮกข้อมูลโรงพยาบาลเพชรบูรณ์ ระบบที่ใช้อาจไม่ได้มาตรฐาน
  • กระทรวง DES ได้ระงับการเชื่อมต่ออินเทอร์เน็ต และมีการจัดทีมเข้าไปวิเคราะห์ข้อมูล เพื่อตรวจสอบและหาตัวผู้ที่เข้ามากระทำความผิด มาดำเนินคดี
  • ระบุหากโรงพยาบาลเก็บข้อมูลไม่ระวัง หากข้อมูลรั่วไหล ถือเป็นความผิดเช่นกัน

วันนี้ (8 ก.ย.64) นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) แถลงกรณีมีการแฮกข้อมูลโรงพยาบาลเพชรบูรณ์ว่า จากการตรวจสอบ ทางโรงพยาบาลมีการพัฒนาระบบพัฒนาแอปพลิเคชั่นขึ้นมากใช้เองภายใน ซึ่งเป็นระบบที่อาจไม่ได้มาตรฐาน มีการใช้มานานและไม่ได้อัปเดตเวอร์ชั่นซอร์ฟแวร์ หรือระบบที่รกาษาความปลอดถภัยทางไซเบอร์ให้ได้ตามมารตฐาน และมีการเชื่อมอินเตอร์เน็ตซึ่งทำให้ถูกโจมตีได้

เมื่อกระทรวง DES ทราบจึงระงับการเชื่อมต่ออินเทอร์เน็ต และมีการจัดทีมเข้าไปวิเคราะห์ข้อมูล เพื่อตรวจสอบว่ามีใครเข้าไปในระบบ และหาตัวผู้ที่เข้ามากระทำความผิด เพื่อดำเนินคดี โดยความผิดตามกฎหมายความมั่นคงทางไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือมีโทษจำคุก 1 ปี ปรับ 1,000,000 บาท

ซึ่งความผิดที่เกิดขึ้นมองได้เป็นสองส่วน ส่วนแรกคือแฮกเกอร์ มีความผิดในส่วนของ พ.ร.บ.คอมพิวเตอร์ มาตรา 7 การเข้าถึงข้อมูลที่มีระบบป้องกันไว้โดยมิชอบ จำคุก 2 ปี ปรับไม่เกิน 40,000 บาท และในส่วนที่สองคือเป็นความผิดของผู้คุ้มครองข้อมูล หรือโรงพยาบาล ซึ่งมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแม้จะขยายเวลาออกไปถึง 31 พ.ค.2565

แต่ พ.ร.ฎ. เขียนว่า “ทั้งนี้ ต้องดำเนินการตามมาตรการที่กระทรวงกำหนด” ซึ่งเมื่อวันที่ 17 ก.ค.2563 ได้มีการประกาศกฎกระทรวงว่าด้วยมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล พ.ศ.2563 มีมาตรฐานขั้นต่ำในการรักษาความปลอดภัยข้อมูลไซเบอร์ รวมทั้งการกำหนดตัวตนเข้าถึง มีการมอบนโยบายเจ้าหน้าที่ในหน่วยงานในการคุ้มครองข้อมูลส่วนบุคคล หากโรงพยาบาลไม่ได้ดำเนินการจะถือว่ามีความผิดทั้งทางแพ่ง ค่าสินไหมไม่เกิน 2 เท่า ทั้งทางอาญา และทางปกครองปรับสูงสุด 5,000,000 บาท

ส่วนการแก้ไข อยากเชิญให้กระทรวงสาธารณสุข ปรับปรุงระบบและเข้าร่วมกับไทยเซิร์ต โดยการนำชื่อโรงพยาบาลระดับจังหวัดเข้าสู่ระบบการเฝ้าระวังของไทยเซิร์ตด้วย ซึ่งจะเป็นการปิดโอกาสไม่ให้มีภัยคุกคามทางไซเบอร์ได้ เพราะที่ผ่านมา ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ไทย (ไทยเซิร์ต) จะมีการประสารหน่วยราชการทุกกระทรวง เพื่อเผ้าระวังเรื่องความปลอดถัยให้แล้วกว่า 250 หน่วยงาน

ภาพ : ธนโชติ ธนวิกรานต์