ปัญหาหน่วยงานของรัฐถูกท้าทายจาก “แฮกเกอร์” ด้วยการเจาะระบบเข้ามาโจรกรรมข้อมูลขององค์กร มีมาอย่างต่อเนื่อง ซึ่งก็ทำเร็จบ้าง ไม่สำเร็จบ้าง และ เป็นข่าวบ้าง ไม่เป็นข่าวบ้าง!!
แต่ครั้งนี้กลายเป็นประเด็นอ่อนไหวขึ้นมาทันที เมื่อหน่วยงานที่ถูกแซะข้อมูลไป เป็นหน่วยงานสาธารณสุข คือ รพ.เพชรบูรณ์ ก็ยอมรับว่าโดนแฮกจริงๆ แต่เป็นข้อมูลทั่วไป ไม่ใช่ฐานข้อมูลเชิงลึกเกี่ยวกับการรักษาผู้ป่วยแต่อย่างไร และถูกแฮกไปมีจำนวนกว่า 1 หมื่นรายชื่อ ไม่ใช่ 1.6 ล้านรายชื่อตามที่แฮกเกอร์กล่าวอ้าง
หลังจากนั้นไม่กี่วันก็มีประเด็น ผู้บริหารของ รพ.สถาบันโรคไตภูมิราชนครินทร์ เข้าแจ้งความกับเจ้าหน้าที่ตำรวจ ให้ดำเนินคดีกับแฮกเกอร์ที่ลักลอบเจาะข้อมูลคนไข้ของโรงพยาบาลกว่า 4 หมื่นรายชื่อ!!
กลายเป็นประเด็นสะเทือนวงการสาธารณสุขไทยอีกครั้งติดๆ กัน เพราะครั้งนี้ ได้ข้อมูลส่วนตัวคนไข้ ประวัติการฟอกไต และประวัติการรักษา ฯลฯ
ข้อมูลเหล่านี้ถือเป็นข้อมูลความลับที่นำไปเปิดเผยไม่ได้หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลหรือคนไข้!!
ประกอบกับปัจจุบัน มี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถึงแม้จะมีการขยายการบังคับใช้ออกไป แต่หน่วยงานที่เก็บข้อมูลส่วนบุคคลยังต้องดำเนินการตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
ซึ่งได้กำหนดมาตรฐานขั้นต่ำในการรักษาความปลอดภัยข้อมูลไซเบอร์ เพื่อการคุ้มครองข้อมูลส่วนบุคคล หากโรงพยาบาลไม่ได้ดำเนินการได้ตามมาตรฐานจนเกิดข้อมูลรั่วไหลจากการถูกแฮกเกิดความเสียหายก็ถือว่ามีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ด้วยเช่นกัน
ปัญหาข้อมูลรั่วไหลจากการถูกแฮกไม่ใช่เรื่องใหม่ และเกิดขึ้นบ่อยๆ!!
โดยเรื่องนี้ทาง พลโท ดร.ปรัชญา เฉลิมวัฒน์ เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) กล่าวว่า กลุ่มเฮลท์แคร์ หรือ เกี่ยวกับสุขภาพ ถือเป็นเซกเตอร์ที่มีความเปราะบาง เนื่องจากขาดแคลนบุคลากรด้านไอที ยังไม่รวมถึงบุคลากรด้านไซเบอร์ซิเคียวริตี้ รวมถึงแต่ละโรงพยาบาลก็มี งบประมาณจำกัด จึงให้เจ้าหน้าที่ด้านไอทีของตัวเองพัฒนาเว็บแอพพลิเคชั่นขึ้นมาใช้งานเองภายใน ที่เรียกว่า อินทราเน็ต แต่พอมีโควิด-19 ทำให้มีการเวิร์ก ฟรอม โฮม มีการใช้งานเชื่อมต่ออินเทอร์เน็ตมากขึ้น ทำให้แฮกเกอร์สามารถโจมตีได้ง่าย
ซึ่งขณะนี้ทางกระทรวงสาธารณสุขไม่ได้มีเพียงหน่วยเดียวที่ถูกโจมตี มีหลายหน่วยแต่อาจยังไม่เป็นข่าว เพราะไม่มีความรุนแรง หรือมีข้อมูลความเสียหายไม่มาก!?
จึงจำเป็นที่ทางกระทวงสาธารณสุข ต้องจัดทำระบบที่รวมศูนย์มากขึ้น ไม่ใช่ต่างคนต่างทำ ซึ่งจะทำให้ การเฝ้าระวังทำได้ง่ายขึ้น
ขณะที่ นาวาอากาศเอก อมร ชมเชย รองเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) บอกว่า การป้องกันต่อจากนี้จะต้องมีกระบวนการบริหารจัดการที่ดีขึ้น รวมถึงบุคลากรที่เกี่ยวข้อง โดยแผนระยะสั้น จะมีการอบรมบุคลากรที่เกี่ยวข้องอย่างเร่งด่วนให้ยกระดับขีดความสามารถ ขณะที่หน่วยงานของรัฐจะต้องมีการดำเนินการตามกรอบมาตรฐานที่ทาง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้วางเอาไว้ เพื่อยกระดับมาตรฐานโดยเร่งด่วน
ซึ่งจะมีการประสานกับหน่วยงานที่เกี่ยวข้อง ไม่เฉพาะหน่วยงานของรัฐ รวมถึงหน่วยงานเอกชนเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ต้องเก็บข้อมูลไว้ ที่เกี่ยวข้องกับระบบไอที รวมถึงระบบซีเคียวริตี้ ก็ต้องมีการยกระดับมาตรฐาน ทั้งในส่วนของเว็บแอพพลิเคชั่น ระบบระวังป้องกัน และแผนมาตรฐานการรองรับ เพื่อให้สามารถปกป้องคุ้มครองข้อมูลส่วนบุคคล หรือข้อมูล ที่มีผลต่อประชาชนให้ได้อย่างเต็มที่
“ในเบื้องต้นเมื่อมีเหตุการณ์แฮกและมีข้อมูลส่วนบุคคลรั่วไหล โดยกฎหมายแล้ว หน่วยงานที่ถูกแฮก จะต้องมีการแจ้งมาที่ สกมช. และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส โดยด่วน จากนั้นจะมีการ่วมตรวจสอบประเมินความเสียหาย ต้นเหตุและสาเหตุ เพื่อดำเนินการระงับเหตุไม่บานปลาย และจะมีการประสานหน่วยงานที่เกิดเหตุให้แถลงแสดงความรับผิดชอบ ให้ประชาชนได้รับทราบข้อมูล เพื่อเตรียมการเฝ้าระวังและแก้ไขของในตัวหน่วยงาน และประชาชนที่ได้รับผลกระทบด้วย อย่างไรก็ตามกระบวนการไม่ได้รอให้ทางหน่วยงานแจ้งเพียงอย่างเดียว หากหากตรวจพบทาง สกมช.ก็จะประสานเข้าไปช่วยแก้ไขในเชิงเทคนิคทันทีเช่นกัน”
อย่างเช่นกรณี รพ.เพชรบูรณ์ เมื่อทาง สกมช.รับทราบเกิดเหตุเมื่อช่วงเย็นวันอาทิตย์ที่ 5 ก.ย. ก็ได้ประสานหน่วยงานเพื่อเข้าช่วยเหลือตรวจสอบทันที
อย่างไรก็ตามในการจะติดตามแฮกเกอร์มาดำเนินคดีนั้น ทาง นาวาอากาศเอก อมร ชมเชย ยืนยันว่ากำลังเร่งดำเนินการแต่รายละเอียดไม่สามารถเปิดเผยได้ เมื่อถามถึงโอกาสมีมากน้อยแต่ไนนั้น จากสถิติของ เวิลด์ อีโคโนมิก ฟอรั่ม มีเพียง 0.5% เท่านั้น การติดตามจับตัวคนผิดมาลงโทษไม่ใช่ทางแก้ปัญหา
สิ่งสำคัญ ที่จำเป็นเร่งด่วนคือ การยกระดับในเรื่องของนโยบายแนวทางปฏิบัติของแต่ละหน่วยงาน และเสริมในเรื่องขีดความสามรถของบุคลากรที่เกี่ยวข้อง
จะช่วยสร้างเกราะป้องกันภัยไซเบอร์ได้อย่างมีประสิทธิภาพที่สุด.
จิราวัฒน์ จารุพันธ์
