บทเรียนแฮกข้อมูลคนไข้ สธ.สู่การลงทุนกับ Cyber Security ในไทย

หลังมีการเผยแพร่ข้อมูลและภาพเรื่องข้อมูลคนไข้ของกระทรวงสาธารณสุขโดนแฮก 16 ล้านรายชื่อ ในฐานข้อมูลจำนวน 146 ไฟล์ ขนาด 3.75 GB อัปเดตล่าสุดเมื่อวันที่ 5 ก.ย. 2564 วางจำหน่ายในราคา 500 เหรียญสหรัฐ  ผู้เผยแพร่ยังบอกด้วยว่าเว็บไซต์ Raidforums.com ก่อนหน้าได้มีการ Hack เว็บ e-commerce ขายของรายใหญ่ไปแล้ว คราวนี้ได้มี Hack และโพสต์ขายข้อมูลของคนไข้ของกระทรวงสาธารณสุข 

เรื่องนี้ทางกระทรวงสาธารณสุขและหน่วยงานที่เกี่ยวข้องก็ออกมายอมรับว่ามีข้อมูลหลุดออกไปจริง อาทิ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส ตำรวจไซเบอร์ ร่วมประสานงานกันเพื่อตรวจสอบ และล่าสุดโรงพยาบาลเพชรบูรณ์ ได้เข้าแจ้งความเพื่อดำเนินคดีกับผู้แฮกข้อมูลของโรงพยาบาล ที่สภ.เมืองเพชรบูรณ์เรียบร้อยแล้ว พร้อมยืนยันว่าข้อมูลที่หลุดออกไปไม่ได้เป็นข้อมูลเชิงลึก เป็นเพียงข้อมูลทั่วไปเท่านั้น และมีเพียง 10,000 กว่ารายชื่อ

แต่เรื่องก็ยังไม่จบแถมหนักกว่าเดิม เมื่อเพจเฟซบุ๊ก “น้องปอสาม” ซึ่งออกมาเปิดเผยข้อมูลก่อนหน้านั้น ได้ระบุว่า แฮกเกอร์มีข้อมูลส่วนบุคคลหลุดมาขายอีก 30 ล้านรายชื่อ มีทั้งเลขบัตรประชาชน เบอร์ติดต่อ ที่อยู่ และ วันเกิด พร้อมกับย้ำว่ามีคนสนใจไปขอรายละเอียดเพิ่มเติม ไม่แน่ใจว่างานนี้จะมีที่ไหนโดนเจาะมาอีกบ้าง อันนี้ต้องตรวจสอบอีกครั้ง

ตำรวจไซเบอร์ บอกว่ามีความเป็นไปได้ที่แฮกเกอร์จะมีข้อมูลที่มากกว่านี้ เชื่อว่าเป็นข้อมูลจริงที่แฮกเกอร์อาจใช้วิธีการเจาะเข้าระบบจากการส่งลิงค์เชิญชวนในรูปแบบต่างๆ ก่อนที่พนักงานหรือข้าราชการภายในโรงพยาบาลจะกดเข้าไปดูและทำให้ผู้ไม่หวังดีโจมตีเข้าสู่ระบบข้อมูลของกระทรวงสาธารณสุขได้ หรืออาจเป็นความประมาทเลินเล่อของเจ้าหน้าที่ระบบที่ตั้งรหัสผ่านให้คาดเดาได้ง่ายเกินไป ทำให้คนร้ายสุ่มกดจนเข้าสู่ระบบทั้งหมดได้

เบื้องต้นพบว่าเว็บไซต์ตั้งขึ้นในประเทศอินเดีย และมีเซิร์ฟเวอร์อยู่ที่ประเทศสิงคโปร์ แฮกเกอร์กลุ่มนี้น่าจะเป็นกลุ่มเดียวกับที่เคยก่อเหตุเจาะเข้าฐานข้อมูลของโรงพยาบาลแห่งหนึ่งในภาคตะวันออกเฉียงเหนือและธนาคารกรุงไทยที่เคยเป็นข่าวไปก่อนหน้าน้า หากทางหน่วยงานที่ได้รับความเสียหายเข้ามาแจ้งความดำเนินคดี เจ้าหน้าที่จะเร่งทำสืบสวนสอบสวนหาต้นตอของคนร้ายรายนี้มาดำเนินคดีให้ได้

“เรื่องการถูกแฮกระบบเกิดขึ้นอยู่ตลอดเวลา เพียงแต่อาจจะไม่รู้เพราะไม่เป็นข่าว เรื่องนี้ไม่ใช่เรื่องธรรมดา ถ้าคนแฮกไม่เก่ง ก็เป็นที่ระบบของเราไม่ดี ที่สำคัญไม่ควรให้มีข่าวแบบนี้บ่อยๆ เพราะส่งผลต่อความเชื่อมั่นของประชาชนที่มีต่อระบบสาธารณสุขของไทยที่ไม่ปลอดภัย ปัญหาต่างๆ จะยิ่งไปกันใหญ่ อย่าทำให้เป็นเรื่องธรรมดา เรื่องนี้ต้องตรวจสอบและมาดูว่าเกิดอะไรขึ้น จะต้องแก้ไขอย่างไร”

ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และที่ปรึกษาคณะกรรมาธิการร่าง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กล่าวและบอกอีกว่า

ประเทศไทยมีกฎหมายที่เกี่ยวข้องโดยตรงก็คือ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ถือเป็นโครงสร้างพื้นฐานทางสารสนเทศที่สำคัญมาก ซึ่ง พ.ร.บ. 2 ฉบับนี้ถูกปล่อยออกมาพร้อมกันแต่ไม่ได้ถูกบังคับใช้พร้อมกัน

ปัจจุบัน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ 2562 ถูกบังคับใช้ เหลือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ยังไม่ได้บังคับใช้ เพราะมีการเลื่อนการบังคับใช้ ออกไปก่อนจนถึงวันที่ 31 พ.ค. 2565 เหตุมีผลกระทบจากโควิด ทำให้ขณะนี้จึงยังไม่มีหน่วยงานระดับชาติที่มีอำนาจหน้าที่รับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคลของภาครัฐและภาคเอกชน โดยเฉพาะข้อมูลส่วนบุคคลด้านสุขภาพ

ดร.ปิยะบุตร ฉายภาพรวมระบบป้องกันความปลอดภัยไซเบอร์ (Cyber security) ในประเทศไทยให้เห็นว่า ไม่ค่อยดีนัก มีจุดอ่อนมานานแล้ว ทำให้ต้องมีการออก พ.ร.บ. ไซเบอร์ ฯ แต่ก็ยังต้องพยายามอีกมาก ทั้งในเรื่องการสั่งการระดับผู้บริหาร การลงทุนกับระบบและบุคคลากร

 “เรื่องแบบนี้ทำไม่ได้ถ้าผู้บริหารไม่สั่ง ไม่ลงทุน ในส่วน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เข้าใจว่าคนเริ่มให้ความตระหนักก็มีความคืบหน้า แต่ พ.ร.บ.ไซเบอร์ฯ เงียบ ไม่ขยับ ไม่เห็นการจัดสรรงบประมาณ ไม่เห็นการสั่งการ ทั้งที่ความเป็นจริง พ.ร.บ. ทั้ง 2 ฉบับต้องทำคู่ขนานกันไปในระดับข้อมูลและระบบก็ต้องปลอดภัย”

ดร.ปิยะบุตร ย้ำว่า พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่เป็นกฎหมายป้องกันเรื่องนี้โดยตรง และหลายหน่วยงานที่เป็นภาคเอกชนก็เริ่มดำเนินการกันไปบ้างแล้ว เช่น การเงิน การธนาคาร จะมีระบบป้องกันเต็มที่ และหากหน่วยงานใดละเลยปล่อยให้มีการแฮกข้อมูลได้ตาม พ.ร.บ.ไซเบอร์ฯ ก็มีบทลงโทษ

“ถ้าหน่วยงานไหนละเมิดปล่อยให้มีการแฮกข้อมูลได้ พ.ร.บ. ไซเบอร์และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีบทลงโทษไล่ลำดับไปตั้งเเต่โดนปรับไปจนถึงจำคุกได้”