ข้อมูลผู้ป่วย รพ.ศิริราชหลุดล็อตใหญ่ งานนี้ Data รั่วไหลหรือใครเอาไปขาย?
ข่าวล่ามาแรงกระทบ Data Privacy ประชาชนคนไทยอีกครั้ง เมื่อมีใครบางคนโพสต์เสนอขายข้อมูลผู้ป่วยถึง 39 ล้านราย! และเป็นประเด็นถกเถียงกันต่อว่า ข้อมูลหลุดออกมาจาก รพ.ศิริราช
ปี 2563 มีข่าวว่า รพ.สระบุรี ถูกแฮกเกอร์เรียกค่าไถ่ข้อมูลผู้ป่วย 6.3 หมื่นล้านบาท ปีต่อมาก็มีเคส ข้อมูลผู้ป่วยของโรงพยาบาลเพชรบูรณ์ โดนแฮก 16 ล้านราย มาถึงเดือนแรกของปี 2565 ก็มีเรื่องข้อมูลผู้ป่วย 38.9 ล้านราย หลุดออกมาจาก โรงพยาบาลศิริราช
ข้อมูลผู้ป่วยหลุดครั้งล่าสุด หลุดมาจากไหน?
มีข่าวว่า ผู้โพสต์ชื่อ WraithMax ประกาศขายข้อมูลบุคคลที่ดาวน์โหลดมาจากภาคสาธารณสุข ผ่านทาง raidforums.com เว็บไซต์แชร์ฐานข้อมูล ซึ่งเคยปรากฏชื่อตอนเกิดเรื่องที่ รพ.เพชรบูรณ์เช่นกัน!
ไฟล์ข้อมูลที่หลุดนั้น WraithMax เผยว่า ชื่อ ที่อยู่ เลขบัตรประจำตัวประชาชน เบอร์โทรศัพท์ เพศ วันเดือนปีเกิด ฯลฯ ให้ดูตัวอย่างก่อนได้ผ่านแอป Telegram ทั้งยังบอกด้วยว่า ต่อรองราคาได้และจะขายให้ผู้ซื้อเพียงเจ้าเดียวเท่านั้น
งานนี้ไม่ได้มีเพียงข้อมูลผู้ป่วย รพ.ศิริราช แต่ยังมีข้อมูลผู้ป่วย VIP จาก รพ.ศิริราช ปิยมหาราชการุณย์ หลุดออกมาอีกด้วย
นพ.สุธี ทุวิรัตน์ ผู้เชี่ยวชาญด้านความปลอดภัยระบบสารสนเทศ กล่าวกับหนังสือพิมพ์บางกอกโพสต์เมื่อวันที่ 10 มกราคม 2565 ว่า
“มีข้อมูลจำนวนมากเกี่ยวกับประวัติผู้ป่วยของ รพ.ศิริราช ที่รั่วไหลและถูกนำมาเสนอขาย”
นพ.สุธียังบอกอีกว่า โรงพยาบาลในท้องถิ่นหลายแห่งยังไม่มีทีมดูแลความปลอดภัยทางไซเบอร์ ซึ่งอันที่จริง เป็นสิ่งที่องค์กรทั้งหลายต้องใส่ใจและลงทุน
แม้แต่ห้างสรรพสินค้าที่ใช้โซลูชันด้านความปลอดภัยทางไซเบอร์ก็ยังโดนแฮกได้ ดังนั้น ถ้าภาคส่วนใดเก็บข้อมูลบุคคลแล้วไม่มีเครื่องมือป้องกันเลย ก็มีโอกาสโดนแฮกได้ง่าย กู้คืนได้ยาก หรืออาจสูญเสียข้อมูลไปตลอดกาล
ย้อนอ่านเรื่องราวที่เคยเกิดขึ้น
- ตร.ไซเบอร์ ส่งฝ่ายเทคนิค เข้าตรวจสอบข้อมูลคนไข้ถูกแฮก
- สรุป 4 ประเด็นจากเหตุ โรงพยาบาลเพชรบูรณ์โดนแฮกข้อมูล และแนวทางรับมือ
- แฮกเกอร์ ประกาศขายข้อมูลส่วนตัวคนไทย อ้างมี 30 ล้านรายชื่อ!
พูดมาขนาดนี้ คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล ขอชี้แจงบ้าง!
กรณีที่มีข้อมูลผู้ป่วยหลุด นอกจากเจ้าตัวหรือบุคคลผู้เป็นเจ้าของข้อมูลจะต้องแบกรับความเสี่ยงที่อาจตามมา เช่น อาจโดนโจรไซเบอร์นำไปหาประโยชน์ หลอกหลวง ฉ้อฉล หรือนำใช้ในทางมิชอบอื่นๆ ส่วนองค์กรหรือสถาบันที่เป็นผู้รวบรวมข้อมูลก็จะเสียความน่าเชื่อถือและความไว้วางใจจากผู้รับบริการไปด้วย
ทางศิริราชจึงออกเอกสารชี้แจง ดังนี้
.....................
ศิริราชชี้แจงข้อมูลผู้ป่วยที่ประกาศขายผ่านเว็บไซต์ ไม่ใช่ฐานข้อมูลของ รพ.ศิริราช
ตามที่มีการรายงานข่าวประกาศขายข้อมูลส่วนบุคคลของผู้ป่วยโรงพยาบาลศิริราช ผ่านเว็บไซต์แห่งหนึ่ง เมื่อวันที่ 9 มกราคม 2565 ทางคณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล ได้ตรวจสอบข้อเท็จจริงร่วมกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
ตรวจสอบแล้ว ไม่พบการรั่วไหลของข้อมูลจากคณะแพทยศาสตร์ศิริราชพยาบาล และโรงพยาบาลในสังกัด ทั้งนี้ โรงพยาบาลศิริราชยังเปิดให้บริการตามปกติ และไม่มีผลกระทบต่อการรักษาและการให้บริการทางการแพทย์แต่อย่างใด
ทั้งนี้ คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล ขอเรียนให้ผู้รับบริการทุกท่านมั่นใจว่า คณะฯ ให้ความสำคัญในการปกป้องและรักษาข้อมูลส่วนบุคคลของผู้ป่วยอย่างสูงสุดตามมาตรฐานสากล โดยคณะแพทยศาสตร์ศิริราชพยาบาลไม่มีนโยบายการติดต่อกับผู้ป่วยเป็นรายบุคคลเพื่อขอข้อมูลส่วนบุคคลใดๆ
ประกาศ ณ วันที่ 10 มกราคม 2565
คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล
....................
ที่มา
- ศิริราชชี้แจงข้อมูลผู้ป่วยที่ประกาศขายผ่านเว็บไซต์ ไม่ใช่ฐานข้อมูลของ รพ.ศิริราช
- โรงพยาบาลศิริราชระบุข้อมูลไม่ได้รั่วไหล หลังมีคนโพสขายข้อมูล 39 ล้านรายการระบุว่าเป็นของโรงพยาบาล
- Claim on huge patient data leak
- Hospitals urged to beef up cybersecurity after breach report
- Huge patient data leak from Thailand’s largest hospital
