รองปลัดกระทรวงสาธารณสุข แถลงกรณีแฮกเกอร์ประกาศขายข้อมูล 2.2 ล้านชื่อ ย้ำชัดไม่ได้หลุดจากระบบของกระทรวงสาธารณสุขตามอ้าง แจงมีขั้นตอนตรวจสอบ 3 ชั้น ทำงานร่วมกับหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ พร้อมวางระบบและแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์และคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐาน พร้อมปรับเพิ่มกรอบวงเงินสนับสนุนการจัดหาระบบป้องกัน
วันที่ 20 มีนาคม 2567 ที่กระทรวงสาธารณสุข จ.นนทบุรี นพ.พงศธร พอกเพิ่มดี รองปลัดกระทรวงสาธารณสุข พร้อมด้วย พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แถลงข่าวกรณีแฮกเกอร์ประกาศขายข้อมูลที่อ้างว่ามาจากหน่วยงานของ สธ. 2.2 ล้านชื่อ โดย นพ.พงศธรกล่าวว่า กระทรวงสาธารณสุขได้รับการประสานแจ้งเหตุการณ์จากหน่วยงานตรวจสอบความปลอดภัยไซเบอร์ ตั้งแต่วันที่ 16 มีนาคม ที่ผ่านมา และได้เข้าไปตรวจสอบข้อมูลในเว็บไซต์ของมิจฉาชีพดังกล่าว ซึ่งมีการนำข้อมูลมาแสดงตัวอย่างประมาณ 100 รายการ โดยเป็นชื่อนามสกุล เลขบัตรประจำตัวประชาชน เบอร์โทรศัพท์มือถือ และวันเดือนปีเกิดที่แสดงเป็นปี ค.ศ. ไม่มีข้อมูลที่เกี่ยวข้องกับด้านสุขภาพ ซึ่งข้อมูลเหล่านี้เป็นข้อมูลพื้นฐานทั่วไปที่ไม่สามารถระบุได้ว่าเป็นของหน่วยงานใด ที่สำคัญคือ เป็นข้อมูลที่ไม่ตรงกับฐานข้อมูลของกระทรวงสาธารณสุข โดยเฉพาะเบอร์โทรศัพท์มือถือ และจากการตรวจสอบระบบฐานข้อมูลที่เกี่ยวข้องทั้งหมด รวมถึงเหตุการณ์โจมตีระบบ ไม่พบหลักฐานว่ามีการเจาะระบบหรือนำข้อมูลออกไปจากระบบ จึงมั่นใจว่า 100 รายชื่อที่ประกาศขายไม่ได้มาจากกระทรวงสาธารณสุข
นพ.พงศธร กล่าวว่า ปัจจุบันข้อมูลที่มีการหลุดออกมาจำนวนมากทั้งต่างประเทศและประเทศไทย มักเป็นเหตุการณ์ที่โดนโจมตีจากแฮกเกอร์ระดับนานาชาติ ประเทศที่พัฒนาแล้วอย่างสหรัฐอเมริกาหรือญี่ปุ่นยังถูกโจมตีได้ จึงมีความจำเป็นที่จะต้องพัฒนาความมั่นคงทางไซเบอร์ให้สามารถรับมือการถูกโจมตี และยังให้บริการผู้ป่วยต่อไปได้ โดยมีการพัฒนาผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศระดับสูง จัดตั้งศูนย์ประสานการรักษาความมั่นปลอดภัยไซเบอร์ด้านสาธารณสุข และพัฒนาคุณภาพระบบเทคโนโลยีให้ได้มาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์แบบรวม ทั้ง HAIT+ ISO27001 ISO27799 และ NIST Cybersecurity Framework มีมาตรฐานกระบวนการพัฒนาระบบซอฟต์แวร์ อาทิ การค้นหาช่องโหว่ของระบบ, การทดลองเจาะระบบ รวมถึงอบรมพัฒนาบุคลากรทั้งด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล และความรอบรู้ด้านความปลอดภัยไซเบอร์ พร้อมทั้งจัดหาอุปกรณ์ที่จำเป็น เช่น อุปกรณ์สำรองข้อมูล Firewall เป็นต้น โดยมีการปรับเพิ่มกรอบวงเงินในการพิจารณาจัดหาระบบคอมพิวเตอร์ โดยระดับกระทรวงสาธารณสุข เกิน 50 ล้านบาทแต่ไม่เกิน 100 ล้านบาท ระดับกรม/เขตสุขภาพ ไม่เกิน 50 ล้านบาท สำนักงานสาธารณสุขจังหวัด ไม่เกิน 10 ล้านบาท โรงพยาบาลศูนย์/โรงพยาบาลทั่วไป ไม่เกิน 5 ล้านบาท รวมถึงปรับระเบียบในการจัดซื้อจัดจ้างให้สามารถจัหาครุภัณฑ์และระบบความมั่นคงปลอดภัยทางไซเบอร์ได้รวดเร็วขึ้น
ด้าน พล.อ.ต.อมรกล่าวว่า ตั้งแต่ปี 2564 สกมช. ตรวจพบการรั่วไหลของข้อมูลหน่วยงานภาครัฐและเอกชนมีจำนวนไล่เลี่ยกัน ซึ่งมีข้อสังเกตเพื่อป้องกันความเสี่ยงในการถูกเจาะข้อมูล คือ
- การใช้ยูสเซอร์เนมและพาสเวิร์ดที่อ่อนแอ จะทำให้เกิดการรั่วไหลของข้อมูลได้ ดังนั้นควรเปลี่ยนพาสเวิร์ดทุก 90 วัน หรือใช้ ThaID (ไทยดี) ซึ่งเป็นระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล ทำให้ปลอดภัยมากขึ้น
- ระบบแบ็กอัปข้อมูลไม่ได้แยกจากระบบจริง อาจจะแยกเซิร์ฟเวอร์ แต่ยังอยู่ในเน็ตเวิร์กเดียวกัน ทำให้แฮกเกอร์ตามไปโจมตีได้
- การจ้างผู้พัฒนาระบบของหน่วยงานรัฐ มีโอกาสข้อมูลรั่วในระหว่างกำลังพัฒนาซึ่งมีการเชื่อมต่ออินเทอร์เน็ตได้ ดังนั้นต้องติดตามกำกับดูแลความปลอดภัยตั้งแต่เริ่มมีการจ้าง