หลังจากมีข่าวข้อมูลหมอและคนไข้ของโรงพยาบาลเพชรบูรณ์หลุด และถูกนำไปขายบนเว็บไซต์ Raid Forum ด้วยราคา 500 ดอลลาร์ (15,000 บาท) ซึ่งมีทั้งเบอร์โทรศัพท์ ชื่อ-สกุลหมอและคนไข้ อาการป่วย
แม้ภาคราชการไทยจะออกมายืนยันอย่างอุ่นใจว่าไม่ต้องกังวล ไม่ใช่ข้อมูลสำคัญ เป็นข้อมูลยิบย่อย ไม่ใช่ข้อมูลหลัก
แต่ลองคิดดูว่าหากวันนึงมีเบอร์แปลกๆ โทรมาหาคุณในตอนเช้า และถามว่าช่วงนี้เป็นไงบ้าง ช็อตไหม สนใจลงทะเบียนกับเราเพื่อรับโบนัสสำหรับสมาชิกใหม่หรือเปล่า หรืออยู่ดีๆ ตื่นเช้ามามีข้อความประหลาดส่งมาขอยืมเงินคุณ โดยอ้างว่าที่บ้านมีแม่ที่ป่วย ลูกต้องเรียน หมาต้องเลี้ยง คงจะไม่ใช่ความรู้สึกที่ดีแน่
ในโลกยุค 4.0 ข้อมูลส่วนตัวคือสิ่งที่มีคุณค่าสูง และเป็นที่ต้องการของบริษัท รวมถึงหน่วยงานความมั่นคง ข้อมูลส่วนตัวไม่ต่างกับบางส่วนในร่างของคุณที่หลุดเข้าไปในโลกออนไลน์
มาถึงตอนนี้ ภาครัฐมีการตอบสนองต่อสถานการณ์อย่างไรบ้าง ข้อมูลที่หลุดออกไปครั้งนี้อาจนำไปสู่อันตรายอย่างไร และถ้าเราได้รับผลกระทบ เราจะเรียกร้องกับรัฐอย่างไรได้บ้าง
ข้อมูลคนไข้หลุดกว่า 10,000 ราย
เมื่อวาน (7 ก.ย.) อนุทิน ชาญวีรกูล รัฐมนตรีว่าการสาธารณสุขได้ออกมายอมรับว่ามีข้อมูลผู้ป่วยหลุดจากระบบของโรงพยาบาลเพชรบูรณ์จริง และข้อมูลดังกล่าวได้ถูกนำไปโพสต์ขายในเว็บไซต์ Raid Forum ซึ่งเป็นเว็บไซต์ที่เปิดให้เข้าไปดาวน์โหลดข้อมูลที่หลุดมาออกมาจากทั่วโลกได้
ต่อมา นพ.ธงชัย กีรติหัตถยากร รองปลัดกระทรวงสาธารณสุข ได้แถลงเพิ่มเติมว่าข้อมูลที่หลุดออกมาไม่ใช่ข้อมูลผู้ป่วย 16 ล้านราย แต่หมายถึงการบันทึกข้อมูล 16 ล้านครั้ง ของผู้ป่วย 10,095 ราย แต่ยังอยู่ในระหว่างการตรวจสอบว่าบางรายชื่อซ้ำกันหรือเปล่า
รองปลัดอธิบายเพิ่มว่าข้อมูลมี 2 ชุด ชุดแรกคือข้อมูลที่ทำขึ้นมาใหม่ ชุดที่สองคือ ข้อมูลของโรงพยาบาล ทั้งสองส่วนเป็นข้อมูล อาทิ
- ชื่อ-สกุลคนไข้และแพทย์ที่ทำการรักษา สำหรับแพทย์บางรายมีเลขบัตรประชาชนหลุดด้วย
- วัน/ เดือน/ ปีเกิดของคนไข้
- เพศคนไข้
- เบอร์โทรศัพท์คนไข้บางราย
- ค่าใช้จ่าย สถานะการจ่าย
- ประเภทสิทธิการรักษา
โดย นพ.ธงชัย กล่าวต่อว่าทางกระทรวงสาธารณสุขได้จัดทีมพิเศษร่วมกับกระทรวงดิจิทัลฯ ขึ้นติดตามการแฮกข้อมูลดังกล่าวแล้ว
ต่อมากระทรวงดิจิทัลฯ ยืนยันว่าข้อมูลที่หลุดออกไปหายไปจากเว็บไซต์ Raid Forum แล้ว และตอนนี่กำลังสืบสวนใน 2 ส่วนคือ ใครเป็นผู้กระทำความผิดและระบบของโรงพยาบาลเพชรบูรณ์ได้ตามมาตรฐานที่คณะกรรมการความปลอดภัยไซเบอร์วางไว้หรือเปล่า
ข้อมูลหลุดมาได้อย่างไร
อัจฉราวรี ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมยอมรับในการแถลงเมื่อวันที่ 8 กันยายนว่า หลายหน่วยงานของรัฐไทยยังไม่มีความพร้อมต่อการเข้าสู่โลกอินเตอร์เน็ต กล่าวคือบุคลากรและระบบป้องกันยังไม่พร้อม
โดยจากการตรวจสอบของกระทรวงดิจิทัล ตั้งแต่โรงพยาบาลระดับจังหวัดจนถึง รพ.สต.ของกระทรวงสาธาณสุขยังไม่ได้เข้าสู่ระบบป้องกันภัย Thai Search ซึ่งเป็นระบบที่กระทรวงดิจิทัลออกแบบเลย
The MATTER พยายามติดต่อหา อนุทิน ชาญวีรกูล รัฐมนตรีว่าการกระทรวงสาธารณสุขแต่ไม่สำเร็จ จึงโทรหาชัยวุฒิ ธนาคมสนุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมซึ่งเป็นอีกหน่วยงานที่เกี่ยวข้องแทน
ชัยวุฒิยืนยันกับ The MATTER ว่า ขณะนี้ยังไม่ทราบว่าใครเป็นผู้กระทำ และอยู่ในขั้นตอนตรวจสอบว่าระบบความปลอภัยของโรงพยาบาลเป็นไปตามมาตรฐานที่คณะกรรมการความปลอดภัยไซเบอร์วางไว้หรือเปล่า
“ปัญหาคือข้อมูลส่วนบุคคลเก็บกับหน่วยงานที่ไม่มีความพร้อม โดยปัจจุบันมีการ Work From Home ทำให้เปิดโอกาสที่ข้อมูลจะรั่วไหลและเปิดให้แฮกเกอร์โจมตีได้ง่ายขึ้น”
“กำลังตรวจสอบอยู่ว่าถูกแฮกหรือเปล่า แต่ยอมรับว่าระบบดังกล่าว (ของ รพ. เพชรบูรณ์) ไม่สมบูรณ์เท่าใด เพราะมันไม่ใช่ระบบหลัก ไม่ใช่ข้อมูลสุขภาพละเอียด ทำให้เขาไม่ค่อยระมัดระวังเท่าไหร่”
อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองอินเทอร์เน็ตสันนิษฐานใน 2 แง่คือ อาจเกิดความตั้งใจโจรกรรมข้อมูลจริง หรืออาจเป็นเพียงความผิดพลาดของภาครัฐก็ได้
“บอกจริงๆ ไม่ได้หรอก มันเป็นไปได้ทั้งถูกเจาะระบบ คนข้างในตั้งใจปล่อยออกมา หรือเกิดจากความผิดพลาดของคนที่ทำงานด้านในก็ได้ เช่น ลืม USB ที่มีข้อมูลทิ้งไว้บนโต๊ะอาหารและถูกหยิบไป”
อาทิตย์เล่าต่อว่าเขาเคยมีพูดคุยกับเพื่อนที่ทำงานวางระบบให้ราชการไทย และพบว่าบางครั้ง มีการมอบพาร์สเวิร์ดเพื่อเข้าถึงระบบฐานข้อมูลส่วนบุคคลหรือส่งข้อมูลกันในแอพพลิเคชั่นที่มีความปลอดภัยน้อย กล่าวคือภาครัฐไม่ได้มีความรัดกุมในการดูแลข้อมูลข่าวสารที่ประชาชนยินยอมให้รัฐเข้าถึงเลย
นี่ไม่ใช่ครั้งแรก
จะกล่าวว่านี่เป็นบทเรียนราคาแพงด้านไซเบอร์สำหรับหน่วยงานรัฐไทยก็ไม่ถูกนัก เพราะก่อนหน้านี้ มันเคยเกิดขึ้นมาหลายครั้งแล้ว
เมื่อเดือนมิถุนายน 2564 หน้าเว็บไซต์กรมควบคุมโรคสำหรับชาวต่างชาติได้ถูกแฮกมาเผยแพร่ในโลกออนไลน์ โดยภายในมีทั้งเลขพาร์สปอร์ต ข้อมูลส่วนบุคคล ข้อมูลการฉีดวัคซีน COVID-19
เมื่อเดือนกันยายน 2563 มีข่าวว่าโรงพยาบาลสระบุรีถูกแฮกข้อมูลพร้อมเรียกค่าไถ่ ด้าน นพ.อนันต์ กมลเนตร ผู้อำนวยการโรงพยาบาลสระบุรีออกมายอมรับว่าข้อมูลผู้ป่วยของ รพ.สระบุรีถูกแฮกจริง แต่ไม่มีการเรียกค่าไถ่
เมื่อเดือนพฤษภาคม 2564 สำนักงานตำรวจแห่งชาติได้ออกมาเปิดเผยว่า ระหว่างช่วงเดือน ม.ค.-ก.ย. ปี 2563 ประเทศไทยเป็นอันดับ 3 ในกลุ่มอาเซียนที่ถูกเรียกค่าไถ่ข้อมูลมากที่สุด โดยถูกเรียกมากถึง 192,652 ครั้ง เป็นรองแค่อินโดนีเซียและเวียดนามเท่านั้น
ทำไมถึงเป็นเรื่องใหญ่
อาทิตย์ ให้ความเห็นว่า ถึงแม้ข้อมูลที่หลุดออกไปจะเป็นข้อมูลพื้นฐาน แต่ความพื้นฐานของมันเมื่อเชื่อมกับระบบของภาครัฐไทย อาจนำไปสู่สถานการณ์ที่รุนแรงขึ้น เช่น ภาครัฐไทยชอบใช้วัน/ เดือน/ ปีเกิดของประชาชนเป็นหนึ่งในพาร์สเวิร์ด ดังนั้น การได้ข้อมูลชุดเดียวอาจนำไปสู่ความสำเร็จในการแฮกข้อมูลชุดอื่นๆ
หรือในกรณีที่กลุ่มมิจฉาชีพได้ข้อมูลชุดนี้ไป อาจทำให้การล่อลวงสำเร็จง่ายขึ้น เพราะมิจฉาชีพถือข้อมูลที่เป็นความจริง ทำให้น่าเชื่อถือ
หรือในกรณีที่ร้ายแรงกว่านั้น อาจนำไปสู่การเรียกค่าไถ่ทางข้อมูลของบุคคลได้
นอกจากนี้ ถ้าระบบรักษาความปลอดภัยทางไซเบอร์ของไทยยังเป็นแบบนี้ ในอนาคตข้างหน้าอาจมีการรั่วของข้อมูลสำเร็จอีก และถ้าข้อมูลถูกนำมาประกอบกัน นั่นจะยิ่งอันตรายมากขึ้น
ถ้าประชาชนเสียหาย เรียกร้องอะไรจากรัฐได้บ้าง
ทศพล ทรรศนกุลพันธ์ อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยเชียงใหม่มองว่า ถึงแม้ พ.ร.บ.ข้อมูลข่าวสารยังถูกยื้อให้เริ่มใช้ในปีหน้า แต่ตามที่ระบุไว้ในประกาศกฤษฎีกา หน่วยงานทั้งหลายต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลว่าจะไม่ถูกแฮก แก้ไขเปลี่ยนแปลง และถ้าหากไม่สามารถทำได้ แปลว่าบกพร่อง ไม่ทำหน้าที่
อย่างไรก็ตาม ยังมีหนทางอื่นอีกมากมายหลายแขนงที่จะเรียกร้องจากกรณีนี้
- พ.ร.บ.ความรับผิดทางละเมิดของเจ้าหน้าที่ ฟ้องได้ทั้งเรียกร้องค่าเสียหาย หรือให้ภาครัฐแก้ไขปรับปรุงระบบให้ดีขึ้น รวมถึงเรียกร้องให้มีการแจ้งแก่ประชาชนที่ได้รับผลกระทบ หรือสั่งให้แก้ปัญหาที่เกิดขึ้น อาทิ ตามเก็บข้อมูลดังกล่าวที่หลุดไปมาให้ได้
- ประมวลกฎหมายอาญา ความผิดฐานเปิดเผยความลับ
- ฟ้องคดีละเมิดเพื่อเรียกค่าสินไหมทดแทน (วิธีที่ง่ายที่สุดตามความเห็นของทศพล)
- กฎหมายจำนวนมากระบุไว้แล้วว่า ผู้ที่ถือข้อมูลส่วนบุคคลมีหน้าที่คุ้มครองข้อมูลดังกล่าว แต่ไม่คุ้มครองหรือไม่ปฏิบัติตามมาตรฐานที่ควรจะเป็นก็จะมีความผิดเช่นกัน
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ถูกเตะถ่วง
ขณะที่โลกขยับก้าวใหญ่เข้าสู่อินเตอร์เน็ต ข้อมูลถูกเปลี่ยนเป็นดาต้าอยู่ในระบบออนไลน์มากขึ้น แต่กฎหมายไทย โดยเฉพาะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลกลับถูกเตะถ่วงเลื่อนไปถึงสองครั้ง จากเดิมที่บังคับใช้ในปี 2563 ก็จะบังคับใช้ในปี 2565
“พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกมาปี 62 ให้เวลาเตรียมตัวหนึ่งปี แต่ต่อมาก็ออกกฤษฎีกาอ้าง COVID-19 อ้างโน่นนี่ ขอเลื่อนอีกหนึ่งปี และจริงๆ ต้องบังคับใช้ 1 มิถุนายน 2564 ก็ออกกฤษฎีกาเลื่อนออกไปอีก รัฐบาลบอกเองหมดแล้วว่ายังไม่พร้อม” อาจารย์กฎหมายจากมหาวิทยาลัยเชียงใหม่กล่าว
ด้านอาทิตย์มองว่าในภาวะโรคระบาด เราถูกบังคับให้เข้าสู่วิถีชีวิตกึ่งออนไลน์ สั่งแกรบ เรียนออนไลน์ ทำงานที่บ้าน ข้อมูลส่วนบุคคลเรายังถูกเก็บมากขึ้น ผ่านมาตรการด้านสุขภาพ เช่น การลงทะเบียฉีดวัคซีนที่มีให้ลงหลายแอพพลิเคลชั่น (มาก) หลายหน่วยงาน รวมถึงลงผ่านค่ายโทรศัพท์
ดังนั้น ควรเร่งรัดให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลบังคับใช้ทันที ที่สำคัญ ต้องอนุมัติให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งประกอบไปด้วย ผู้ทรงคุณวุฒิและประธานคณะกรรมการรวมเป็น 10 คน เข้ามาทำงานเพื่อออกกฎหมายประกอบ พ.ร.บ. เพิ่มเติมโดยเร็วที่สุด
เขาตั้งข้อสังเกตว่ารัฐบาลไม่มีความตั้งใจให้ พ.ร.บ.ข้อมูลข่าวสารถูกนำมาใช้ เพราะไม่พอใจบางรายชื่อในคณะกรรมการ จึงใช้วิธีเตะถ่วงไว้ก่อน
“ถ้าห่วงภาคเอกชนไม่พร้อม อาจงดเว้นไว้ก็ได้ แต่ภาครัฐที่มีทรัพยากรและมีความสำคัญกับประชาชนมากๆ ต้องบังคับใช้กฎหมาย (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ในทันทีได้แล้ว“
ทศพลเสนอต่อว่าในระยะยาวควรมีการออกแบบวางระบบเพื่อแก้ไขไม่ให้ปัญหาดังกล่าวเกิดขึ้นอีก เขามีข้อเสนอ 4 ประการ
- ฝึกอบรบเตรียมความพร้อมให้บุคลากร
- ทุกนิติบุคคลต้องมีเจ้าพนักงานคุ้มครองข้อมูส่วนบบุคล (Data Protection Official)
- ออก Protocool สำหรับมาตรฐานความปลอภัยไซเบอร์ หรือถ้าในกฎหมายไทยยังไม่มีการระบุ นำมาตรฐานสากลอย่าง ISO มาใช้ก่อน
- ถ้ามีทั้งหมดที่กล่าวมาข้างต้นแล้ว ควรออกแบบระบบตรวจสอบถ่วงดุลจากภายนอกต่อไป
ทางด้าน ชัยวุฒิ กล่าวถึงการแก้ไขปัญหาในระยะยาวกับ The MATTER ว่า ขณะนี้กระทรวงดิจิทัลกำลังเร่งออกระเบียบและมาตรฐานเพิ่มเติม และจะมีการจัดทีมเข้าไปสนับสนุนหน่วยงานภาครัฐต่างๆ ให้มีระบบความปลอดภัยที่ดรขึ้น
“ดูให้มันเข้มข้นขึ้น เพราะบางทีเขาพัฒนาระบบขึ้นมาแล้วไม่ค่อยระวังเท่าไหร่ เราก็ต้องเข้าไปช่วยดู” ชัยวุฒิกล่าวถึงการแก้ไขปัญหาระยะยาว
เเหล่งที่มา : ได้ (ข้อมูล) แล้ว ทำไมไม่ดูแลบ้าง เราทำอะไรได้บ้าง เมื่อภาครัฐทำข้อมูลส่วนบุคคลรั่วไหล (thematter.co)