พบข้อมูลผู้ป่วย 11 รพ. กว่าแสนราย ถูกแฮกเผยแพร่ผ่านเว็บไซต์ Raidforums ตำรวจชี้ ยังไม่มีเจ้าทุกข์ แจ้งความ
ผู้สื่อข่าวรายงานว่า มีการโพสต์ข้อมูล อ้างเป็นข้อมูลคนไข้ ซึ่งได้มาจากฐานโรงพยาบาลในประเทศไทยถึง 11 แห่ง (ไม่ระบุชื่อโรงพยาบาล) รวมกว่าแสนรายชื่อ หลุดไปอยู่ในเว็บไซต์ Raidforums โดยข้อมูลที่ถูกโพสต์มีทั้ง ชื่อ-สกุล วันเกิด เลขบัตรประชาชน ซึ่งได้เปิดให้บุคคลภายนอกเข้าไปโหลดได้ฟรี ซึ่งอาจสร้างความเสียหายให้บุคคลที่มีชื่อปรากฏอยู่
เกี่ยวกับกรณีนี้ พ.ต.อ.กฤษณะ พัฒนเจริญ รองโฆษกสำนักงานตำรวจแห่งชาติ เปิดเผยว่า พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงกลาโหม มีความห่วงใยเกี่ยวกับการหลอกลวงของมิจฉาชีพ ที่จะสร้างความเดือดร้อนให้ประชาชน จึงได้กำชับไปยังหน่วยงานที่เกี่ยวข้องให้มีมาตรการและดำเนินการป้องกันปราบปรามตามขั้นตอนของกฎหมาย
โดย พล.ต.อ.สุวัฒน์ แจ้งยอดสุข ผู้บัญชาการตำรวจแห่งชาติ พร้อมดำเนินการตามนโยบายรัฐบาล ได้มอบหมายให้ พล.ต.อ.ดำรงศักดิ์ กิตติประภัสร์ รองผู้บัญชาการตำรวจแห่งชาติ ในฐานะผู้อำนวยการศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ สำนักงานตำรวจแห่งชาติ (ศปอส.ตร.) กำกับดูแล และสั่งการให้ทุกภาคส่วน เร่งสร้างการรับรู้ให้กับประชาชน และเร่งทำการสืบสวนปราบปรามจับกุมผู้กระทำความผิดมาดำเนินคดี เพื่อเป็นการจำกัดความเสียหายที่อาจเกิดขึ้นและตัดโอกาสในการกระทำความผิดอย่างจริงจังต่อเนื่อง ให้มีผลการปฏิบัติเป็นรูปธรรม
การกระทำดังกล่าวของผู้ที่โจมตีทางไซเบอร์ หรือแฮกข้อมูล เข้าข่ายความผิดฐาน เข้าถึงโดยมิชอบซึ่งระบบและข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ ตามมาตรา 5, 7 แห่ง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ มีโทษจำคุก 6 เดือน ถึง 2 ปี และปรับไม่เกิน 40,000 บาท
และหากผู้กระทำมีการทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติม ไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ก็จะมีความผิดตามมาตรา 9 แห่ง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ มีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,00บาท
อีกทั้งหากมีการข่มขู่หรือเรียกค่าไถ่ข้อมูลที่ถูกแฮกไป ก็อาจจะเข้าข่ายความผิดฐานข่มขืนใจผู้อื่นให้กระทำการใด ไม่กระทำการใด หรือจำยอมต่อสิ่งใด โดยทำให้กลัวว่าจะเกิดอันตรายต่อชีวิต ร่างกาย เสรีภาพ ชื่อเสียงหรือทรัพย์สินของผู้ถูกข่มขืนใจนั้นเองหรือของผู้อื่น มีโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ หรือกฎหมายอื่นๆ ที่เกี่ยวข้อง
ซึ่งในกรณีดังกล่าว จากการตรวจสอบพบว่า ยังไม่มีการร้องทุกข์แต่อย่างใด ซึ่งกรณีนี้เป็นความผิดต่อส่วนตัว หากต้องการให้เจ้าหน้าที่ตำรวจดำเนินคดี ผู้เสียหายทั้งในส่วนของผู้เสียหายโดยตรง หรือโรงพยาบาล จะต้องมาร้องทุกข์กับพนักงานสอบสวนในพื้นที่ หรือ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) โดยตรง เพื่อให้ดำเนินคดีกับผู้กระทำความผิดต่อไป
รองโฆษกสำนักงานตำรวจแห่งชาติ ฝากหน่วยงานทั้งภาครัฐและเอกชน รวมถึงประชาชน รับมือกับภัยลักษณะดังกล่าว ดังนี้
1. ทุกหน่วยงานต้องตระหนักให้ความสำคัญกับเรื่องระบบพื้นฐานทางสารสนเทศการใช้โปรแกรมถูกลิขสิทธิ์ ต้องมีการตรวจสอบว่า มีการใช้ระบบ อุปกรณ์ ซอฟต์แวร์ ที่ End of Life (EoL) หรือไม่ เนื่องจากทำให้ระบบไม่สามารถอัปเดตช่องโหว่ต่างๆ ได้
2.ทางผู้ดูแลระบบ ต้องมีการตรวจสอบช่องโหว่ ความปลอดภัย และอัปเดตระบบเพื่อปิดช่องโหว่ต่างๆ อยู่เสมอ และจะต้องมีการอบรมการใช้ระบบให้ปลอดภัยให้กับพนักงานทุกคนรวมไปถึงระดับผู้บริหาร เพื่อเป็นการสร้างความเชื่อมั่นให้กับประชาชนในฐานะผู้ดูแลข้อมูลประชาชน
3. อัปเดตระบบป้องกันไวรัสอย่างสม่ำเสมอ เพราะผู้พัฒนาโปรแกรมป้องกันไวรัส จะมีการอัปเดตข้อมูลเกี่ยวกับ Malware ที่เป็นอันตรายอยู่ตลอดเวลา ซึ่งจะช่วยให้โปรแกรมป้องกันไวรัสสามารถตรวจสอบพบ Malware ชนิดใหม่ ๆ ที่อาจทำให้ระบบคอมพิวเตอร์ของเราเสียหายได้
4. ปิดการใช้งานโปรแกรม PowerShell ในระบบปฏิบัติการ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีด้วย Ransomware โดยอ่านรายละเอียดเพิ่มเติมได้ที่เว็บไซต์
https://www.hightechcrime.org/cybercrime/Ransomware
5. จำกัดการเข้าถึงของเครือข่ายในองค์กรให้มีความรัดกุม โดยเฉพาะอย่างยิ่งการนำอุปกรณ์ส่วนตัวของพนักงานมาเชื่อมต่อกับเครือข่าย เนื่องจากอุปกรณ์ส่วนตัวอาจไม่มีการรักษาความปลอดภัยที่เพียงพอ ซึ่งจะทำให้เป็นช่องทางที่ผู้ไม่หวังดีใช้ในการโจมตีระบบได้
6.ในส่วนของประชาชน ห้ามเปิดเผยข้อมูลส่วนตัวใดๆ ผ่านระบบออนไลน์ ให้กับผู้อื่นหากยังไม่ได้ตรวจสอบให้ดีเสียก่อน
7.ควรตั้งค่า Username, Password ที่คาดเดายาก และเพิ่มการตั้งค่าการเข้ารหัส 2 ชั้น (2 Factor Authentication) เพื่อให้ยากต่อการเข้าถึงข้อมูล
8. มีการแบ่งความสำคัญของข้อมูลในระบบ และสำรองข้อมูลอย่างสม่ำเสมอ โดยข้อมูลที่มีความสำคัญ จะต้องมีการแยกเก็บรักษาอย่างปลอดภัย และมีการกำหนดสิทธิ์ในการเข้าถึง เพื่อป้องกันการถูกแฮก หรือทำลายข้อมูลดังกล่าว.
