พบข้อมูลผู้ป่วย 11 รพ. กว่าแสนราย ถูกแฮก! เผยแพร่ผ่านเว็บไซต์ “Raidforums” ตำรวจชี้ ยังไม่มีเจ้าทุกข์ แจ้งความ

พบข้อมูลผู้ป่วย 11 รพ. กว่าแสนราย ถูกแฮกเผยแพร่ผ่านเว็บไซต์ Raidforums ตำรวจชี้ ยังไม่มีเจ้าทุกข์ แจ้งความ

ผู้สื่อข่าวรายงานว่า มีการโพสต์ข้อมูล อ้างเป็นข้อมูลคนไข้ ซึ่งได้มาจากฐานโรงพยาบาลในประเทศไทยถึง 11 แห่ง (ไม่ระบุชื่อโรงพยาบาล) รวมกว่าแสนรายชื่อ หลุดไปอยู่ในเว็บไซต์ Raidforums โดยข้อมูลที่ถูกโพสต์มีทั้ง ชื่อ-สกุล วันเกิด เลขบัตรประชาชน ซึ่งได้เปิดให้บุคคลภายนอกเข้าไปโหลดได้ฟรี ซึ่งอาจสร้างความเสียหายให้บุคคลที่มีชื่อปรากฏอยู่

เกี่ยวกับกรณีนี้ พ.ต.อ.กฤษณะ พัฒนเจริญ รองโฆษกสำนักงานตำรวจแห่งชาติ เปิดเผยว่า พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงกลาโหม มีความห่วงใยเกี่ยวกับการหลอกลวงของมิจฉาชีพ ที่จะสร้างความเดือดร้อนให้ประชาชน จึงได้กำชับไปยังหน่วยงานที่เกี่ยวข้องให้มีมาตรการและดำเนินการป้องกันปราบปรามตามขั้นตอนของกฎหมาย

โดย พล.ต.อ.สุวัฒน์ แจ้งยอดสุข ผู้บัญชาการตำรวจแห่งชาติ พร้อมดำเนินการตามนโยบายรัฐบาล ได้มอบหมายให้ พล.ต.อ.ดำรงศักดิ์ กิตติประภัสร์ รองผู้บัญชาการตำรวจแห่งชาติ ในฐานะผู้อำนวยการศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ สำนักงานตำรวจแห่งชาติ (ศปอส.ตร.) กำกับดูแล และสั่งการให้ทุกภาคส่วน เร่งสร้างการรับรู้ให้กับประชาชน และเร่งทำการสืบสวนปราบปรามจับกุมผู้กระทำความผิดมาดำเนินคดี เพื่อเป็นการจำกัดความเสียหายที่อาจเกิดขึ้นและตัดโอกาสในการกระทำความผิดอย่างจริงจังต่อเนื่อง ให้มีผลการปฏิบัติเป็นรูปธรรม

การกระทำดังกล่าวของผู้ที่โจมตีทางไซเบอร์ หรือแฮกข้อมูล เข้าข่ายความผิดฐาน เข้าถึงโดยมิชอบซึ่งระบบและข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ ตามมาตรา 5, 7 แห่ง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ มีโทษจำคุก 6 เดือน ถึง 2 ปี และปรับไม่เกิน 40,000 บาท

และหากผู้กระทำมีการทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติม ไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ก็จะมีความผิดตามมาตรา 9 แห่ง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ มีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,00บาท

อีกทั้งหากมีการข่มขู่หรือเรียกค่าไถ่ข้อมูลที่ถูกแฮกไป ก็อาจจะเข้าข่ายความผิดฐานข่มขืนใจผู้อื่นให้กระทำการใด ไม่กระทำการใด หรือจำยอมต่อสิ่งใด โดยทำให้กลัวว่าจะเกิดอันตรายต่อชีวิต ร่างกาย เสรีภาพ ชื่อเสียงหรือทรัพย์สินของผู้ถูกข่มขืนใจนั้นเองหรือของผู้อื่น มีโทษจำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท หรือทั้งจำทั้งปรับ หรือกฎหมายอื่นๆ ที่เกี่ยวข้อง

ซึ่งในกรณีดังกล่าว จากการตรวจสอบพบว่า ยังไม่มีการร้องทุกข์แต่อย่างใด ซึ่งกรณีนี้เป็นความผิดต่อส่วนตัว หากต้องการให้เจ้าหน้าที่ตำรวจดำเนินคดี ผู้เสียหายทั้งในส่วนของผู้เสียหายโดยตรง หรือโรงพยาบาล จะต้องมาร้องทุกข์กับพนักงานสอบสวนในพื้นที่ หรือ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) โดยตรง เพื่อให้ดำเนินคดีกับผู้กระทำความผิดต่อไป

รองโฆษกสำนักงานตำรวจแห่งชาติ ฝากหน่วยงานทั้งภาครัฐและเอกชน รวมถึงประชาชน รับมือกับภัยลักษณะดังกล่าว ดังนี้

1. ทุกหน่วยงานต้องตระหนักให้ความสำคัญกับเรื่องระบบพื้นฐานทางสารสนเทศการใช้โปรแกรมถูกลิขสิทธิ์ ต้องมีการตรวจสอบว่า มีการใช้ระบบ อุปกรณ์ ซอฟต์แวร์ ที่ End of Life (EoL) หรือไม่ เนื่องจากทำให้ระบบไม่สามารถอัปเดตช่องโหว่ต่างๆ ได้

2.ทางผู้ดูแลระบบ ต้องมีการตรวจสอบช่องโหว่ ความปลอดภัย และอัปเดตระบบเพื่อปิดช่องโหว่ต่างๆ อยู่เสมอ และจะต้องมีการอบรมการใช้ระบบให้ปลอดภัยให้กับพนักงานทุกคนรวมไปถึงระดับผู้บริหาร เพื่อเป็นการสร้างความเชื่อมั่นให้กับประชาชนในฐานะผู้ดูแลข้อมูลประชาชน

3. อัปเดตระบบป้องกันไวรัสอย่างสม่ำเสมอ เพราะผู้พัฒนาโปรแกรมป้องกันไวรัส จะมีการอัปเดตข้อมูลเกี่ยวกับ Malware ที่เป็นอันตรายอยู่ตลอดเวลา ซึ่งจะช่วยให้โปรแกรมป้องกันไวรัสสามารถตรวจสอบพบ Malware ชนิดใหม่ ๆ ที่อาจทำให้ระบบคอมพิวเตอร์ของเราเสียหายได้

4. ปิดการใช้งานโปรแกรม PowerShell ในระบบปฏิบัติการ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีด้วย Ransomware โดยอ่านรายละเอียดเพิ่มเติมได้ที่เว็บไซต์
https://www.hightechcrime.org/cybercrime/Ransomware

5. จำกัดการเข้าถึงของเครือข่ายในองค์กรให้มีความรัดกุม โดยเฉพาะอย่างยิ่งการนำอุปกรณ์ส่วนตัวของพนักงานมาเชื่อมต่อกับเครือข่าย เนื่องจากอุปกรณ์ส่วนตัวอาจไม่มีการรักษาความปลอดภัยที่เพียงพอ ซึ่งจะทำให้เป็นช่องทางที่ผู้ไม่หวังดีใช้ในการโจมตีระบบได้

6.ในส่วนของประชาชน ห้ามเปิดเผยข้อมูลส่วนตัวใดๆ ผ่านระบบออนไลน์ ให้กับผู้อื่นหากยังไม่ได้ตรวจสอบให้ดีเสียก่อน

7.ควรตั้งค่า Username, Password ที่คาดเดายาก และเพิ่มการตั้งค่าการเข้ารหัส 2 ชั้น (2 Factor Authentication) เพื่อให้ยากต่อการเข้าถึงข้อมูล

8. มีการแบ่งความสำคัญของข้อมูลในระบบ และสำรองข้อมูลอย่างสม่ำเสมอ โดยข้อมูลที่มีความสำคัญ จะต้องมีการแยกเก็บรักษาอย่างปลอดภัย และมีการกำหนดสิทธิ์ในการเข้าถึง เพื่อป้องกันการถูกแฮก หรือทำลายข้อมูลดังกล่าว.