ภัยไซเบอร์ หรือ Cyberattack , Cyberthreats เป็นภัยที่คุกคามการทำงานของโรงพยาบาล เป็นภัยที่กำลังเติบโตขึ้นอย่างรวดเร็ว เนื่องจากการเปลี่ยนผ่านทางเทคโนโลยีในโรงพยาบาล หน่วยงานด้านสุขภาพหรือคลินิก พร้อมๆ กับพัฒนาการของเทคโนโลยีที่ก้าวไปข้างหน้าอย่างรวดเร็ว ขณะเดียวกัน แฮ็กเกอร์หรือภัยที่มากับเทคโนโลยี ก็พัฒนาตัวเองได้เร็ว ซับซ้อน และมีรูปแบบที่หลากหลายยิ่งขึ้น
หากกล่าวถึงข้อมูลส่วนบุคคล โรงพยาบาลนับเป็นหน่วยงานด้านสุขภาพที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก โรงพยาบาลเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของคนไข้ หมอ พยาบาล เจ้าหน้าที่ ด้วยเหตุนี้ จึงทำให้โรงพยาบาลกลายเป็นเป้านิ่งที่แฮ็กเกอร์หรือผู้ไม่ประสงค์ดี มุ่งหาผลประโยชน์จากข้อมูลที่โรงพยาบาลดูแล ในบทความนี้ ชวนผู้อ่านทำความรู้จัก 6 ภัยไซเบอร์ในโรงพยาบาลที่สามารถสร้างความเสียหายต่อข้อมูลส่วนบุคคล ทำลายระบบจัดการข้อมูลในโรงพยาบาล ทำลายความเป็นส่วนตัวของคนไข้
พร้อมด้วยวิธีป้องกัน ภัยไซเบอร์ ที่โรงพยาบาลต้องรู้ เพื่อสร้างและเสริมความปลอดภัย ให้กับระบบจัดการข้อมูลของโรงพยาบาล ให้ปลอดภัยและห่างไกลจากหายนะทางไซเบอร์
ข้อมูลใดบ้างที่โรงพยาบาลหรือหน่วยงานด้านสุขภาพ เก็บรวบรวมจากประชาชน
ชีวิตและความปลอดภัยของผู้ป่วยคือสิ่งสำคัญอันดับหนึ่ง เป็นวลีที่สะท้อนวิสัยทัศน์ของโรงพยาบาลได้เป็นอย่างดี ทว่าปัจจุบันนี้ การมุ่งรักษาชีวิต การรักษาโรค หรือการดูแลสุขภาพของผู้ป่วยหรือผู้มาใช้บริการ อาจยังไม่เพียงพอ โรงพยาบาลในฐานะหน่วยงานหลัก รวมถึงแพทย์ พยาบาล เจ้าหน้าที่ในโรงพยาบาลทุกแผนก ต้องคำนึงถึงความเป็นส่วนตัว ข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลควบคู่กันไปด้วย เนื่องจากข้อมูลเหล่านี้ได้กลายเป็นสิ่งที่ได้รับการปกป้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
หากจัดหมวดหมู่ข้อมูลที่โรงพยาบาลเก็บรวบรวมจากคนไข้หรือผู้มาใช้บริหาร ซึ่งบุคคลเหล่านี้ ถือเป็นเจ้าของข้อมูลส่วนบุคคล จะพบว่ามีข้อมูลกว่า 6 หมวดหมู่ที่อยู่ในฐานข้อมูลของโรงพยาบาล ได้แก่
ข้อมูลระบุตัวตน (Personal data) เช่น ชื่อ-นามสกุล เลขที่บัตรประชาชน รูปถ่ายใบหน้า เพศ วัน/เดือน/ปี หมายเลข Passport
ข้อมูลด้านสุขภาพ (Health data) เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต ข้อมูลที่เกี่ยวข้องกับการใช้ยาและแพ้ยา ประวัติแพ้อาหาร ผลการตรวจเลือด ผลตรวจจากห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา ผลการทดสอบจากห้องทดลอง การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย และรายงานผลการตรวจทางรังสีวิทยา รายการยาที่แพทย์ได้สั่งข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์
ข้อมูลสำหรับการติดต่อ (Contact data) เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล ข้อมูลของญาติ
ข้อมูลการเงิน (Financial data) เช่น ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิต ข้อมูลใบเสร็จ เลขประจำตัวผู้เสียภาษี
ข้อมูลจากการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด (Marketing Data) เช่น ข้อมูลที่ใช้ในการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด
- ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการ แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์ การทำนัดผ่านเว็บไซต์ของโรงพยาบาล
ขณะที่โรงพยาบาลกำลังรักษาชีวิต แต่อาจละเลยการรักษาความเป็นส่วนตัว
ภัยที่อาจสร้างความเสียหายต่อข้อมูลส่วนบุคคลของคนไข้และผู้มาใช้บริการของโรงพยาบาล ไม่ได้มีแค่เพียงการขายกระดาษชาร์ตข้อมูลของคนไข้ให้โรงงานรับซื้อของเก่า ยังมีภัยอื่นๆ เช่น เมื่อวันที่ 3 พฤศจิกายน 2565 ได้ปรากฎข่าวเอกสารส่วนตัวของคนไข้ถูกนำไปใช้งานเป็นกระดาษ Reuse โดย Dailynews ได้เผยแพร่ข่าว ข้อมูลรั่วไหลง่ายไปมั้ย! หนุ่มร้อง อู่รถยนต์ย่านสมุทรปราการ ออกบิลใบเสร็จให้ พลิกกระดาษอีกด้านเป็นเอกสารข้อมูลคนไข้ รายละเอียดครบ
ย้อนไปเมื่อ 19 กันยายน 2565 ปรากฎข่าว ‘ถุงขนมโตเกียวจากใบมรณบัตร’ หมอแล็บฯ ชี้ ข้อมูลผู้ป่วยเสียชีวิต รพ. ยังต้องดูแล กาง กม. PDPA ละเมิดสิทธิโทษปรับหลักล้านบาท เกิดกรณี มีผู้ร้องเรียนผ่านทีม THE STANDARD ว่าพบความผิดปกติของถุงกระดาษที่ใส่ขนมโตเกียว ทำมาจากเอกสารประวัติผู้ป่วย รวมถึงใบรับรองการเสียชีวิต (ใบมรณบัตร) ของโรงพยาบาลแห่งหนึ่งในจังหวัดชลบุรี จนนำไปสู่ความกังวลทั้งเรื่องข้อมูลส่วนบุคคลที่ถูกเผยแพร่ และสุขอนามัยของภาชนะที่ใส่ของรับประทาน
นอกจากสองกรณีข้างต้น ยังมีข่าว สบส.ยัน “หมอ” ไม่ควรไลฟ์สดขณะผ่าตัดให้คนดู แม้ไม่เห็นหน้าคนไข้ แต่อาจละเมิด PDPA พ่วงโฆษณาสถานพยาบาล ย้ำโฆษณาต้องขออนุญาตรวมถึงไลฟ์สด แต่หากไลฟ์เพื่อให้แพทย์ดูศึกษาทำได้ แจงลดราคาแลกรีวิวทำไม่ได้เช่นกัน เข้าข่ายให้อามิสสินจ้าง
นพ.สุระ วิเศษศักดิ์ รักษาราชการแทนอธิบดีกรมสนับสนุนบริการสุขภาพ (สบส.) ให้สัมภาษณ์ถึงกรณีมีการร้องเรียนแพทยสภาถึงพฤติกรรมของแพทย์รายหนึ่ง ที่มีการไลฟ์สดลง Tiktok ขณะผ่าตัดคนไข้ ทำให้เกิดคำถามถึงจริยธรรมว่าสามารถทำได้และผิดกฎหมายหรือไม่ ว่า จริงๆ การไลฟ์สดขณะผ่าตัดเพื่อการศึกษาสามารถทำได้ แต่ถ้าเพื่อให้ประชาชนทั่วไปเข้าไปดู ต้องดูว่าคนไข้เขายอมให้ทำหรือไม่ ซึ่งจริงๆ ก็เป็นเรื่องของการคุ้มครองข้อมูลส่วนบุคคล (PDPA)
ทั้งสามกรณีนี้กำลังชี้ให้เห็นว่า กระบวนการหรือนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาล ควรมีการปรับปรุงพัฒนาอย่างจริงจัง เพราะแท้จริงแล้ว ภัยที่เป็นอันตรายต่อข้อมูลส่วนบุคคล ไม่ได้มีเพียงแค่เอกสารข้อมูลถูกจัดการอย่างไม่ถูกวิธี หรือการละเมิดข้อมูลส่วนบุคคลโดยบุคคลากรของโรงพยาบาลเท่านั้น ทว่ายังมี ภัยไซเบอร์ (Cyberthreats) ที่โรงพยาบาลและหน่วยงานด้านสุขภาพต้องเผชิญด้วย ภัยที่กล่าวถึงนี้มีอะไรบ้าง เลื่อนไปอ่านหัวข้อถัดไปเลย
6 ภัยไซเบอร์ในโรงพยาบาลและหน่วยงานด้านสุขภาพ
Phishing Attacks
ภัยไซเบอร์ตัวแรกที่ยกมาเป็นตัวอย่า คือ การโจมตีในรูปแบบ Phishing (ฟิชชิ่ง) เป็นการหลอกลวงโดยใช้อีเมล SMS หรือหน้าเว็บไซต์ปลอม เพื่อให้ผู้ใช้เปิดเผย รหัสผ่าน ชื่อ-สกุล ข้อมูลด้านการเงิน หรือข้อมูลส่วนตัวอื่นๆ และนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหาย การโจมตีในรูปแบบ Phishing ที่พบเห็นได้บ่อย คือ การสร้างสถานการณ์ให้เหยื่อหรือผู้เสียหายเกิดความตื่นตระหนก หรือเข้าใจผิดว่าได้รับผลประโยชน์บางอย่างจาก อีเมล SMS หรือหน้าเว็บไซต์ปลอมเหล่านั้น จนนำไปสู่การกดลิงก์ คลิกปุ่ม กรอกข้อมูลสำคัญ หรือเปิดไฟล์ใดๆ ซึ่งจะนำไปสู่ความเสียหายในรูปแบบต่างๆ เช่น
มิจฉาชีพนำชื่อบัญชีและรหัสผ่านไปเข้าระบบการเงินออนไลน์ โอนเงินออกจากระบบของเจ้าของ
ข้อมูลส่วนบุคคลรั่วไหล เช่น ข้อมูลเงินเดือน ฐานะทางการเงิน
ถูกติดตั้งโปรแกรมเข้ารหัสข้อมูล ทำให้ไม่สามารถใช้งานได้ แล้วเรียกค่าไถ่จากเหยื่อ (Ransomware)
การโจมตีรูปแบบนี้จะสร้างความเสียหายก็ต่อเมื่อมีเหยื่อ มีปฏิสัมพันธ์กับลิงก์ ปุ่ม ไฟล์ ดังนั้นในกรณีที่บุคคลากรของโรงพยาบาลเข้าใช้อินเตอร์เน็ต ผ่านอุปกรณ์ของโรงพยาบาล เช่น เครื่องคอมพิวเตอร์ หรือ Log in เข้าระบบของโรงพยาบาลผ่านอุปกรณ์ส่วนตัว อาจเสี่ยงต่อการถูกติดตั้งโปรแกรมเข้ารหัสข้อมูล หรือถูกขโมยข้อมูลจาก Data Base ของโรงพยาบาล ฯลฯ อีกหนึ่งกรณีที่พบเห็นได้บ่อย คือการแอบอ้างว่าเป็นโรงพยาบาล โทรติดต่อกับเหยื่อซึ่งเป็นคนไข้หรือผู้ใช้บริการของโรงพยาบาล ส่งอีเมล SMS หรือหน้าเว็บไซต์ปลอม หลอกให้เหยื่อคลิกลิงก์เว็บไซต์โรงพยาบาลที่ปลอมแปลงขึ้นมา หรือจะเป็นกรณีที่แอบอ้างเป็นฝ่ายบุคคลของโรงพยาบาล ส่งอีเมลหาบุคลากรในโรงพยาบาลเพื่อให้เข้าสู่ระบบ เหล่านี้มีการเกิดขึ้นจริงแล้วทั้งในไทยและในต่างประเทศ
Malware and Ransomware
ภัยไซเบอร์ตัวที่สอง สร้างความเสียหายได้จำนวนมหาศาล มีชื่อว่า Ransomware ชื่อในไทยเรียกว่า ‘มัลแวร์เรียกค่าไถ่’ เป็นซอฟต์แวร์ประสงค์ร้ายที่ถูกออกแบบมาเพื่อเข้ารหัส ไฟล์ข้อมูล (Encryption File) ทั้งหมดบนเครื่องคอมพิวเตอร์ ทั้งไฟล์ข้อมูล รูปภาพ วิดีโอ การโจมตีด้วยแรนซัมแวร์ทั่วไปส่วนใหญ่เริ่มต้นจากการคลิกลิงก์ที่เป็นอันตราย การดูโฆษณาที่มีมัลแวร์ (มัลแวร์โฆษณา) หรืออีเมลฟิชชิงที่มีไฟล์แนบที่เป็นอันตราย
หากผู้เสียหายกดคลิกหรือเปิดเอกสารแนบในอีเมล ก็อาจทำให้อุปกรณ์นั้นๆ ติดกับดักของแรนซัมแวร์ได้ เมื่อตตกหลุมพรางแล้ว อาชญากรไซเบอร์จะทำการส่งข้อความ เช่น “ไฟล์ของคุณถูกเข้ารหัส หากต้องการเปิดไฟล์ หรือต้องการเข้าระบบต้องโอนเงินเป็นค่าไถ่”
กรณีนี้เกิดขึ้นจริงแล้วในโรงพยาบาลสระบุรี โดยได้มีการเผยแพร่ข่าวเมื่อวันที่ 9 กันยายน 2563 ระบุว่า คอมพิวเตอร์ของ รพ.ถูกโจมตีด้วย Ransomware หรือมัลแวร์เรียกค่าไถ่ โดยล็อกรหัสไฟล์ข้อมูลทั้งหมดเพื่อแลกเงินจำนวนหนึ่ง ทำให้คอมพิวเตอร์ทั้งหมดของโรงพยาบาลไม่สามารถเข้าใช้งานได้ ส่งผลให้การบริการ เกิดความล่าช้า ทว่าในเชิงของเจ้าของข้อมูลส่วนบุคคล คนไข้ ผู้ที่เคยใช้บริการ รวมถึงบุคลากรของโรงพยาบาลได้รับผลกระทบในระยะยาว หากมิจฉาชีพได้ไปอาจถูกนำไปขาย สวมสิทธิ์ หรือใช้ประโยชน์ต่อในทางที่ไม่ดี จะยิ่งสร้างความเสียหายต่อเจ้าของข้อมูลได้อีกหลายเท่า
Data breaches
การละเมิดมาตรฐานความมั่นคงปลอดภัยที่จะนำไปสู่การทำลาย การสูญหาย การแก้ไข การเปิดเผยและการเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งเกิดกับข้อมูลส่วนบุคคล ลักษณะที่เข้าข่ายการละเมิดหรือข้อมูลรั่วไหล แบ่งเป็น 3 ลักษณะคือ
Data Breach เกิดจากหลายหลายสาเหตุ อาทิ ช่องโหว่จากซอฟต์แวร์ที่ไม่ทันสมัย รหัสผ่านที่ไม่รัดกุม E-mail phishing การดาวน์โหลดไฟล์บนระบบอินเตอร์เน็ต อาจเป็นการดาวน์โหลดที่แฝงไปด้วยไวรัสหรือมัลแวร์
Data Breachs เกิดขึ้นได้ในทุกธุรกิจ ตัวอย่างกรณี Data Breachs ที่เกิดขึ้นและเกี่ยวข้องกับข้อมูลส่วนบุคคล รวมถึงกฎหมาย GDPR (กฎหมายแม่บทของกฎหมาย PDPA ของไทย) คือกรณีที่ Marriott International ถูกละเมิดข้อมูลโดยแฮ็กเกอร์ ทำการโจมตีและขโมยข้อมูลสำคัญ กว่า 20GB. ซึ่งต่อมาได้ทำให้ Marriott International ถูก ICO สั่งปรับเป็นเงินจำนวน 18.4 ล้านยูโร
Insider Threat
คือภัยจากคนในองค์กร ลักลอบกระทำความผิด หรือ จงใจหาประโยชน์จากข้อมูลส่วนบุคคลด้วยวิธีการใดๆ ที่ไม่สุจริต กรณีนี้สามารถเกิดขึ้นกับบุคลากรของโรงพยาบาลในทุกระดับ ที่มีสิทธิ์เข้าใช้ระบบของโรงพยาบาล สิทธิการเข้าถึงข้อมูลอาจเป็นดาบสองคมได้หากบุคคลากรใฝ่หาประโยชน์จากข้อมูลของคนไข้ ข้อมูลภายในโรงพยาบาล โดยอาจนำข้อมูลของโรงพยาบาลไปขายตลาดมืด จงใจเปิดเผยข้อมูลของคนไข้เพื่อการทำลายชื่อเสียง หรือการเปิดโปงข้อมูลความลับของทางโรงพยาบาล เพื่อเรียกร้องหรือเพื่อประโยชน์ด้านอื่นๆ
Distributed denial-of-service (DDoS) attacks
DDoS attack เป็นการโจมตีที่อาชญากรไซเบอร์จะใช้ความพยายามทำให้มี Traffic หรือการเข้าถึง, ใช้งานเว็บไซต์ขององค์กรมากผิดปกติ ส่งผลให้การทำงานของเว็บไซต์ หรือ Cloud Server ไม่สามารถใช้งานได้เต็มที่หรือทำให้เว็บไซต์ออฟไลน์โดยสิ้นเชิง หากต้องการเข้าใช้เว็บไซต์หรือหยุดการโจมตี อาชญากรไซเบอร์อาจเรียกค่าไถ่ หรือตั้งเงื่อนไขอื่นๆ ที่เป็นประโยชน์ต่อตน
Traffic จำนวนมากที่โจมตีเว็บไซต์ มาจาก Botnet หรือ Robot Network โดยอุปกรณ์ที่สามารถเข้าถึงอินเทอร์เน็ตได้จะถูกแฮกเกอร์ ฝังซอฟต์แวร์อันตราย หรือมัลแวร์เอาไว้ วิธีการปล่อย Botnet คือปล่อยมันแวร์ไปบนอินเทอร์เน็ต เช่น Email Pishing เว็บไซต์ดาวน์โหลด การหลอกลวงให้ผู้ใช้ติดตั้งโปรแกรมที่ถูกดัดแปลง เมื่ออุปกรณ์ติดมันแวร์แล้ว แฮกเกอร์ จะเข้าควบคุมอุปกรณ์นั้นและส่ง Trafiic หรือ การโจมตี DDoS ตามเวลาที่กำหนดและสร้างความเสียหายแกเว็บไซต์เป้าหมาย
เมื่อเกิดการโจมตีในลักษณะนี้ ระบบอื่นๆ ของโรงพยาบาลอาจไม่สามารถเข้าใช้งานได้ และทำให้การเข้าถึงข้อมูลผู้ป่วย ข้อมูลยา ประวัติการรักษา การออกใบสั่งยา ไม่สามารถดำเนินการได้
Cloud threats
ภัยไซเบอร์ตัวสุดท้าย คือ Cloud Threats สำหรับโรงพยาบาลที่หันไปใช้ระบบบันทึกข้อมูลบนระบบคลาวด์ แทนการใช้ระบบฐานข้อมูลโรงพยาบาลแบบเก่า อาจต้องเผชิญกับ Cloud threats หรือภัยที่เกิดจากช่องโหว่ของระบบคลาวด์ อาทิ การไม่เข้ารหัสข้อมูลก่อนที่จะส่งไปและกลับจากระบบคลาวด์ การถูกโจมตีด้วยมัลแวร์ที่มีความอันตรายสูง การโจมตีโดยอาศัย Error misconfiguration บน cloud การตั้งค่า API ไม่เหมาะสม หรือการเปิดใช้งาน API แบบสาธารณะแต่ไม่มีการออกแบบระบบให้สามารถรักษาความปลอดภัยที่รัดกุมได้
ทั้งหมดนี้เป็นเพียงภัยไซเบอร์บางส่วนที่โรงพยาบาลต้องเผชิญ สำหรับโรงพยาบาลที่มีการใช้ระบบเพื่อบริหารจัดการข้อมูลต่างๆ ในโรงพยาบาล อาทิ
- ระบบ HMS (Hospital Management System คือระบบโรงพยาบาล หรือระบบจัดการโรงพยาบาล)
- ระบบ HIS (Hospital Information Systems หรือ ระบบสารสนเทศโรงพยาบาล)
- ระบบ EHR (Electronic Health Records หรือ ระบบระเบียนสุขภาพอิเล็กทรอนิกส์)
- หรือระบบ EMR (Electronic Medical Record) หรือ เวชระเบียนอิเล็กทรอนิกส์)
ระบบเหล่านี้ได้เข้ามาแทนที่ระบบการจัดการข้อมูลแบบเดิม ให้มีความสะดวกมากขึ้น ทว่าอาศัยการทำงานด้วยอินเตอร์เน็ต และเก็บข้อมูลไว้บนคลาวด์ ย่อมก่อให้เกิดความเสี่ยง จากภัยไซเบอร์ทั้ง 6 ที่กล่าวมาข้างต้น
ด้วยความเสี่ยงและผลกระทบที่อาจเกิดขึ้นต่อข้อมูลส่วนบุคคล ทั้งข้อมูลของบุคลากรในโรงพยาบาลและข้อมูลของคนไข้หรือผู้มาใช้บริการ โรพยาบาลจึงต้องมีมาตรการ มีนโยบาย มี Procedure เพื่อใช้ในการปกป้องข้อมูลจากภัยในทุกรูปแบบ และรักษาความปลอดภัยของข้อมูลและระบบบริหารจัดการข้อมูล ให้ปลอดภัยอยู่เสมอ ป้องกันไม่ให้โรงพยาบาลตกเป็นเหยื่อของอาชญากรทางไซเบอร์ และช่วยส่งเสริมความปลอดภัยของระบบข้อมูลในโรงพยาบาล ด้วย 10 วิธี ดังต่อไปนี้
9+1 วิธีที่จะทำให้ข้อมูลของโรงพยาบาลปลอดภัยและห่างไกล ภัยไซเบอร์
อ้างอิงจากบทความของ Thoughtworks ซึ่งเผยแพร่โดย Forbes Thailand ระบุ 9 แนวทางปกป้องข้อมูลทางการแพทย์ และข้อมูลส่วนตัวของผู้ป่วยในโรงพยาบาล ดังนี้
1.ติดตั้งระบบการเข้ารหัสข้อมูล
การเข้ารหัสข้อมูล คือกระบวนการทางคณิตศาสตร์ที่ทำให้ข้อมูล/ ชุดข้อมูล อยู่ในรูปที่คนทั่วไปไม่สามารถอ่านหรือทำความเข้าใจได้ ยกเว้นผู้ที่มีคีย์ (Key) สำหรับปลดล็อคข้อมูลนั้นโดยเฉพาะ การเข้ารหัสเพื่อวัตถุประสงค์ด้านความปลอดภัย ควรเข้ารหัสทุกครั้งที่มีการเก็บ ใช้งาน และส่งต่อข้อมูล การเข้ารหัสข้อมูลอาจทำงานร่วมกับเทคนิค
การปิดบังข้อมูล (Data obfuscation) แทนการใช้ข้อมูลดิบ เพื่อป้องกันไม่ให้ผู้ที่ไม่หวังดี ทราบได้ว่าข้อมูลที่จะทำการเก็บ ใช้งานหรือส่งคือข้อมูลอะไร
2. เสริมความปลอดภัยของอุปกรณ์ต่างๆ
อุปกรณ์ IoT ในโรงพยาบาลควรมีการติดตั้งบนเครือข่ายที่แยก กันชัดเจนระหว่างเครือข่ายของอุปกรณ์ IoT และเครือข่ายที่เก็บข้อมูลของผู้ป่วย อุปกรณ์ที่บุคคลากรของโรงพยาบาลใช้งาน ควรมีการตรวจสอบการใช้งานอย่างสม่ำเสมอ มีการอัปเดตซอฟต์แวร์ หรือซ่อมบำรุงตามระยะเวลาที่เหมาะสม ควรมีระบบการเข้าใช้งานที่รัดกุมและไม่ควรให้บุคคลากรสามารถเข้าถึงข้อมูลสำคัญด้วยอุปกรณ์ส่วนตัว
3. เสริมความปลอดภัยของโครงสร้างทาง IT
ประกาศนโนบายด้านความปลอดภัยของโครงสร้างทาง IT ให้ครอบคลุม และกำกับดูแลให้มีการปฏิบัติตามนโยบายอย่างเคร่งครัด อาทิ
การให้สิทธิการเข้าถึง Server ตามอำนาจหน้าที่
มีการควบคุมการเข้า-ออก พื้นที่/ ศูนย์ไอทีเฉพาะผู้ที่เกี่ยวข้อง กำหนดแนวปฏิบัติในการรักษาความปลอดภัยข้อมูล ระบบคอมพิวเตอร์ และระบบเครือข่าย (Information and Network Security)
การสำรองข้อมูลและระบบคอมพิวเตอร์ และการเตรียมพร้อมกรณี
ฉุกเฉิน (Backup and IT Continuity Plan)
หากมีการใช้งาน Cloud Server ควรมีการติดต่อกับผู้ให้บริการอย่างสม่ำเสมอ เลือกใช้ผู้ให้บริการ Cloud Server ที่น่าเชื่อถือ และมีมาตรการรักษาความปลอดภัยที่ชัดเจน ครอบคลุม พิจารณาใช้ระบบไฟร์วอลล์ หรือระบบตรวจจับและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต และซอฟต์แวร์ป้องกันไวรัสเพื่อตรวจสอบและบล็อกการโจมตี
4. กำหนดมาตรการจำแนกข้อมูลที่ชัดเจน
จำแนกข้อมูลสำคัญ ข้อมูลทั่วไป หรือข้อมูลอ่อนไหว หรือระบุประเภทของข้อมูลที่จัดเก็บเพื่อการกำหนดมาตรการการดูแลที่เหมาะสม เพื่อการสำรองข้อมูลเท่าที่จำเป็น และเพื่อกำหนดการเข้าถึงข้อมูลเฉพาะส่วนที่จำเป็น
5. เปิดใช้งานระบบควบคุมการเข้าถึง การเก็บรักษา รวมทั้งลบข้อมูล
ระบบควบคุมการเข้าถึง การเก็บรักษา และการลบข้อมูล ควรเปิดใช้งานทั้งบน Server เว็บไซต์ และแอพลิเคชัน โดยยึดมาตรฐานเดียวกันและมีการตรวจสอบที่เข้มงวด
6. กำหนดการเข้าถึง จัดเก็บและใช้งานของบุคคลที่สาม
กำหนดข้อจำกัดของพาร์ทเนอร์ บริษัทในเครือ หรือผู้ประมวลมวลผลข้อมูลที่มีการแชร์ข้อมูลกับทางโรงพยาบาล ไม่ควรเข้าถึงข้อมูลสำคัญของคนไข้ได้โดยตรง ต้องผ่านขั้นตอนการคัดกรอง ต้องพิจารณานโยบายรักษาความปลอดภัยจากทางพาร์ทเนอร์ บริษัทในเครือ หรือผู้ประมวลมวลผลข้อมูลทุกครั้งที่มีการใช้ข้อมูลร่วม ถ่ายโอนหรือส่งต่อ และต้องมีการแจ้งหรือขอความยินยอมจากคนไข้ ผู้ใช้บริการหรือผู้เกี่ยวข้องก่อนทุกครั้ง
7. จัดตั้งระบบการบันทึกข้อมูลและการตรวจสอบจากส่วนกลาง
ข้อมูลในทุกระบบของโรงพยาบาล ควรบันทึก แก้ไข ตรวจสอบได้จากระบบของโรงพยาบาล ไม่ว่าจะเป็นข้อมูลที่โรงพยาบาลบันทึก ประมวลผล หรือใช้งานเอง หรือข้อมูลจาก Third Party หรือ Partner
8. กำหนดมาตรการแจ้งเตือนความปลอดภัยและการรั่วไหลของข้อมูล
โรงพยาบาลมีหน้าที่สำคัญในการกำหนดมาตรการแจ้งเตือนความปลอดภัยและการรั่วไหลของข้อมูลแก่เจ้าของข้อมูลและหน่วยงานกำกับดูแล โดยแจ้งให้ทราบหรือเผยแพร่อย่างเป็นทางการ ผ่านช่องทางที่เจ้าของข้อมูล คนไข้หรือผู้ใช้บริการสามารถเข้าถึงได้ โดยมีรายละเอียดที่ชัดเจน อาทิ มาตรการความปลอดภัยที่ชัดเจน บ่งบอกว่าเก็บข้อมูลประเภทใดบ้าง เพื่อประวัตถุประสงค์ใด นำไปประมวลผลอย่างไร ระยะเวลาการเก็บข้อมูลและสิทธิ์ในการเข้าถึง รวมถึงขั้นตอนที่บุคคลหรือหน่วยงานที่กำกับดูแลจะได้รับการแจ้งเตือน หากเกิดการรั่วไหลหรือละเมิดสิทธิ์ของข้อมูล
9. การประเมินผลทั้งภายในและภายนอก
โรงพยาบาลควรดำเนินการ ติดตาม กำกับดูแลให้มีการปฏิบัติตามนโยบายอย่างเคร่งครัด และมีการประเมินผลการดำเนินการตามระยะเวลาที่เหมาะสม และวิธีการที่หลากหลาย เพื่อให้เกิดความครอบคลุมทุกส่วนงาน อาทิ ประเมินช่องโหว่บน Server ทดสอบการเจาะระบบ แอปพลิเคชัน ฐานข้อมูล ระบบและอุปกรณ์ทั้งหมด การสอบทานการปฏิบัติงานของบุคลากร การสอบทานความเป็นไปได้ของนโยบายและแนวปฏิบัติ ความเหมาะสมของกระบวนการกับภาระงาน การปรับปรุงหระบวนการให้เข้ากับสถานการณ์ ความเสี่ยงหรือเทคโนโลยีที่ก้าวหน้า
ข้อที่ 10 เพิ่มเติมจาก 9 วิธีจาก Thoughtworks คือ ฝึกอบรมความปลอดภัยทางไซเบอร์เป็นประจำสำหรับพนักงานเพื่อสร้างความตระหนักและความเข้าใจเกี่ยวกับภัยคุกคามทางไซเบอร์ หรือ Cybersecurity Awareness (การสร้างความรู้ความเข้าใจด้านความปลอดภัยทางสารสนเทศและภัยคุกคามทางไซเบอร์)
เหตุที่โรงพยาบาลต้องมีการพัฒนาองค์ความรู้ของบุคลากร และสร้างความตระหนักรู้ใน เรื่อง Cybersecurity เพราะการใช้งานอินเตอร์เน็ต เป็นส่วนหนึ่งในการดำเนินงานและขับเคลื่อนงานต่างๆ ในโรงพยาบาล บุคลากรของโรงพยาบาล มีการใช้งานอินเทอร์เน็ตเพื่อการติดต่อ ใช้ในชีวิตประจำวัน บุคลากรของโรงพยาบาล ยังเป็น User ที่ใช้งานระบบอินเตอร์เน็ต และมีส่วนในการใช้งานข้อมูลส่วนบุคคลในโรงพยาบาล อาทิ เจ้าหน้าที่เวชระเบียนใช้ข้อมูลคนไข้ในฐานข้อมูลเพื่อบันทึกการเข้ารับการรักษา พยาบาลประจำแผนก รับข้อมูลต่อจากเวชระเบียนเพื่อซักประวัติคนไข้เบื้องต้น หมอใช้ด้านประวัติการรักษา ประวัติการใช้ยา เพื่อวินิจฉัยและรักษาโรค นอกจากกลุ่มผู้ใช้งานหลักเหล่านี้ ยังมี แผนกจ่ายยา การเงิน ประกันสังคม และอีกหลายๆ แผนกที่ใช้งานข้อมูลส่วนบุคคลร่วมกัน
บุคคลากรของโรงพยาบาลจึงเป็นกลุ่มคนที่ต้องเผชิญกับภัยคุกคามทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้ และภัยเหล่านี้อาจนำมาซึ่งความเสียหายขนาดใหญ่ต่อองค์กร การสร้างความรู้ความเข้าใจด้านความปลอดภัยทางสารสนเทศ ภัยคุกคามทางไซเบอร์ และขอบเขตการใช้งานข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วยวิธีการอบรม เผยแพร่ข้อมูล ประชาสัมพันธ์ จึงเป็นสิ่งที่จำเป็นอย่างยิ่ง
ผลผลิตที่จะเกิดต่อจากความรู้ความเข้าใจ ได้แก่
พนักงานในองค์กรเห็นภาพเดียวกัน เกิดความเข้าใจและตระหนักรู้ถึงความสำคัญของข้อมูลส่วนบุคคลทั้งในระดับพนักงานและองค์กร
สร้างวัฒนธรรมการตระหนักรู้ เกี่ยวกับข้อมูลส่วนบุคคล
ลดความเสี่ยงจากภัยคุกคามในรูปแบบต่าง ๆ ปกป้องข้อมูลส่วนบุคคลซึ่งเป็นทรัพยากรที่ล้ำค่าขององค์กร
ถือเป็นการปฏิบัติตามที่กฎหมายและประกาศที่เกี่ยวข้อง และใช้เป็นหลักฐานเกี่ยวกับการปฏิบัติตามกฎหมาย เมื่อมีการตรวจสอบย้อนหลัง
ป้องกันความเสี่ยงที่เกี่ยวกับ Privacy Risk ความเสี่ยงด้านการละเมิด ใช้ผิดวัตถุประสงค์
- แผนกหรือฝ่ายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เกิดการตระหนักรู้และระมัดระวังในการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลตามขอบเขต
เพียงทำตาม 10 ขั้นตอนเหล่านี้อย่างสม่ำเสมอ จะช่วยเสริมความมั่นคงให้แก่ระบบ Cybersecurity ในโรงพยาบาล ช่วยให้ข้อมูลของโรงพยาบาลของท่าน ปลอดภัยและห่างไกลจากภัยไซเบอร์ ช่วยเสริมสร้างความมั่นใจให้กับคนไข้และผู้มาใช้บริการได้มากยิ่งขึ้น
