สปสช. แจงตรวจสอบแล้วไม่มีข้อมูลหลุด หลังพบโพสต์อ้างขายข้อมูล “API NHSO” บน Discord เดินหน้ายกระดับความปลอดภัย ปิดช่องโหว่ทุกเว็บที่เข้าถึงข้อมูลส่วนบุคคล
นายประเทือง เผ่าดิษฐ ผู้ช่วยเลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) ชี้แจงกรณีมีการเผยแพร่โพสต์บนสื่อสังคมออนไลน์ โดยระบุว่าพบการซื้อขายข้อมูลที่อ้างถึง สปสช./NHSO ผ่านช่องทาง Discord ซึ่งแบ่งเป็น 2 ส่วน ได้แก่ ส่วนที่เป็น ข้อมูล และส่วนที่เป็น API ว่า สปสช. ได้สั่งการให้ทีม Cyber และทีม CSOC ร่วมกับทีมผู้เชี่ยวชาญภายนอกตรวจสอบข้อเท็จจริงอย่างเร่งด่วนแล้ว พบว่า ไม่มีข้อมูลหลุดออกจากระบบของ สปสช.
สำหรับผลการตรวจสอบด้านเทคนิคจากการวิเคราะห์บันทึกการใช้งาน (log) ทั้งจากระบบป้องกันเครือข่าย (firewall) และระบบที่เกี่ยวข้อง ไม่พบหลักฐานการเจาะระบบหรือการดึงข้อมูลออกจากระบบ สปสช. จึงยืนยันได้ว่า ข่าวดังกล่าวไม่ใช่เหตุการณ์ข้อมูลรั่วไหลจากฐานข้อมูลของ สปสช.
ในส่วนที่มีการอ้างว่าเป็น ข้อมูลของ สปสช. ทีมตรวจสอบประเมินว่า ข้อมูลที่นำไปอ้างขายอาจเกิดจากการเอาข้อมูลส่วนบุคคลจากแหล่งต่าง ผสมกับข้อมูลจากแหล่งอื่นที่หลุดจากที่อื่นแล้วใช้ชื่อ สปสช. เพื่อสร้างความน่าเชื่อถือ แต่ ไม่ใช่การดึงข้อมูลออกจากระบบของ สปสช.
สำหรับกรณี API NHSO นายประเทือง ระบุว่า การเชื่อมต่อ API กับ สปสช. แม้จะมีข้อมูลการให้บริการตามที่ประกาศไว้เป็นสาธารณะ แต่การเชื่อมต่อใช้งานจริง ต้องมีการสมัครและรับ Token key จาก สปสช. ก่อน และกรณีการเชื่อมต่อที่มีปริมาณการใช้งานจำนวนมากหรือเป็นลักษณะเข้าถึงข้อมูลรายบุคคลจำนวนมาก จะต้องผ่านมาตรการความปลอดภัยเพิ่มเติม โดย ต้องได้รับการประกาศ IP Whitelist อีกชั้นเพื่อควบคุมความปลอดภัยอีกชั้น
ดังนั้น แม้จะเห็นคำว่า API NHSO ถูกอ้างขาย ก็ไม่สามารถนำไปเชื่อมต่อกับระบบ สปสช. ได้โดยไม่มีการอนุญาต และจากการตรวจสอบช่องทางที่เป็นข่าว ไม่พบว่ามีข้อมูลหลุดจากการเชื่อมต่อ API
อย่างไรก็ตาม จากเหตุการณ์ที่มีการอ้างเชื่อมโยงชื่อหน่วยงาน สปสช. จะเร่งยกระดับความปลอดภัยให้เข้มงวดสูงสุดเพื่อสร้างความแข็งแกร่งของระบบความปลอดภัยให้มากยิ่งขึ้น ป้องกันการแอบอ้างซึ่งอาจถูกนำไปสร้างความเข้าใจผิด โดยมีมาตรการสำคัญ ได้แก่
1. ยกระดับการพิสูจน์ตัวตนสำหรับทุกระบบเว็บของ สปสช. ที่เข้าถึงข้อมูลส่วนบุคคล ให้ต้องมีการเข้าระบบและยืนยันตัวตนอย่างน้อยแบบ Two-Factor ระบบ Authentication (2FA) โดยระบบ e-Claim และ ระบบการขึ้นทะเบียนหน่วยบริการและ ระบบการลงทะเบียนประชาชนได้ดำเนินการแล้ว และระบบอื่น ๆ จะเร่งทยอยให้แล้วเสร็จโดยเร็ว
2. ออกประกาศกำกับการเชื่อมต่อ API โดยได้ยกร่างและให้ฝ่ายกฎหมายตรวจสอบแล้ว เตรียมเสนอเลขาธิการ สปสช. ลงนามในวันนี้เพื่อประกาศให้บริษัทผู้ให้บริการระบบ HIS และหน่วยงานต่าง ๆ ที่เชื่อมต่อ API กับ สปสช. ต้องมาขึ้นทะเบียนและปฏิบัติตามแนวทางตามกฎหมาย รวมถึงกำหนดความรับผิดหากไม่ปฏิบัติตาม ทั้งนี้หลังประกาศจะเร่งจัดประชุมและขึ้นทะเบียนให้แล้วเสร็จ ภายในสิ้นเดือนนี้
สปสช. ขอยืนยันอีกครั้งว่า เหตุการณ์ตามที่เป็นข่าว ไม่มีข้อมูลของ สปสช. หลุดออกไปจากระบบ และ สปสช. จะดำเนินมาตรการเชิงรุกเพื่อยกระดับความปลอดภัยของระบบสารสนเทศอย่างต่อเนื่อง เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนและสร้างความเชื่อมั่นต่อการให้บริการ หากประชาชนมีข้อสงสัยเกี่ยวกับการใช้สิทธิหรือพบความผิดปกติในการเข้าถึงข้อมูล สามารถติดต่อสายด่วน สปสช. 1330 โทรฟรี 24 ชั่วโมง
อ่านข่าวเพิ่มเติม
- สปสช. แจงมติบอร์ด ต้องเคาะนำร่องฉีดวัคซีน PCV เหตุวงเงินจำกัด 225 ล้าน
- สปสช. ชูนวัตกรรม โควตา-สแกนหน้า-QR Code สิทธิ 30 บาทรักษาทุกที่
- ‘หมอวีระพันธ์’ ฟาด สปสช. ลดสิทธิ์คนป่วยคลินิกนวัตกรรม เหลือ 2 ครั้ง กระทบแน่
ติดตามเราได้ที่
- เว็บไซต์ : https://www.thebangkokinsight.com/
- Facebook: https://www.facebook.com/TheBangkokInsight
- Twitter: https://twitter.com/BangkokInsight
- Instagram: https://www.instagram.com/thebangkokinsight/
- Youtube: https://www.youtube.com/channel/UCYmFfMznVRzgh5ntwCz2Yxg
