สปสช. ยืนยันไม่พบข้อมูลรั่วไหล หลังมีโพสต์อ้างขาย “ข้อมูล–API NHSO” บนออนไลน์
สำนักงานหลักประกันสุขภาพแห่งชาติ ชี้แจง หลังพบโพสต์อ้างขาย “ข้อมูล–API NHSO” บน Discord ตรวจสอบแล้ว ยืนยันไม่พบข้อมูลหลุดจากระบบ เดินหน้ายกระดับความปลอดภัยทันที ปิดช่องโหว่ทุกเว็บที่เข้าถึงข้อมูลส่วนบุคคล
นายประเทือง เผ่าดิษฐ ผู้ช่วยเลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) ชี้แจงกรณีมีการเผยแพร่โพสต์บนสื่อสังคมออนไลน์ โดยระบุว่าพบการซื้อขายข้อมูลที่อ้างถึง “สปสช./NHSO” ผ่านช่องทาง Discord ซึ่งแบ่งเป็น 2 ส่วน ได้แก่ ส่วนที่เป็น “ข้อมูล” และส่วนที่เป็น “API” ว่า สปสช. ได้สั่งการให้ทีม Cyber และทีม CSOC ร่วมกับทีมผู้เชี่ยวชาญภายนอกตรวจสอบข้อเท็จจริงอย่างเร่งด่วนแล้ว พบว่า ไม่มีข้อมูลหลุดออกจากระบบของ สปสช.
นายประเทือง กล่าวว่า ผลการตรวจสอบด้านเทคนิคจากการวิเคราะห์บันทึกการใช้งาน (log) ทั้งจากระบบป้องกันเครือข่าย (firewall) และระบบที่เกี่ยวข้อง ไม่พบหลักฐานการเจาะระบบหรือการดึงข้อมูลออกจากระบบ สปสช. จึงยืนยันได้ว่า ข่าวดังกล่าวไม่ใช่เหตุการณ์ข้อมูลรั่วไหลจากฐานข้อมูลของ สปสช.
ในส่วนที่มีการอ้างว่าเป็น “ข้อมูลของ สปสช.” ทีมตรวจสอบประเมินว่า ข้อมูลที่นำไปอ้างขายอาจเกิดจากการเอาข้อมูลส่วนบุคคลจากแหล่งต่าง “ผสม” กับข้อมูลจากแหล่งอื่นที่หลุดจากที่อื่นแล้วใช้ชื่อ สปสช. เพื่อสร้างความน่าเชื่อถือ แต่ ไม่ใช่การดึงข้อมูลออกจากระบบของ สปสช.
สำหรับกรณี “API NHSO” นายประเทือง ระบุว่า การเชื่อมต่อ API กับ สปสช. แม้จะมีข้อมูลการให้บริการตามที่ประกาศไว้เป็นสาธารณะ แต่การเชื่อมต่อใช้งานจริง ต้องมีการสมัครและรับ Token key จาก สปสช. ก่อน และกรณีการเชื่อมต่อที่มีปริมาณการใช้งานจำนวนมากหรือเป็นลักษณะเข้าถึงข้อมูลรายบุคคลจำนวนมาก จะต้องผ่านมาตรการความปลอดภัยเพิ่มเติม โดย ต้องได้รับการประกาศ IP Whitelist อีกชั้นเพื่อควบคุมความปลอดภัยอีกชั้น ดังนั้น แม้จะเห็นคำว่า “API NHSO” ถูกอ้างขาย ก็ไม่สามารถนำไปเชื่อมต่อกับระบบ สปสช. ได้โดยไม่มีการอนุญาต และจากการตรวจสอบช่องทางที่เป็นข่าว ไม่พบว่ามีข้อมูลหลุดจากการเชื่อมต่อ API
นายประเทือง กล่าวเพิ่มเติมว่า แม้จะยืนยันว่าไม่มีข้อมูลหลุดจากระบบ สปสช. แต่จากเหตุการณ์ที่มีการอ้างเชื่อมโยงชื่อหน่วยงาน สปสช. จะเร่งยกระดับความปลอดภัยให้เข้มงวดสูงสุดเพื่อสร้างความแข็งแกร่งของระบบความปลอดภัยให้มากยิ่งขึ้น ป้องกันการแอบอ้างซึ่งอาจถูกนำไปสร้างความเข้าใจผิด โดยมีมาตรการสำคัญ ได้แก่
- ยกระดับการพิสูจน์ตัวตนสำหรับทุกระบบเว็บของ สปสช. ที่เข้าถึงข้อมูลส่วนบุคคล ให้ต้องมีการเข้าระบบและยืนยันตัวตนอย่างน้อยแบบ Two-Factor ระบบ Authentication (2FA) โดยระบบ e-Claim และ ระบบการขึ้นทะเบียนหน่วยบริการและ ระบบการลงทะเบียนประชาชนได้ดำเนินการแล้ว และระบบอื่น ๆ จะเร่งทยอยให้แล้วเสร็จโดยเร็ว
- ออกประกาศกำกับการเชื่อมต่อ API โดยได้ยกร่างและให้ฝ่ายกฎหมายตรวจสอบแล้ว เตรียมเสนอเลขาธิการ สปสช. ลงนามในวันนี้เพื่อประกาศให้บริษัทผู้ให้บริการระบบ HIS และหน่วยงานต่าง ๆ ที่เชื่อมต่อ API กับ สปสช. ต้องมาขึ้นทะเบียนและปฏิบัติตามแนวทางตามกฎหมาย รวมถึงกำหนดความรับผิดหากไม่ปฏิบัติตาม ทั้งนี้หลังประกาศจะเร่งจัดประชุมและขึ้นทะเบียนให้แล้วเสร็จ ภายในสิ้นเดือนนี้
“สปสช. ขอยืนยันอีกครั้งว่า เหตุการณ์ตามที่เป็นข่าว ไม่มีข้อมูลของ สปสช. หลุดออกไปจากระบบ และ สปสช. จะดำเนินมาตรการเชิงรุกเพื่อยกระดับความปลอดภัยของระบบสารสนเทศอย่างต่อเนื่อง เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนและสร้างความเชื่อมั่นต่อการให้บริการ” ผู้ช่วยเลขาธิการ สปสช. กล่าว
ทั้งนี้ หากประชาชนมีข้อสงสัยเกี่ยวกับการใช้สิทธิหรือพบความผิดปกติในการเข้าถึงข้อมูล สามารถติดต่อสายด่วน สปสช. 1330 โทรฟรี 24 ชั่วโมง