ทำไม “ข้อมูลด้านสุขภาพ” จึงเป็นที่ต้องการของ “เหล่าแฮกเกอร์”

เมื่อไม่กี่วันที่ผ่านมา มีข่าวว่ามีแฮกเกอร์ขโมยข้อมูลผู้ป่วยจากระบบโรงพยาบาลแห่งหนึ่งในประเทศ (และมีอีกหลายโรงพยาบาลที่โดนในลักษณะเดียวกันในเวลาต่อมา) ทำให้ข้อมูลส่วนตัวและข้อมูลด้านสุขภาพของประชาชนจำนวนมาก “หลุด” ออกสู่สาธารณะ ไม่เพียงเท่านั้น ยังมีการ “ประกาศขาย” ข้อมูลเหล่านั้นในเว็บไซต์ตลาดมืดอีกต่างหาก

ในฐานะประชาชนทั่วไป เราคงจะมีความรู้สึกที่หลากหลายกับข่าวนี้ หัวเสียเพราะข้อมูลหลุดโดยที่ไม่ใช่ความผิดพลาดของเรา กังวลว่าข้อมูลที่หลุดไปนั้นมีของเราไหม ถ้ามีข้อมูลอะไรบ้างที่หลุดไป หรือระแวงว่าจะมีเอกสารที่แสดงความเสียหายอะไรส่งมา เพราะข้อมูลส่วนตัวของเราที่ถูกแฮกไปนั้นถูกนำไปใช้โดยมิชอบแล้ว ไม่ใช่เรื่องแปลกเลยที่เราจะกังวล โดยเฉพาะหากเราเป็นหนึ่งในคนไข้ที่รักษาตัวอยู่ที่โรงพยาบาลนั้น

อันที่จริง ไม่ว่าจะเป็นข้อมูลในระบบของหน่วยงานรัฐหรือองค์กรเอกชน ต่างก็มีโอกาสที่จะถูกโจรกรรมข้อมูลได้ทั้งสิ้น เพียงแต่ทำไมข้อมูลด้านสุขภาพของบุคคลก็เป็นข้อมูลอันดับแรก ๆ ที่โดนแฮกเกอร์ขโมยข้อมูลบ่อยมาก แฮกข้อมูลบริษัทบัตรเครดิตก็ได้นี่ ได้ข้อมูลตรง ๆ ชัดเจนเลย แต่เพราะว่ามันชัดเจนเกินไป ระบบรักษาความปลอดภัยไซเบอร์จะทราบได้แทบทันทีว่าข้อมูลหลุด และอาจมีการระงับใช้ข้อมูลพวกนั้นชั่วคราวได้ทันที แต่หากได้จากข้อมูลผู้ป่วย ก็จะซื้อเวลานานได้อีกหน่อย กว่าจะทราบ กว่าจะไหวตัว ก็อาจระงับอะไรไม่ทัน

การที่ข้อมูลส่วนบุคคลหลุดในลักษณะนี้ ถือเป็นสิ่งที่อยู่เหนือการควบคุมของผู้ใช้งานอย่างเรา ๆ เพราะปกติเราก็ระมัดระวังเรื่องการใช้งานเว็บไซต์หรือแอปพลิเคชันต่าง ๆ เพื่อไม่ให้มีข้อมูลส่วนตัวหลุดออกไป นั่นหมายความว่าต่อให้เราระวังการรับอีเมลที่ไม่รู้ที่มาที่ไปแทบตาย พยายามไม่กดเข้าลิงก์นู่นนั่นนี่ซี้ซั้ว หรือพยายามใช้งานเว็บไซต์ แพลตฟอร์มออนไลน์ที่น่าเชื่อถือแค่ไหน ถ้าระบบของหน่วยงานหรือองค์กรไหนสักแห่งดันถูกแฮกหรือเจาะขโมยข้อมูล ข้อมูลที่เราเคยใช้ติดต่อธุรกรรมก็เสี่ยงที่จะหลุดออกไปสู่บุคคลอื่นหรือสาธารณะได้อยู่ดี

อาชญากรรมทางอินเทอร์เน็ตในประเทศไทยก็เกิดขึ้นได้กับหน่วยงานที่เราไม่สามารถหลีกเลี่ยงหรือปฏิเสธการให้ข้อมูลส่วนตัวของเราได้ หากหน่วยงานหรือองค์กรนั้นไม่มีระบบรักษาความปลอดภัยที่มั่นคงดีพอ ข้อมูลก็อาจรั่วไหลจากบุคคลภายนอก หรือแฮกเกอร์ที่สามารถเจาะเข้าระบบได้

อย่างการเข้าใช้บริการสาธารณสุข เจ็บป่วยไปหาหมอ เราก็ต้องกรอกข้อมูลผู้ป่วย ถูกซักประวัติ ซึ่งเราก็ต้องให้ข้อมูลส่วนตัวของเราทั้งหมด เพื่อผลประโยชน์ในการรักษา จะจ่ายเงินมีสิทธิพิเศษอะไรบ้าง ประกันสังคม ประกันสุขภาพถ้วนหน้า เคลมประกันส่วนตัว จ่ายสดหรือรูดบัตร ง่าย ๆ ก็คือ หน่วยงานสาธารณสุขนี่แหละมีข้อมูลของเรานับตั้งแต่เกิดยันตายเลยทีเดียว เมื่อหน่วยงานเหล่านี้ทำข้อมูลหลุด ไม่ว่าจะด้วยความประมาท สะเพร่า เลินเล่อ หรือระบบเก็บข้อมูลไม่แกร่งพอจะต้านเหล่าแฮกเกอร์ ข้อมูลที่หลุดออกมาย่อมเป็นอันตรายต่อบุคคลไม่ทางใดก็ทางหนึ่งแน่นอน

อย่างไรก็ดี กรณีการแฮกข้อมูลคนไข้ของหน่วยงานสาธารณสุขไม่ได้เกิดขึ้นครั้งเเรกในประเทศไทย เมื่อช่วงเวลาใกล้เคียงกันเมื่อปีก่อน ก็เคยมีเหตุการณ์นี้เกิดขึ้นและเป็นข่าวดังเช่นกัน พอเรื่องราวมันเกิดบ่อยและเกิดถี่ เราก็อาจจะสงสัยว่าทำไมข้อมูลเวชระเบียนของสถานพยาบาลถึงเป็นที่หมายปองของเหล่าแฮกเกอร์ล่ะ จะอยากรู้รายละเอียดการเจ็บป่วย และประวัติการรักษาพยาบาลของคนแปลกหน้าไปทำไมกัน?

ทำไมแฮกเกอร์จึงชอบข้อมูลเวชระเบียน

ก่อนอื่น ต้องทราบก่อนว่าข้อมูลเวชระเบียนมีรายการข้อมูลอะไรบ้างที่อาจถูกขโมยจากการแฮกเข้าระบบหน่วยงานสุขภาพ ข้อมูลส่วนบุคคล (Personal Health Information : PHI) เบื้องต้น เช่น

  • ชื่อ
  • ข้อมูลติดต่อ
  • หมายเลขประจำตัวประชาชน
  • หมายเลขประกันสังคม
  • ข้อมูลทางการเงิน
  • วันเกิด
  • ข้อมูลครอบครัว
  • หมายเลขเวชระเบียน
  • หมายเลขประกันสุขภาพ
  • ข้อมูลใบสั่งยา
  • ข้อมูลทางการแพทย์และ/หรือทางคลินิก รวมถึงประวัติการวินิจฉัยและการรักษา และข้อมูลการประกันสุขภาพ

ไม่เพียงเท่านี้ ยังอาจจะมีข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่มีความละเอียดอ่อนมาก สุ่มเสี่ยงที่จะถูกนำมาใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาปรัชญา รสนิยมทางเพศ ประวัติอาชญากรรม ข้อมูลความพิการหรือข้อมูลสุขภาพจิต ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เป็นต้น

“ข้อมูลด้านสุขภาพเป็นขุมทรัพย์สำหรับอาชญากร” Tom Kellermann หัวหน้าเจ้าหน้าที่ความปลอดภัยทางไซเบอร์ของบริษัท Carbon Black ซึ่งเป็นบริษัทด้านความปลอดภัยไซเบอร์กล่าว เพราะหากแฮกเกอร์ขโมยข้อมูลด้านสุขภาพของประชาชนทั่วไปออกมาได้ มันทำสามารถทำเงินให้กับเหล่าหัวขโมยได้อย่างมหาศาล คิดง่าย ๆ แค่การต่อรองเรียกค่าไถ่กับทางโรงพยาบาล ที่จำเป็นต้องดึงข้อมูลผู้ป่วยทุกวันแต่เข้าระบบไม่ได้เพราะโดนล็อกระบบ แฮกเกอร์จะเรียกค่าไถ่เพื่อปลดล็อกคอมพิวเตอร์ เนื่องจากข้อมูลการรักษาผู้ป่วยนั้นค่อนข้างละเอียดและซับซ้อน การรักษาต่อเนื่องจำเป็นต้องดูประวัติเก่าประกอบ

หากโรงพยาบาลปฏิเสธ แฮกเกอร์จะขู่ว่าจะเผยแพร่ข้อมูลของเหยื่อ ซึ่งถ้าข้อมูลนี้หลุดออกไปจะกลายเป็นความสะเพร่าของระบบโรงพยาบาลทันที ข้อมูลส่วนบุคคลของผู้ป่วยเป็นส่วนที่ทางโรงพยาบาลต้องคุ้มครองดูแล ก็จะเกิดความเสียหายต่อภาพลักษณ์ ความน่าเชื่อถือของโรงพยาบาลด้วย

อันที่จริง นี่เป็นเพียงการคาดเดาเบื้องต้นว่าแฮกเกอร์จะทำอะไรกับข้อมูลที่ขโมยมาเพื่อให้ได้มูลค่าสูงสุด แต่อย่าลืมว่าพวกแฮกเกอร์สามารถทำเงินได้มากกว่านั้นถ้าพวกเขาจะทำ ตัวอย่างเช่น ข้อมูลอ่อนไหวหรือข้อมูลสุขภาพของบุคคลมีชื่อเสียงหรือบรรดาผู้นำ พวกข้อมูลสุขภาพ เช่น โรคติดต่อทางเพศสัมพันธ์หรืออาการป่วยระยะสุดท้าย จะเป็นความลับสูงสุด เพราะมันมีผลต่อการประทุษร้ายและความมั่นคง หากแฮกเกอร์นำเอาข้อมูลนี้ไปขู่กรรโชก เรียกร้อง บีบบังคับให้เจ้าของข้อมูลจ่ายเงินเพื่อซื้อข้อมูลคืน มีแนวโน้มสูงทีเดียวว่าพวกเขาจะยอมจ่าย แพงแค่ไหนก็จ่าย

ข้อมูลสุขภาพส่วนบุคคล (Personal Health Information : PHI) จึงมีมูลค่าสูงมากเมื่อเทียบกับข้อมูลอื่น ๆ ที่แฮกเกอร์อาจหาได้ จากรายงานด้านความปลอดภัยทั่วโลกของ Trustwave ในปี 2018 ได้ตรวจสอบมูลค่าราคาขายของข้อมูลประเภทต่าง ๆ ซึ่งถูกนำมาขายบนเว็บตลาดมืด พบข้อมูลที่น่าสนใจคือ หมายเลขประกันสังคมของบุคคลจะขายได้ในราคา 0.53 เหรียญสหรัฐ รายละเอียดของพวกบัตรที่ใช้จ่ายเงินจะอยู่ที่ 5.40 เหรียญสหรัฐ แต่บันทึกการรักษาพยาบาลสำหรับบุคคลหนึ่ง จะขายได้เงินเฉลี่ย 250.15 เหรียญสหรัฐ!

ที่น่ากลัวอีกประการ ข้อมูลด้านสุขภาพที่รั่วไหลออกไปจากระบบโรงพยาบาลนั้น ไม่ได้มีแค่ข้อมูลผู้ป่วย แต่ข้อมูลการทำงานของแพทย์ก็เช่นกัน บางข้อมูลสามารถนำไปใช้ซื้ออุปกรณ์ทางการแพทย์ ยา ออกใบสั่งยา การรักษา ยื่นคำร้องที่เป็นเท็จ หรืออ้างสิทธิ์ทางการแพทย์ปลอม หรือนำข้อมูลของผู้เสียหายไปใช้สร้างตัวตนปลอมแล้วกระทำสิ่งที่ก่อให้เกิดความเสียหาย เมื่อแฮกเกอร์นำเอาข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลไปขาย ข้อมูลนั้นสามารถนำไปสวมรอยใช้ในทางที่มิชอบ อย่างธุรกรรมทางการเงินและก่ออาชญากรรม ซึ่งเป็นการกระทำที่ทำให้เกิดความโกลาหลในระยะยาว การละเมิด PHI จึงเป็นภัยคุกคามต่อผู้ป่วยและระบบการรักษาพยาบาลอย่างแท้จริง

สิ่งนี้แสดงให้เห็นถึงความแตกต่างที่ชัดเจน เกี่ยวกับมูลค่าของข้อมูลด้านการรักษาพยาบาล เมื่อเทียบกับข้อมูลส่วนตัวแบบอื่น ๆ อีกทั้งข้อมูล PHI นี้มีอายุการเก็บรักษานาน โดยทั่วไปแล้วจะใช้เวลานานกว่าในการตรวจจับพบการละเมิดข้อมูล และจะต้องใช้เวลาสักระยะในการตรวจสอบว่ามีข้อมูลใดถูกนำไปใช้ และจะส่งผลกระทบต่อบุคคลอย่างไร ต่างจากการขโมยข้อมูลบัตรเครดิต ที่ผู้ใช้งานรับรู้ได้เร็วและสามารถยกเลิกบัตรได้ก่อนที่จะเกิดความเสียหายเหตุผลเท่านี้ก็เพียงพอแล้วว่าทำไมแฮกเกอร์จึงอยากได้ข้อมูลเวชระเบียนกันนัก

การขโมยข้อมูลการรักษาพยาบาลในระบบข้อมูลสุขภาพเกิดขึ้นทั่วโลก

ในปี 2017 บริษัทรักษาความปลอดภัยทางไซเบอร์ Protenus ได้ติดตามการแฮกข้อมูลด้านสุขภาพในสหรัฐอเมริกาเพียง 222 รายการ แต่เพียงปีเดียวหลังจากนั้น ในปี 2018 ได้ตรวจสอบรายงานการละเมิดข้อมูลทางการแพทย์เกือบ 400 รายการ ตัวเลขดังกล่าวเพิ่มขึ้นถึง 25 เปอร์เซ็นต์

แต่ยังมีเหตุผลอะไรอีกที่ทำให้ข้อมูลสุขภาพกลายเป็นเป้าหมายในการโจมตีสูงถึงขนาดนี้ ข้อมูลจาก Reuters รายงานว่า “ระบบโรงพยาบาลมีความปลอดภัยต่ำ” Dave Kennedy ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จึงกล่าวว่า “จึงค่อนข้างง่ายสำหรับแฮกเกอร์ ในการขโมยข้อมูลส่วนบุคคลจำนวนมากจากระบบของโรงพยาบาล”

รายงานจาก Security Scorecard พบว่าระบบข้อมูลของอุตสาหกรรมดูแลสุขภาพนั้น ยอมรับอย่างกว้างขวางว่ามีความปลอดภัยที่ค่อนข้างต่ำ ได้อันดับที่ 9 จากการประเมินคะแนนความปลอดภัยโดยรวม อย่างในสหรัฐอเมริกา ก็มีการก่ออาชญากรรมละเมิดข้อมูลด้านสุขภาพครั้งใหญ่ ๆ ถึง 10 ครั้ง ในช่วงเวลาเพียง 5 ปี ส่งผลกระทบต่อผู้คนทั่วสหรัฐอเมริกามากถึง 80 ล้านคน!

จะเห็นได้ว่าเราแทบจะป้องกันข้อมูลตัวเองรั่วไหลจากกรณีเช่นนี้ไม่ได้เลย เพราะมันเป็นข้อมูลที่เราจำเป็นต้องให้เวลาเข้ารักษาอาการเจ็บป่วย ขณะที่ระบบของหน่วยงานด้านสาธารณสุขก็ยังไม่ได้แข็งแกร่งเท่าที่ควร (แม้แต่ในสหรัฐอเมริกาเอง) แล้วจะทำอย่างไรดี จะพยายามไม่เจ็บไม่ป่วย เพื่อที่จะได้ไม่ต้องเข้าโรงพยาบาล วิธีนี้ก็อาจทำได้และเป็นเรื่องดีที่เราจะหันมาดูแลสุขภาพร่างกายของตนเอง แต่ดูแล้วอาจจะไม่เข้าท่าเท่าไร

ข้อมูลจาก Accountable, Advisory Board, Hacked, Tech Target, Health Tech, Digital Guardian