สปสช. เช็กแล้วไม่มีข้อมูลหลุดจากระบบ หลังพบโพสต์อ้างขายข้อมูล เร่งยกระดับความปลอดภัยเข้มงวดสูงสุด

สปสช. เช็กแล้วไม่มีข้อมูลหลุดจากระบบ หลังพบโพสต์อ้างขายข้อมูล เร่งยกระดับความปลอดภัยให้เข้มงวดสูงสุด เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชน

วันที่ 17 ก.พ.2569 นายประเทือง เผ่าดิษฐ ผู้ช่วยเลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) ชี้แจงกรณีมีการเผยแพร่โพสต์บนสื่อสังคมออนไลน์ระบุว่าพบการซื้อขายข้อมูลที่อ้างถึง “สปสช./NHSO” ผ่านช่องทาง Discord ซึ่งแบ่งเป็น 2 ส่วน ได้แก่ ส่วนที่เป็น “ข้อมูล” และส่วนที่เป็น “API” ว่า กรณีนี้สปสช. ได้สั่งการให้ทีม Cyber และทีม CSOC ร่วมกับทีมผู้เชี่ยวชาญภายนอกตรวจสอบข้อเท็จจริงอย่างเร่งด่วนแล้ว พบว่า ไม่มีข้อมูลหลุดออกจากระบบของ สปสช.

นายประเทือง กล่าวว่า ผลการตรวจสอบด้านเทคนิคจากการวิเคราะห์บันทึกการใช้งาน (log) ทั้งจากระบบป้องกันเครือข่าย (firewall) และระบบที่เกี่ยวข้อง ไม่พบหลักฐานการเจาะระบบหรือการดึงข้อมูลออกจากระบบ สปสช. จึงยืนยันได้ว่า ข่าวดังกล่าวไม่ใช่เหตุการณ์ข้อมูลรั่วไหลจากฐานข้อมูลของ สปสช.

“ในส่วนที่มีการอ้างว่าเป็น ข้อมูลของ สปสช. ทีมตรวจสอบประเมินว่า ข้อมูลที่นำไปอ้างขายอาจเกิดจากการเอาข้อมูลส่วนบุคคลจากแหล่งต่างๆ ผสมกับข้อมูลจากแหล่งอื่นที่หลุดจากที่อื่นแล้วใช้ชื่อ สปสช. เพื่อสร้างความน่าเชื่อถือ แต่ไม่ใช่การดึงข้อมูลออกจากระบบของ สปสช.” นายประเทือง กล่าว

สำหรับกรณี API NHSO นายประเทือง กล่าวว่า การเชื่อมต่อ API กับ สปสช. แม้จะมีข้อมูลการให้บริการตามที่ประกาศไว้เป็นสาธารณะ แต่การเชื่อมต่อใช้งานจริง ต้องมีการสมัครและรับ Token key จาก สปสช. ก่อน และกรณีการเชื่อมต่อที่มีปริมาณการใช้งานจำนวนมาก หรือเป็นลักษณะเข้าถึงข้อมูลรายบุคคลจำนวนมาก จะต้องผ่านมาตรการความปลอดภัยเพิ่มเติม โดย ต้องได้รับการประกาศ IP Whitelist อีกชั้นเพื่อควบคุมความปลอดภัยอีกชั้น

“ดังนั้น แม้จะเห็นคำว่า API NHSO ถูกอ้างขาย ก็ไม่สามารถนำไปเชื่อมต่อกับระบบ สปสช. ได้โดยไม่มีการอนุญาต และจากการตรวจสอบช่องทางที่เป็นข่าว ไม่พบว่ามีข้อมูลหลุดจากการเชื่อมต่อ API” นายประเทือง กล่าวและว่า

แม้จะยืนยันว่าไม่มีข้อมูลหลุดจากระบบ สปสช. แต่จากเหตุการณ์ที่มีการอ้างเชื่อมโยงชื่อหน่วยงาน สปสช. จะเร่งยกระดับความปลอดภัยให้เข้มงวดสูงสุด เพื่อสร้างความแข็งแกร่งของระบบความปลอดภัยให้มากยิ่งขึ้น ป้องกันการแอบอ้างซึ่งอาจถูกนำไปสร้างความเข้าใจผิด โดยมีมาตรการสำคัญ ได้แก่

1. ยกระดับการพิสูจน์ตัวตนสำหรับทุกระบบเว็บของ สปสช. ที่เข้าถึงข้อมูลส่วนบุคคล ให้ต้องมีการเข้าระบบและยืนยันตัวตนอย่างน้อยแบบ Two-Factor ระบบ Authentication (2FA) โดยระบบ e-Claim และ ระบบการขึ้นทะเบียนหน่วยบริการและ ระบบการลงทะเบียนประชาชนได้ดำเนินการแล้ว และระบบอื่นๆ จะเร่งทยอยให้แล้วเสร็จโดยเร็ว
2. ออกประกาศกำกับการเชื่อมต่อ API โดยได้ยกร่างและให้ฝ่ายกฎหมายตรวจสอบแล้ว เตรียมเสนอเลขาธิการ สปสช. ลงนามในวันนี้ (17 กุมภาพันธ์ 2569) เพื่อประกาศให้บริษัทผู้ให้บริการระบบ HIS และหน่วยงานต่างๆ ที่เชื่อมต่อ API กับ สปสช. ต้องมาขึ้นทะเบียนและปฏิบัติตามแนวทางตามกฎหมาย รวมถึงกำหนดความรับผิดหากไม่ปฏิบัติตาม ทั้งนี้หลังประกาศจะเร่งจัดประชุมและขึ้นทะเบียนให้แล้วเสร็จ ภายในสิ้นเดือนนี้

“สปสช.ขอยืนยันอีกครั้งว่า เหตุการณ์ตามที่เป็นข่าว ไม่มีข้อมูลของ สปสช. หลุดออกไปจากระบบ และ สปสช. จะดำเนินมาตรการเชิงรุกเพื่อยกระดับความปลอดภัยของระบบสารสนเทศอย่างต่อเนื่อง เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนและสร้างความเชื่อมั่นต่อการให้บริการ” นายประเทือง กล่าวและว่า หากประชาชนมีข้อสงสัยเกี่ยวกับการใช้สิทธิหรือพบความผิดปกติในการเข้าถึงข้อมูล สามารถติดต่อสายด่วน สปสช.1330 โทรศัพท์ฟรี 24 ชั่วโมง

ที่มา : สปสช. เช็กแล้วไม่มีข้อมูลหลุดจากระบบ หลังพบโพสต์อ้างขายข้อมูล