โรงพยาบาลใหญ่หลายแห่งถูกโจมตีทางไซเบอร์ ข้อมูลคนไข้ถูกขาย

ในงานสัมมนาเมื่อเร็วๆ นี้เกี่ยวกับความต้องการและการจัดการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ในเวียดนาม ซึ่งจัดโดยสถาบันความปลอดภัยแบบไม่ดั้งเดิม คณะบริหารธุรกิจ มหาวิทยาลัยแห่งชาติ ฮานอย ผู้เชี่ยวชาญกล่าวว่า การใช้ไซเบอร์สเปซในการก่ออาชญากรรมมีจำนวนเพิ่มขึ้น ทั้งในด้านจำนวน ลักษณะ ความรุนแรง และวิธีการและกลวิธีที่ซับซ้อนมากมาย ส่งผลให้เหยื่อจำนวนมากสูญเสียเงินจำนวนมหาศาล

อาชญากรรมไซเบอร์มุ่งเป้าไปที่หน่วยงานและองค์กรสำคัญๆ รวมถึง ภาคการแพทย์ รายงานในเวียดนามระบุว่า การโจมตีทางไซเบอร์ต่อระบบการแพทย์เกิดขึ้นที่โรงพยาบาลทั่วไปจังหวัดอานซาง ระบบเซิร์ฟเวอร์เสมือนของโรงพยาบาลถูกแฮ็ก ส่งผลให้ข้อมูลทั้งหมดถูกเข้ารหัส ระบบถูกระงับการใช้งาน และไม่สามารถใช้งานได้

ในเดือนมีนาคม พ.ศ. 2567 มี IP เสมือนจากต่างประเทศจำนวนหนึ่งโจมตีเว็บไซต์สำหรับหมายเลขตรวจสุขภาพออนไลน์ของโรงพยาบาลหัวใจโฮจิมินห์ ทำให้โรงพยาบาลต้องปิดระบบรับหมายเลขเพื่อแก้ไขปัญหาและรันระบบสำรองข้อมูล

ตามข้อมูลจากฟอรัมอาชญากรรมทางไซเบอร์ ในเดือนมิถุนายน พ.ศ. 2567 แฮกเกอร์ได้ขายข้อมูลประวัติผู้ป่วยและเจ้าหน้าที่ทางการแพทย์ของโรงพยาบาลทั่วไปฮ่องหง็อกจำนวน 112,000 ราย ซึ่งรวมถึงชื่อ ข้อมูลการติดต่อ บันทึกทางการแพทย์ และข้อมูลทางการเงิน

ไม่เพียงเท่านั้น เซิร์ฟเวอร์ HIS ของโรงพยาบาล Bach Mai หลายแห่งยังถูกแฮ็ก เนื่องจากมีโค้ดมัลแวร์ขุดเหรียญจำนวนมาก หรือข้อมูลบุคลากรของโรงพยาบาล University of Medicine and Pharmacy ในนครโฮจิมินห์และรายชื่อเซิร์ฟเวอร์มากกว่า 50 แห่งรั่วไหลทางออนไลน์...

ในเดือนตุลาคม พ.ศ. 2567 แฮกเกอร์โจมตีระบบเครือข่ายของโรงพยาบาลทั่วไป Duc Giang และเข้ารหัสเซิร์ฟเวอร์ทั้งหมด 9 เครื่อง ส่งผลให้โรงพยาบาลสูญเสียข้อมูลจำนวนมากและระบบของโรงพยาบาลหยุดทำงาน

ในเดือนมกราคม พ.ศ. 2568 ระบบการจัดการโรงพยาบาล HIS ที่ศูนย์การรักษาตามความต้องการระหว่างประเทศของโรงพยาบาลกลาง เว้ ถูกโจมตี โดยเข้ารหัสข้อมูลมากกว่า 500GB และเรียกร้องการชำระเงินเพื่อถอดรหัสข้อมูล

จากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าความเสี่ยงเหล่านี้ไม่ได้มาจากแหล่งภายนอกเท่านั้น แต่ยังมาจากความตระหนักรู้ที่จำกัดของบุคลากรทางการแพทย์เกี่ยวกับความปลอดภัยทางไซเบอร์อีกด้วย

สถานพยาบาลหลายแห่งยังไม่ได้นำมาตรการรักษาความปลอดภัยข้อมูลตามที่กำหนดไว้ครบถ้วน ทั้งมาตรการการจัดการและมาตรการทางเทคนิคที่กำหนดไว้

พันโท เล ซวน ถุ่ย ผู้อำนวยการศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (A05) กระทรวงความมั่นคงสาธารณะ กล่าวว่า เมื่อเร็วๆ นี้ โรงพยาบาลแห่งหนึ่งในเวียดนามต้อง “โทรขอความช่วยเหลือ” เนื่องจากถูกแฮกเกอร์โจมตี โดยขู่ว่าจะเปิดเผยข้อมูลผู้ป่วย ประวัติการตรวจร่างกาย และการรักษาพยาบาลบนอินเทอร์เน็ต

“ไม่มีคนไข้คนไหนอยากให้ชีวิตส่วนตัวของตัวเองถูกเผยแพร่ทางออนไลน์ เรื่องนี้ส่งผลกระทบโดยตรงต่อชุมชน ปัญหาไม่ได้อยู่ที่โรงพยาบาลไม่เห็นความเสี่ยง แต่อยู่ที่ว่าไม่มีกฎหมายควบคุมพวกเขา ดังนั้นพวกเขาจึงต้องใส่ใจดูแลอย่างเหมาะสม” คุณเล ซวน ถุ่ย กล่าว

นายทุย เปิดเผยว่า ในช่วง 6 เดือนแรกของปี 2568 มีแนวโน้มการโจมตีด้วยแรนซัมแวร์ในระบบต่างๆ ของภาคพลังงาน สาธารณสุข หน่วยงานภาครัฐ และล่าสุด รวมไปถึงหน่วยงานข่าวด้วย

จากความเป็นจริงนี้ เขาเชื่อว่าการพัฒนาของมาตรฐานระดับชาติเกี่ยวกับความปลอดภัยของเครือข่าย TCVN 14423:2025 ถือเป็นก้าวสำคัญในการบริหารจัดการระดับรัฐ เพื่อทั้งการวางแนวทางและการปกป้องระบบข้อมูลที่สำคัญ

“มาตรฐานไม่ได้มีไว้เพื่อการทดสอบเพียงอย่างเดียว ที่สำคัญยิ่งกว่านั้น มาตรฐานยังช่วยชี้นำ ชี้แนะ และช่วยให้องค์กรต่างๆ ปกป้องโครงสร้างพื้นฐานของตนเอง” คุณถุ่ยกล่าวเน้นย้ำ

ตามที่เขากล่าว องค์กรต่างๆ จำนวนมากตระหนักถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ แต่สับสนว่าควรจะเริ่มต้นจากที่ใด

บริษัทเทคโนโลยีขนาดใหญ่อย่าง VNPT และ MobiFone สามารถติดต่อบริษัทระดับโลกเพื่อดำเนินการนี้ได้ แต่สำหรับบริษัทและองค์กรที่ไม่รู้ว่าจะเริ่มต้นอย่างไร จำเป็นต้องมีมาตรฐานที่ชัดเจนซึ่งเหมาะสมกับแนวปฏิบัติของเวียดนามเพื่อเป็นพื้นฐานในการนำไปใช้

“เรากำหนดมาตรฐานโดยอิงจากข้อมูลที่ปลอดภัยที่สุด แต่เราก็เข้าใจดีว่าไม่ใช่ทุกองค์กรจะสามารถปฏิบัติตามมาตรฐานเหล่านี้ได้ในทันที เช่นเดียวกับเรื่องราวของการที่ทุกคนไม่ได้วิ่ง 5 กิโลเมตรทุกวันเพื่อสุขภาพที่ดี หวังว่ามาตรฐานนี้จะเป็นปัจจัยที่ช่วยให้หน่วยงานต่างๆ พัฒนาศักยภาพและสร้างความมั่นใจในความปลอดภัยของเครือข่าย” คุณถุ่ยกล่าว

TCVN 14423:2025 เป็นมาตรฐานแรกในระบบมาตรฐานแห่งชาติว่าด้วยความมั่นคงปลอดภัยทางไซเบอร์ที่ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติได้พัฒนาขึ้นเพื่อช่วยให้หน่วยงานและองค์กรต่างๆ นำมาตรการความมั่นคงปลอดภัยทางไซเบอร์ไปปฏิบัติได้อย่างครอบคลุมต่อไป

โดยเฉพาะอย่างยิ่ง A05 เลือกที่จะออกให้เป็น "มาตรฐาน" แทนที่จะเป็น "กฎระเบียบ" ซึ่งไม่บังคับ เพื่อสร้างเงื่อนไขให้องค์กรและธุรกิจต่างๆ ปรับตัวและปรับปรุงศักยภาพในการปกป้องโครงสร้างพื้นฐานของตนให้ดีขึ้นอย่างค่อยเป็นค่อยไป

อย่างไรก็ตาม สำหรับหน่วยงานที่มีข้อมูลส่วนบุคคลจำนวนมากและมีอิทธิพลอย่างมากในชุมชน นายถุ้ยยืนยันว่าควรมีการลงโทษบังคับ

“เมื่อองค์กรถูกจัดประเภทว่าได้รับผลกระทบอย่างรุนแรงหรือร้ายแรงมาก การปฏิบัติตามมาตรฐานจะเป็นสิ่งที่จำเป็น และจะต้องมีเอกสารทางกฎหมายที่เฉพาะเจาะจง” นายถุ้ย กล่าว

การออก TCVN 14423:2025 ไม่เพียงแต่เป็นก้าวทางเทคนิคเท่านั้น แต่ยังแสดงให้เห็นถึงบทบาทของการบริหารจัดการของรัฐในการสร้างระเบียงทางกฎหมาย ช่วยให้หน่วยงานและองค์กรต่างๆ ปกป้องระบบอย่างเชิงรุก และมีส่วนสนับสนุนในการปกป้องอำนาจอธิปไตยของชาติในโลกไซเบอร์

ที่มา: https://vtcnews.vn/nhieu-benh-vien-lon-bi-tan-cong-mang-du-lieu-benh-nhan-bi-rao-ban-ar967815.html