จาก ASTVผู้จัดการออนไลน์

       นพ.สุธี ทุวิรัตน์ กรรมการบริหาร สมาคมเวชสารสนเทศไทย แจง อาชญากรไซเบอร์ปล่อยไวรัสมัลแวร์โจมตีแบงก์ออมสิน สำเร็จ เตรียมเข้าเจาะระบบโรงพยาบาล เพื่อขโมยข้อมูลคนไข้มาขาย หรือนำมา "เรียกค่าไถ่เป็นเงิน" หรือ "ใช้เป็นหลักฐานเปลี่ยนธุรกรรมการเงินได้ " สร้างความเสี่ยงต่อชีวิตผู้ป่วย ด้าน ก.สาธารณสุขปฏิเสธว่ายังไม่มีโรงพยาบาลใดโดนแฮก มีแค่ส่งจดหมายแจ้งเตือนกันภายใน เสนอรัฐเดินหน้าตรวจสอบระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ตาม พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 เพื่อให้ประชาชนมีความรู้พื้นฐานในการป้องกันตัวเองจากอาชญากรไซเบอร์
       
       นอกจากการโจมตีสถาบันทางการเงิน ที่มีกลุ่มแฮกเกอร์ปล่อยไวรัสมัลแวร์ลงในตู้เอทีเอ็มแบงก์ออมสินจนบรรลุเป้า หมายกวาดเงินสดไปได้ 12 ล้านนั้น การโจมตีโรงพยาบาลเป็นอีกหนึ่งภัยอาชญากรไซเบอร์ที่น่าวิตกเป็นอย่างยิ่ง เพราะหากเกิดขึ้นแล้ว จะสร้างมูลค่าความเสียหายที่ประเมินค่ามิได้ เพราะไม่ได้เกิดขึ้นเฉพาะเงิน แต่นั่นหมายถึงชีวิตของผู้ป่วยที่ถูกแฮกเกอร์นำไปเป็นตัวประกัน
       
       มีข้อมูลที่ชี้ได้ว่า ภัยในรูปแบบนี้เริ่มขยายคุกคามเข้าประเทศไทยมาในระยะหนึ่งแล้ว โดยมีการแจ้งเตือนจาก ไทยเซิร์ต หรือ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ในปี 2558 ที่ผ่านมา ออกประกาศแจ้งเตือนให้ระวังภัย รวมถึงแนะนำวิธีการป้องกันความเสียหายจากมัลแวร์หรือโปรแกรมประสงค์ร้าย ที่เรียกว่า แรนซัมแวร์ (Ransomware)
       
       ล่าสุดเมื่อต้นปี 2559 ไทยเซิร์ต เตือนอีกว่า แนวโน้มการโจมตีจากมัลแวร์เรียกค่าไถ่ เริ่มเปลี่ยนจากบริษัทหรือผู้ใช้ทั่วไปมาเป็นหน่วยงานด้านสาธารณสุข และจากสถิติพบว่าในช่วงไตรมาส 2 ของปีนี้ หน่วยงานด้านสาธารณสุข ตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่สูงที่สุดถึงร้อยละ 88 ขณะที่หน่วยงานด้านการศึกษาและหน่วยงานทางการเงินอยู่ที่ร้อยละ 6 และร้อยละ 4 ตามลำดับ

      แม้สถานการณ์นี้ยังไม่มีข่าวว่าเคยเกิดขึ้นในในเมืองไทยก็ตาม แต่ก็พบว่ามีการประกาศเตือนเจ้าหน้าที่ภายในโรงพยาบาลกำแพงเพชร และโรงพยาบาลพระสมุทรเจดีย์ ในกรณีนี้ได้สอบถามเจ้าหน้าที่ศูนย์เทคโนโลยีสารสนเทศ สำนักงานสาธารณสุขจังหวัดสมุทรปราการ กล่าวว่า นโยบายของกระทรวงสาธารณสุขจะให้ความสำคัญกับเรื่องการรักษาความปลอดภัยของ ระบบไอทีเป็นอย่างยิ่ง โดยมีการแจกคู่มือสำหรับโรงพยาบาลทุกแห่ง พร้อมติดประกาศ และมีการแจ้งเตือนเจ้าหน้าที่โรงพยาบาลให้ระมัดระวังการใช้อินเทอร์เน็ต
       
       อย่างไรก็ตาม เจ้าหน้าที่ศูนย์เทคโนโลยีสารสนเทศ ยังกล่าวถึงการเฝ้าระวังที่ผ่านมาว่า จะติดตามประกาศกระทรวงฯ ที่มีออกมาเป็นระยะ รวมถึงการติดตามข่าวสารเรื่องการปล่อยมัลแวร์จากสำนักข่าวต่างประเทศ ซึ่งพบว่ามีโจรปล่อยมัลแวร์เรียกค่าไถ่ข้อมูลที่ประเทศสหรัฐอเมริกา
       
       สอดคล้องกับความตื่นตัวของหน่วยงานด้านสาธารณสุข ตลอดจนแพทย์และผู้บริหารด้านไอทีของโรงพยาบาลจากหลายประเทศ ได้เข้าร่วมประชุมทางวิชาการ HEALTHCARE CYBER SECURITY SYMPOSIUM ซึ่งจัดขึ้นที่ศูนย์ประชุมสิริกิติ์ เมื่อวันที่ 23 สิงหาคมที่ผ่านมา โดยงานนี้เป็นการประชุมทางวิชาการที่เกี่ยวกับการปกป้องรักษาความปลอดภัย ด้านไซเบอร์ของโรงพยาบาล และการปกป้องของข้อมูลผู้ป่วยอีกด้วย

       แฮกข้อมูลคนไข้เพื่อใช้พิสูจน์ธุรกรรมได้
       
       ขณะเดียวกัน นพ.สุธี ทุวิรัตน์ กรรมการบริหาร สมาคมเวชสารสนเทศไทย ซึ่งเป็น แพทย์ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ทางการแพทย์ที่ติดตามศึกษา เรื่องนี้มานาน ระบุว่า แฮกเกอร์เรียกค่าไถ่ข้อมูลโรงพยาบาล ที่เจาะเข้าโรงพยาบาลนั้น มีอันตรายมาก เพราะมีการนำข้อมูลไปขายต่อ หรือนำมาเรียกค่าไถ่ เช่นกรณีที่ศูนย์การแพทย์ Hollywood Presbyterian ซึ่งเป็นโรงพยาบาลเอกชนที่ตั้งอยู่ในเมืองลอสแองเจลิส มลรัฐแคลิฟอร์เนียของสหรัฐอเมริกา ถูกเรียกค่าไถ่ข้อมูลถึง 3.6 ล้านเหรียญสหรัฐ และเกิดกรณีนี้ในหลายสถานพยาบาลทั่วโลก
       
       สำหรับในประเทศไทย ก็มีความตื่นตัวกับเรื่องนี้ โดยพบว่ามีการประกาศเตือนมัลแวร์ระบาดในโรงพยาบาลหลายแห่งเช่นกัน โดยเป้าหมายของการแฮกนั้น อยู่ที่ส่วนสำคัญ 2 ส่วน คือ อุปกรณ์ทางการแพทย์ (Medical Device) ซึ่งทั้งเคสผู้ป่วยในห้องไอซียู เคสการผ่าตัด ล้วนแล้วแต่ใช้อุปกรณ์ไอทีเพื่อการรักษาและช่วยชีวิตจำนวนมาก ตั้งแต่เครื่องช่วยหายใจ อุปกรณ์วัดค่าต่างๆ ในร่างกาย ไปจนถึงหุ่นยนต์ผ่าตัด ถ้ามีการผิดพลาดจากการติดไวรัสผู้ป่วยอาจจะได้รับอันตรายถึงแก่ชีวิตได้ใน เวลาเพียงไม่กี่นาที
       
       อีกส่วนคือข้อมูลการรักษาพยาบาล (Information) ที่มีความอ่อนไหวในข้อมูลส่วนตัวอย่างมาก ประวัติครอบครัวของคนไข้ ชื่อบิดามารดา ที่อยู่ ยาที่แพ้ ประวัติการเจ็บป่วย โรคประจำตัว อุบัติเหตุที่เคยเกิดขึ้น เรียกได้ว่าข้อมูลทั้งหมดล้วนเป็นข้อมูลส่วนบุคคล หากมีการรั่วไหลไปอยู่ในมือแฮกเกอร์แล้ว จะสามารถนำไปเป็นหลักฐานในการพิสูจน์ตัวตน ทำธุรกรรมทางการเงินต่างๆ เช่น ยกเลิก แก้ไขบัตรเครดิต และยังสามารถเอาข้อมูลการเจ็บป่วย ไปทำอันตรายกับผู้ป่วยได้อีกด้วย

       จากเหตุผลที่ว่าในหอผู้ป่วยมีระบบไอทีจำนวนมาก และเครื่องเหล่านี้ก็ไม่ต่างจากเอทีเอ็มหนึ่งเครื่อง ที่มีโอกาสเสี่ยงต่อการโจมตี และเป็นภัยต่อชีวิต นอกจากนี้อุปกรณ์ทางการแพทย์ยังมีความเปราะบางมาก เนื่องจากเหตุผล 4 ประการ
       
       ประการแรก คือ อุปกรณ์กว่าร้อยละ 70 เป็น Windows XP และส่วนที่เหลือเป็นเวอร์ชั่นที่เก่ากว่านั้น จึงมีช่องโหว่ที่ไม่มีการป้องกันจำนวนมาก
       
       ประการที่สอง คือ อุปกรณ์มีข้อจำกัดที่ไม่สามารถติดแอนตี้ไวรัส หรือแอนตี้มัลแวร์ เพราะจะส่งผลรบกวนการทำงานของเครื่อง
       
       ประการที่สาม คือ อุปกรณ์ฯ ไม่สามารถ Patch เพื่อซ่อมแซมแก้ไขช่องโหว่ในซอฟต์แวร์ได้ เพราะอาจมีปัญหารบกวน หรือไม่สามารถใช้ร่วมกับแอปพลิเคชัน
       
       ประการที่สี่ คือ อุปกรณ์ทางการแพทย์เป็นลักษณะดีฟอลต์พาสเวิร์ด (Default Password) ซึ่งเป็นฮาร์ดโค้ดเปลี่ยนแปลงไม่ได้ ดังนั้นใครที่พบข้อมูลจากอินเทอร์เน็ตก็สามารถเจาะเข้ามายึดได้จากความเปราะ บางเหล่านี้ และมีการต่อเครือข่ายส่งข้อมูลให้บุคลากรภายในหลายหน่วยงาน จึงทำให้แฮกง่ายยิ่งกว่าคอมพิวเตอร์ส่วนบุคคล
       
       ด้วยเหตุผลดังกล่าวนั้น ทำให้แฮกเกอร์สามารถเข้าโจมตีได้หลายทาง เพราะคอมพิวเตอร์ในโรงพยาบาลไม่มีมาตรการป้องกัน เมื่อเชื่อมต่ออินเทอร์เน็ตก็เท่ากับอุปกรณ์ทางการแพทย์เชื่อมต่อด้วย แม้แต่การใช้โทรศัพท์มือถือเป็นเราเตอร์ เมื่อมีการเปิดแชร์อินเทอร์เน็ต เครื่องคอมพิวเตอร์ของโรงพยาบาลก็เชื่อมต่อไปได้โดยไม่รู้ตัว
       
       ยิ่งกว่านั้นบุคลากรทางการแพทย์ไม่ได้รับการอบรมเรื่องการรักษาความ ปลอดภัยทางไซเบอร์ ไม่มีแผนรับมือกรณีเกิดการโจมตี และไม่มีแผนกู้สถานการณ์ การติดไวรัสในโรงพยาบาลจึงเป็นประเด็นที่น่าเป็นห่วง เพราะมีผลต่อชีวิตคนไข้
       
       “ผลกระทบที่จะเกิดขึ้นหากมีการติดไวรัส สำหรับคนไข้ภาวะวิกฤตที่ต้องใช้เครื่องช่วยชีวิต ถ้าเกิดปัญหาเพียง 5 นาทีก็ทำให้เสียชีวิตได้ ถ้าเกิดกับอุปกรณ์ในห้องไอซียูหมายถึงมีความเสี่ยงกับทุกเตียง และการติดไวรัสนั้นหมายถึงแพร่ไปทั้งโรงพยาบาล ความสูญเสียจะเกินกว่าประเมินได้ ปัญหาการโจมตีนี้ บางครั้งแฮกเกอร์ไม่ได้แสวงผลกับโรงพยาบาลโดยตรง แต่เนื่องจากระบบของโรงพยาบาลมีความเปราะบางจึงทำให้เข้ามาได้ ซึ่งจะเกิดความโกลาหลอย่างแน่นอน”
       
       กระทรวงสาธารณสุขพร้อมรับมือ
       
       ท่ามกลางกระแสข่าวที่โรงพยาบาลในต่างประเทศถูกโจรเรียกค่าไถ่แฮ กข้อมูลกันไปหลายรายแล้วนั้น ผู้ช่วยศาสตราจารย์ (พิเศษ) นายแพทย์พลวรรธน์ วิทูรกลชิต ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข กล่าวปฏิเสธว่ายังไม่พบหลักฐานการเรียกค่าไถ่ของโรงพยาบาลในประเทศไทย
       
       สิ่งที่พบคือ มีเพียงการประกาศเตือนภายในเรื่องกลุ่มแฮกเกอร์ ปล่อยมัลแวร์ในโรงพยาบาลหลายแห่ง หากมีการโดนแฮกของสถานพยาบาล นั่นหมายความว่าระบบจะรั่ว ในทุกส่วน ซึ่งในทางปฏิบัติต้องแก้ไขเฉพาะหน้าให้กระบวนการต่างๆ ดำเนินไปได้อย่างปกติ จากนั้นต้องแก้ไขปัญหาให้เรียบร้อยสมบูรณ์
       
       “รัฐจำเป็นต้องสร้างความตระหนัก และให้องค์ความรู้กับประชาชน ซึ่งในส่วนของแอปพลิเคชันที่เหมาะกับประเทศไทยคือ Open source (ซอฟต์แวร์ฟรีที่เปิดให้ผู้ใช้งานสามารถเห็น Source Code ของโปรแกรมและสามารถนำไปพัฒนาต่อยอดได้) เพียงแต่ต้องแข็งแรงพอ และไม่มีค่าใช้งานระยะยาว”
       
       ส่วนการแก้ปัญหาในเชิงนโยบาย รัฐบาลต้องให้การสนับสนุน ถ้าจะออกมาเป็นระบบปฏิบัติการ (operating system) ของประเทศก็ไม่ติดขัดอะไร เพียงแต่รัฐบาลต้องมีทีมงานดูแลเรื่องความปลอดภัยโดยเฉพาะ เพื่อสอดส่องไม่ให้มีช่องโหว่ที่มีความเสี่ยง โดยในส่วนของกระทรวงฯ นั้น มีความตระหนักในเรื่องความปลอดภัยทางไซเบอร์ เพียงแต่กลไกที่มีอยู่ไม่เอื้อให้ทำงานได้อย่างสะดวกมากนัก เพราะหลายส่วนจำเป็นต้องใช้ความรู้ความสามารถของบางหน่วยงาน
       
       ที่ผ่านมาทางกระทรวงฯ มีการนำเสนอโครงการต่างๆ พร้อมทั้งให้ความสำคัญกับความปลอดภัยทางไซเบอร์ควบคู่ไปด้วยเสมอ และได้ทำมาตรฐาน ISO27001 ซึ่งแม้จะมีเสียงคัดค้าน ประกอบกับการใช้งบประมาณสูง แต่ก็ยืนยันและมุ่งมั่นจะทำ เพราะในฐานะที่กระทรวงฯ เป็นโพรไวเดอร์หากไม่มีความปลอดภัย จะไม่มีใครเชื่อถือในองค์กรของเรา

       วิธีป้องกันการโจมตีไวรัสมัลแวร์
       
       อย่างไรก็ดี นายแพทย์สุธี อธิบายถึงมัลแวร์ว่ามีการพัฒนามาอย่างไรและจะป้องกันอย่างไร ซึ่งมัลแวร์ในประเภทแรกที่รู้จักกันดี คือ ไวรัส ในรูปแบบแอปพลิเคชันที่เขียนมาเพื่อเจาะช่องโหว่ในระบบฯ ใช้ในการทำลายข้อมูล หรือแพร่กระจายตัวออกไป จนมาสู่ระยะหนึ่งที่ผู้เขียนไวรัสไม่ต้องการเพียงแค่ความสะใจ สร้างความเดือดร้อน จึงเปลี่ยนวิธีการเป็นการเขียนมัลแวร์ โดยให้แอบฝังตัว ไม่สามารถตรวจจับได้ ด้วยพัฒนาการใช้งานคอมพิวเตอร์ที่ไปเกี่ยวข้องกับข้อมูลส่วนตัว และระบบการเงินต่างๆ จะสร้างผลประโยชน์ในการฝังตัวเพื่อขโมยข้อมูล
       
       ซึ่งแฮกเกอร์อีกฝั่งก็จะออกแอปพลิเคชันประเภทแอนตี้ไวรัสต่างๆ มาขายทำรายได้ แต่ก็ช่วยป้องกันปัญหาเป็นอย่างดี จนเกิดเป็นกติกาเบื้องต้นที่คอมพิวเตอร์ทุกเครื่องต้องมีแอนตี้ไวรัส และโทรศัพท์มือถือก็จำเป็นต้องมีแอนตี้ไวรัสเช่นกัน เสมือนเป็นยามมาคอยตรวจจับสิ่งผิดปกติ
       
       ถึงแม้เรารู้ช่องว่างและรู้วิธีป้องกันเบื้องต้น แต่ก็ยังมีช่องว่างส่วนที่ยังตรวจสอบไม่พบ จึงทำให้เราป้องกันไม่ได้อย่างสมบูรณ์ ทางป้องกันช่องว่างลักษณะนี้คือปิดช่อง ปิดรอยรั่ว เรียกว่า Hardening ใช้ในการปิดบริการ (service) หรือแอปพลิเคชันที่ไม่จำเป็น เพื่อลดความเสี่ยง เสมือนการเสริมเหล็กดัดให้กับบ้าน เป็นขั้นตอน
       
       ยกตัวอย่างคอมพิวเตอร์ที่เราใช้สำหรับการเก็บข้อมูล อ่านอีเมลส่วนตัว ก็ไม่ควรมีแอปพลิเคชันเพื่อความบันเทิง ดูหนัง ฟังเพลง เพราะยิ่งลงแอปพลิเคชันไปมากๆ ก็ยิ่งเพิ่มความเสี่ยง จึงควรลบสิ่งไม่จำเป็นออกจากเครื่องที่ใช้เก็บเรื่องสำคัญ เหมือนกับลูกเล่นต่างๆ จำนวนมากที่ไม่มีประโยชน์ในโทรศัพท์มือถือ ซึ่งเราไม่ได้ใช้งานทั้งหมด ก็ควร Disable หรือ remove การปิดมีส่วนช่วยให้เครื่องทำงานเร็วขึ้น และเป็นการลดพื้นที่การโจมตี (Attack surface)
       
       ส่วนการจะรู้ว่าเมื่อไรต้องอัปเดตโปรแกรมที่ใช้ซ่อมแซมจุดบกพร่องของ โปรแกรมคอมพิวเตอร์ (Patch) หรือปรับปรุงข้อมูลสำหรับโปรแกรมให้ทันสมัยนั้น ต้องติดตามความเคลื่อนไหวของระบบฯ ที่ใช้ เช่นถ้าใช้ Windows ก็ต้องเข้าไปตรวจสอบใน Microsoft หรืออีกช่องทางคือตรวจสอบในไทยเซิร์ต (ThaiCERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ (https://www.thaicert.or.th/) ซึ่งมีการประกาศเตือนช่องโหว่ต่างๆ ที่ตรวจสอบพบ และยิ่งกรณีที่เป็นผู้ดูแลเรื่องความปลอดภัยของระบบ จะต้องมีความรอบคอบและทันต่อสถานการณ์ การตรวจสอบต้องกว้างไปถึงประกาศเตือนของประเทศต่างๆ ทั่วโลกเพื่อความรัดกุม
       
       สำหรับประชาชนทั่วไป สิ่งที่ง่ายที่สุดคือการอัปเดตโปรแกรม แต่หากมีการลง Windows ที่ไม่มีลิขสิทธิ์ จะเปรียบเหมือนเอาโจรเข้ามานั่งอยู่ในบ้าน เพราะแฮกเกอร์ได้ฝังโค้ดรอเอาไว้แล้ว เครื่องของเราจะกลายเป็นเครื่องที่แฮกเกอร์สามารถควบคุมได้ตลอดเวลา

        รับมือภัยคุกคามยุคดิจิตอล
       
       นายแพทย์สุธี กล่าวถึงการรับมือกับโจรไซเบอร์ว่า ด้วยวิถีชีวิตของคนไทยในปัจจุบันมีความเกี่ยวข้องกับการออนไลน์ ผ่านสมาร์ทโฟน หรือคอมพิวเตอร์ตลอด 24 ชั่วโมง ถือเป็นความเสี่ยงทางด้านไซเบอร์ที่จะเกิดขึ้นได้ตลอดเวลา ดังนั้นจึงต้องมีการป้องกันความเสี่ยงทั้งในระดับองค์กร และระดับบุคคล
       
       ขณะที่การบริหารความเสี่ยงในระดับองค์กร ต้องมีการป้องกันอย่างเข้มงวด เพราะระบบไอทีไม่ได้ทำมาเพื่อประโยชน์ส่วนตัวเท่านั้น โดยเฉพาะมาตรฐานความ ปลอดภัย จากเหตุการณ์โจมตีด้วยมัลแวร์ที่ผ่านมา ทำให้มีคำถามถึง ISO27xxx ซึ่งเป็นมาตรฐานขั้นต่ำในเรื่องของความปลอดภัย (Security) ควรจะต้องมีบุคลากรที่มีความเชี่ยวชาญในการรักษาความปลอดภัยไอทีมารับผิดชอบ บริหารจัดการด้านการรักษาความปลอดภัยไอทีขององค์กร ข้อมูลมาตรฐานเหล่านี้เป็นสิ่งที่ต้องเปิดเผยจากโรงพยาบาล และธนาคารทุกแห่ง แต่ในความเป็นจริง การจะได้มาตรฐานดังกล่าว เป็นเรื่องของการลงทุนที่มีมูลค่าสูง เพียงแค่การยืนยันในความปลอดภัยของข้อมูลไม่เพียงพอ และวันนี้ก็สร้างความกังขาว่าโดนแฮกได้อย่างไร และยังมีประเด็นของการแอบอ้างสวมรอยบัญชีที่เกิดขึ้นก่อนหน้าไม่นานนัก
       
       มาตรฐานการรักษาความปลอดภัย และทรัพยากรมนุษย์เป็นสิ่งที่องค์ต้องให้ความสำคัญเป็นอย่างยิ่ง ในระดับประเทศแล้ว จำนวนบุคลากรที่ได้รับวุฒิบัตร CISSP (Certified Information Systems Security Professional)ของประเทศไทยทั้งหมดมีเพียง 160 คน เพื่อรองรับคนถึง 70 ล้านคนยิ่งแสดงอย่างชัดเจนว่าไม่เพียงพอ และในระดับองค์กรยังควรจะต้องมีผู้บริหารที่ได้รับวุฒิบัตรผู้เชี่ยวชาญ CISM (Certified Information Security Manager) มารับผิดชอบดูแลบริหารจัดการเพื่อรับมือกับภัยคุกคามไซเบอร์
       
       การยืนยันตัวตนทางอิเล็กทรอนิกส์
       
       ระดับประเทศควรจะต้องมี National Authentication Framework เพื่อพิสูจน์ยืนยันตัวตนทางอิเล็กทรอนิกส์ ไม่เหมือนทุกวันนี้ ที่รอประชาชนมาร้องเรียน สำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) มีหน้าที่ป้องกันและคุ้มครองประชาชน กรณีที่บัตรเอทีเอ็มถูกสกิมนั้น ในความเห็นส่วนตัวมองว่า ต้องฟ้องร้องธนาคารได้ เพราะเอาไปใช้ที่ตู้ของธนาคาร ไม่ใช่ความผิดของประชาชน สคบ. ควรออกกฎหมายบังคับเรื่องเหล่านี้ เพราะเป็นความรับผิดชอบของธนาคาร เมื่อลูกค้าถูกแอบอ้างสวมรอย ในต่างประเทศนั้นมีกฎให้ธนาคารชดเชย หมายถึงมีการเยียวยาด้วย ไม่ใช่การชดใช้คืนแต่เพียงอย่างเดียว
       
       ที่สำคัญคือ การจะเป็นไทยแลนด์ดิจิตอลต้องมีมาตรการลักษณะนี้ เพราะประชาชนไม่ได้มีความรู้รอบด้าน จึงต้องมีการป้องกันในระดับประเทศ และบังคับธนาคารให้มีระเบียบการตรวจสอบจากภายนอก (External Audit) สำหรับมาตรฐาน ISO 27001 เพื่อยืนยันได้มีการปฏิบัติอย่างครบถ้วน และที่สำคัญคือระบบการยืนยันตัวตนทางอิเล็กทรอนิกส์แห่งชาติ (National Authentication) เพื่อให้ทุกธนาคารใช้เป็นมาตรฐานเดียวกัน สร้างความปลอดภัยในการยืนยันตัวบุคคล เนื่องจากด้วยเทคโนโลยีปัจจุบัน การพิสูจน์ยืนยันตัวตนเดิมๆ แบบอะนาล็อกไม่มีประสิทธิภาพ เพราะสามารถปลอมแปลงหลักฐานต่างๆ ได้อย่างง่ายดาย ทั้งสำเนาบัตรประชาชน และลายเซ็น
       
       ตัวอย่างของการพิสูจน์ตัวตนทางอิเล็กทรอนิกส์ เช่นวิธีการพิสูจน์ลักษณะทางกายภาพ (Bio metric) คนไทยทุกคนมีบัตรประชาชนที่เป็นสมาร์ทการ์ด และเป็นบัตรที่มีชิปเก็บข้อมูลลายนิ้วมือ ซึ่งถ้ามีความพยายามแฮก ข้อมูลจะถูกทำลาย วิธีการพิสูจน์ตัวตนสามารถตรวจสอบได้เพียงแค่สแกนลายนิ้วมือ เทียบกับข้อมูลในชิป ซึ่งทำให้การเก็บสำเนาบัตรประชาชนไม่ได้มีประโยชน์อะไรอีกต่อไป เพราะปลอมแปลงได้
       
       วิธีการยืนยันตัวตนนี้ ไม่ใช่นำมาใช้ในองค์กรใดองค์กรหนึ่ง แต่ต้องทำการศึกษา และรัฐบาลต้องเป็นผู้ลงมือทำในระดับประเทศ เพื่อไม่เกิดปัญหาต่างคนต่างทำ สามารถใช้เป็นมาตรฐานเดียว ตั้งแต่การซื้อสินค้าออนไลน์ ไปจนถึงธุรกรรมต่างๆ โครงการพร้อมเพย์ที่เป็น Any ID ก็ต้องใช้คู่กับระบบพิสูจน์ตัวตนทางอิเล็กทรอนิกส์ที่ปลอดภัย และขยายผลไปถึงการใช้แบบ Anywhere ได้ เช่น อยู่ต่างประเทศติดต่อราชการได้ แจ้งความจากจังหวัดอื่นได้ คือต้องพิสูจน์ยืนยันตัวบุคคลได้ในทุกที่
       
       ส่วนที่สองนั้นต้องมีระบบ National Public Key Infrastructure (PKI) ซึ่งก็คือลายเซ็นอิเล็กทรอนิกส์ เพราะการพิสูจน์ตัวตนอย่างเดียวอาจไม่เพียงพอในบางธุรกรรม ยกตัวอย่างการกดเอทีเอ็ม เราพิสูจน์ได้ว่าเป็นตัวเราจากการที่มีบัตร มีรหัส แต่ถ้าเรากดเงินออกมาจำนวนหนึ่ง แล้วมีการแฮกเปลี่ยนแปลงยอดเงินหลังจากนั้น เช่นเติมตัวเลข 0 เข้าไปด้านท้าย เงินที่หายไปจะไม่มีใครรับผิดชอบ ดำเนินคดีไม่ได้ ขณะที่การเบิกหน้าเคาน์เตอร์ยังมีลายเซ็นกำกับใบถอนเงิน และสรุปยอดเงินเป็นตัวอักษรป้องกันไว้ จะเห็นได้ว่าเมื่อมาอยู่ในรูปแบบอิเล็กทรอนิกส์ ไม่สามารถตรวจจับได้ จำเป็นต้องมีลายเซ็นอิเล็กทรอนิกส์กำกับ
       
       ปัจจุบันทั้งระบบเอทีเอ็ม และอินเทอร์เน็ตแบงกิ้งไม่มีลายเซ็นทางอิเล็กทรอนิกส์กำกับ ซึ่งจะสร้างปัญหาได้ในอนาคต ธนาคารจึงต้องมีการลงทุนเพิ่มเติมในระบบ ขณะที่หน่วยงานภาครัฐเองก็ต้องเตรียมความพร้อมด้านนี้เช่นกัน เพราะสุดท้ายการจะเป็นดิจิตอล ต้องมีการปรับตัวตั้งแต่พนักงานสอบสวน ตำรวจเองก็ต้องปฏิรูปให้เป็น Cyber cop เพื่อการระงับข้อพิพาททางไซเบอร์ที่วันนี้เกิดขึ้นทั่วโลก

        กฎหมายขาดความเข้มงวด ธุรกิจละเลย
       
       เช่นเดียวกับการวางระบบไอทีของหน่วยงานด้านสาธารณสุข และสถาบันการเงิน ทั้งของรัฐและเอกชนนั้น ต้องใช้ทางออกระดับนโยบาย โดยให้มีการบังคับใช้มาตรฐานอย่างเข้มงวดเกี่ยวกับความปลอดภัยของไซเบอร์ ทั้งในส่วนของ 1. คน (People) ต้องมีความรู้เรื่องการรักษาความปลอดภัย 2. ขั้นตอนการปฏิบัติงาน (Process) ต้องมีกระบวนการป้องกันตามมาตรฐาน ISO27xxx และกฎหมายต้องบังคับใช้อย่างเคร่งครัด และ 3. เครื่องมือหรือเทคโนโลยีที่มีมาตรการตรวจสอบและป้องกัน ต่อสถานการณ์ที่โรงพยาบาลตกเป็นเป้าของโจรไซเบอร์รอจังหวะเข้ามาล้วงข้อมูล ได้ตลอดเวลา
       
       ทั้งนี้การยกมาตรฐาน ISO27xxx เข้ามาเป็นประเด็นตรวจสอบนั้น เนื่องจากในข้อเท็จจริง ประเทศไทยมีพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 ซึ่งมีใจความสำคัญว่าวิธีการแบบปลอดภัยคืออะไร มีการกำหนดมาตรฐานขั้นต่ำ และระบุการบังคับใช้กับหน่วยงานที่เป็นโครงสร้างพื้นฐานที่สำคัญของประเทศ (National Critical Infrastructure) อันมีผลเกี่ยวเนื่องกระทบต่อ “ความมั่นคง ความสงบเรียบร้อย หรือต่อสาธารณชน” โดยต้องทำตามมาตรฐาน 3 ระดับ
       
       รายละเอียดในมาตรา 5 วรรค 1 ระบุธุรกรรมประเภทที่ต้องทำ “ในระดับเคร่งครัด” คือ ธุรกรรมด้านการชำระเงินอิเล็กทรอนิกส์ ธุรกรรมด้านการเงินการพาณิชย์ ประกันภัย หลักทรัพย์ การจัดเก็บรวบรวมข้อมูล ธุรกิจสาธารณูปโภค มีการจัดระดับความเคร่งครัดตามยอดเงินที่เสียหาย ซึ่งธุรกิจธนาคารพาณิชย์ถูกจัดเป็นระดับสูงอย่างไม่ต้องสงสัย
       
       ขณะที่โรงพยาบาลใช้การ “จัดระดับตามอันตรายต่อผู้ใช้บริการ” ถ้าได้รับผลกระทบถึงแก่ชีวิตแม้แต่คนเดียวก็จัดเป็น “ระดับสูง” เช่นกัน และในมาตรา 7 ระบุสิ่งที่ต้องทำว่าด้วยวิธีการแบบปลอดภัยฯ ซึ่งทั้งหมดเป็นไปตามมาตรฐาน ISO27xxx
       
       ขณะที่กฎหมายกำหนดให้ทุกธนาคารต้องผ่านมาตฐาน ISO27xxx แต่ในความเป็นจริง ธนาคารเลือกดำเนินการในบางส่วน เช่น ที่ศูนย์ข้อมูล (Data Center) จึงมาสู่ข้อเสนอที่ต้องมีการตรวจสอบจากภายนอก เพื่อยืนยันว่าทำตามวิธีการอย่างครบถ้วน และมีมาตรการควบคุมที่รัดกุมจริง แม้กฎหมายบังคับว่าต้องผ่านมาตรฐานนี้ก็ตาม แต่เมื่อขาดความเข้มงวดในการบังคับใช้ ไม่มีบทลงโทษ ไม่มีการตรวจสอบจากภาครัฐ จึงทำให้เกิดการปล่อยปละละเลย และแฮกเกอร์จะเข้ามาโจมตีเหยื่อที่ง่ายที่สุด
       
       แม้ว่ากระทรวงสาธารณสุข จะปฏิเสธว่า ยังไม่เคยเกิดเหตุการณ์โจรแฮกข้อมูลเรียกค่าไถ่ในโรงพยาบาลในเมืองไทยก็ตาม แต่ก็เป็นสิ่งที่ต้องเฝ้าระวังและประมาทไม่ได้ เพราะเหตุการณ์เช่นนี้เคยเกิดขึ้นกับแบงก์ออมสินมาแล้ว ซึ่งต้นตอของความเสียหายเกิดขึ้นจากระบบที่ไม่สามารถป้องกันโจรที่เข้ามาแฮ กตู้เอทีเอ็มได้ ดังนั้นเพื่อความปลอดภัย และป้องกันสิ่งที่อาจจะเกิดขึ้นในอนาคต ไม่ให้เกิดเหตุการณ์นี้ขึ้นที่โรงพยาบาล จึงน่าจะมีการป้องกันอย่างมีมาตรฐาน และอยู่ในระดับเคร่งครัด เพราะถ้าเกิดขึ้นแล้วความเสียหายครั้งนี้จะไม่ใช่เงิน แต่หมายถึง “ชีวิต” ของคนที่เข้ารับการรักษาในโรงพยาบาล

สำนักงานสอบบัญชี,#สอบบัญชี,สำนักงานบัญชี,#ทำบัญชี,#ที่ปรึกษา,การจัดการ,เศรษฐกิจการลงทุน