อนุทินยอมรับฐานข้อมูลคนไข้ถูกเจาะ สั่งยกระดับการป้องกันระบบคอมพิวเตอร์ สธ.

Loading

  นายอนุทิน ชาญวีรกูล รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงสาธารณสุข (รมว. สธ.) สั่งให้เจ้าหน้าที่สารสนเทศเร่งแก้ไขปัญหาข้อมูลคนไข้หลุด และยกระดับความปลอดภัยทางไซเบอร์อย่างเต็มที่ หลังจากมีการโพสต์ข้อมูลผู้ป่วยที่ลักลอบนำมาจากฐานข้อมูลของโรงพยาบาลเพื่อนำมาขายในเว็บไซต์ ช่วงเช้าวันนี้ (7 ก.ย.) นายอนุทินกล่าวถึงกรณีที่ข้อมูลคนไข้ของ สธ. หลุดออกสู่สาธารณะว่า ได้ตรวจสอบข้อมูลเบื้องต้นแล้ว พบว่าเหตุเกิดที่โรงพยาบาลใน จ.เพชรบูรณ์ รมว. สธ. ยังได้สั่งการให้ศูนย์เทคโนโลยีสารสนเทศตรวจสอบรายละเอียดของเหตุการณ์ครั้งนี้ ซึ่งเบื้องต้นทราบว่าข้อมูลที่หลุดออกไปเป็นข้อมูลทั่วไปของคนไข้ ไม่ใช่ข้อมูลที่เป็นความลับจึงไม่ควรตื่นตระหนกจนเกินไป ขณะที่ นพ. ธงชัย กีรติหัตถยากร รองปลัด สธ. ระบุในระหว่างการแถลงข่าวในวันนี้ว่า ได้มีการตั้งคณะกรรมการตรวจสอบข้อเท็จจริงและประเมินความเสียหายจากข้อมูลดังกล่าวตั้งแต่วันที่ 5 ส.ค. ที่ผ่านมา เบื้องต้นพบว่าข้อมูลที่มีการประกาศขายผ่านสื่อออนไลน์นั้นไม่ใช่ส่วนที่อยู่ในฐานข้อมูลหลักในการให้บริการผู้ป่วยปกติของ รพ. แต่เป็นข้อมูลแยกที่ใช้ในการปฎิบัติงานของเจ้าหน้าที่ ซึ่งไม่เกี่ยวข้องกับการวินิจฉัยโรค การรักษา หรือผลทางคลินิกใด ๆ ทำให้ รพ. ยังคงดำเนินการได้ตามปกติ ขณะนี้ สธ. ได้ตรวจสอบระบบทั้งหมดและทำการสำรองข้อมูลเพื่อความปลอดภัยแล้ว นพ. ธงชัยระบุ   พบฐานข้อมูลที่ถูกแฮกเพียง 1 หมื่นราย รองปลัด สธ.…

“ดีอีเอส” ยอมรับข้อมูลผู้ป่วย 16 ล้านคน ถูกแฮก

Loading

  สำนักงานไซเบอร์ กระทรวงดีอีเอส ยอมรับกรณีข้อมูลผู้ป่วยกว่า 16 ล้านคน ของกระทรวงสาธารณสุข ถูกแฮกและอยู่ระหว่างการตรวจสอบเพื่อดำเนินการตามกฎหมาย วันนี้ (7 ก.ย.2564) กรณีที่มีแฮกเกอร์ อ้างว่าสามารถเข้าถึงข้อมูลผู้ป่วยของกระทรวงสาธารณสุขกว่า 16 ล้านคน ไปวางจำหน่าย โดยภายในมีทั้งข้อมูลเลขทะเบียนผู้ป่วย ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด เบอร์โทรศัพท์ รวมถึงชื่อแพทย์เจ้าของไข้ โรงพยาบาล และรายละเอียดผู้ป่วยต่าง ๆ ล่าสุด มีรายงานว่า สำนักงานไซเบอร์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม รับทราบเรื่องดังกล่าวแล้ว และกำลังประสานหาสาเหตุกับกระทรวงสาธารณสุข โดยจะตรวจสอบการวางระบบรักษาความปลอดภัยทางไซเบอร์ ว่าเป็นไปตามมาตรฐานหรือไม่ ขณะเดียวกันจะติดตามหาตัวผู้กระทำความผิด เพื่อดำเนินการตาม พ.ร.บ.ความผิดเกี่ยวกับคอมพิวเตอร์ และตามประกาศมาตรฐานในการทำระบบคุ้มครองข้อมูลส่วนบุคคล จากการตรวจสอบไปยังเว็บไซต์ที่มีการเผยแพร่ ข้อมูลชุดดังกล่าวได้ถูกนำออกจากระบบแล้ว ทำให้ต้องรอข้อมูลจากกระทรวงสาธารณสุข ว่าข้อมูลชุดดังกล่าวหลุดไปจากที่ใด และมีประชาชนที่ได้รับผลกระทบจากเหตุการณ์ข้อมูลหลุดในครั้งนี้มากแค่ไหน นายปริญญา หอมเอนก ผู้เชี่ยวชาญทางเทคโนโลยี ระบุว่า ระบบยังมีช่องโหว่ให้เกิดการโจรกรรมข้อมูล วิธีป้องกัน คือ ต้องมีรหัสล็อคไว้ไม่ให้แฮกเกอร์ สามารถนำข้อมูลไปขายได้     ————————————————————————————————————————————————–…

WhatsApp ถูกปรับ 267 ล้านดอลล์ ฐานละเมิดกฎความเป็นส่วนตัวผู้ใช้งานใน EU

Loading

  WhatsApp ซึ่งเป็นแอปพลิเคชันส่งข้อความและเป็นบริษัทในเครือของเฟซบุ๊กได้ถูกคณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์สั่งปรับเป็นเงินสูงถึง 225 ล้านยูโร (267 ล้านดอลลาร์) ในข้อหาละเมิดกฎระเบียบของสหภาพยุโรป (EU) เกี่ยวกับข้อมูลส่วนบุคคล คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ระบุว่า WhatsApp ไม่ได้แจ้งให้พลเมืองของ EU รับทราบเกี่ยวกับสิ่งที่ทางบริษัทดำเนินการกับข้อมูลของพลเมืองเหล่านี้ โดย WhatsApp ไม่ได้แจ้งกับพลเมืองของ EU ว่า ทางบริษัทได้ทำการจัดเก็บข้อมูลส่วนตัวของพวกเขาอย่างไรและนำไปใช้อย่างไร นอกจากนี้ WhatsApp ยังไม่ได้แจ้งให้พลเมืองของ EU รับทราบว่า มีการแชร์ข้อมูลส่วนบุคคลกับทางเฟซบุ๊ก ทั้งนี้ คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ได้สั่งให้ WhatsApp ซึ่งมีผู้ใช้งานทั่วโลกถึง 2 พันล้านคน ทำการแก้นโยบายความเป็นส่วนตัว และปรับแนวทางการสื่อสารกับผู้ใช้งาน เพื่อให้สอดคล้องกับกฎหมายคุ้มครองความเป็นส่วนตัวของยุโรป โดยคำสั่งดังกล่าวจะทำให้ WhatsApp ต้องเพิ่มเติมรายละเอียดของนโยบายความเป็นส่วนตัว ซึ่งผู้ใช้งานและบริษัทบางแห่งได้วิพากษ์วิจารณ์ว่ายาวและซับซ้อนมากเกินไป ทางด้าน WhatsApp เปิดเผยว่า ทางบริษัทมีแผนที่จะยื่นอุทธรณ์ โดยระบุว่า “เราไม่เห็นด้วยกับการตัดสินใจของคณะกรรมการไอร์แลนด์ เมื่อพิจารณาจากความโปร่งใสที่เรามอบให้กับผู้ใช้งาน และเรามองว่าการลงโทษในครั้งนี้เป็นเรื่องที่ไม่เหมาะสมอย่างยิ่ง” นอกจากนี้ WhatsApp ยังได้ชี้แจงบนเว็บไซต์ว่า ทางบริษัทได้แชร์หมายเลขโทรศัพท์, ข้อมูลการทำธุรกรรม, การติดต่อสื่อสารทางธุรกิจ, ข้อมูลอุปกรณ์มือถือ,…

‘เฟซบุ๊ก’ ทำข้อมูลรั่วกว่า 533 ล้านบัญชีทั่วโลก เผย มาร์ก ซักเคอร์เบิร์ก ก็ไม่รอด

Loading

  เมื่อวันที่ 3 เมษายนที่ผ่านมา เดลีเมลล์ รายงานว่า ชื่อ ที่อยู่ ข้อมูลส่วนตัว รวมไปถึงบัญชีผู้ใช้ของ มาร์ก ซักเคอร์เบิร์ก ซีอีโอของเฟซบุ๊กก็เป็นหนึ่งในแหล่งข้อมูลส่วนบุคคลที่ถูกขโมย และถูกนำมาเผยแพร่ทางออนไลน์โดยฝีมือของแฮกเกอร์ รวมไปถึงข้อมูลของ คริส ฮิวจ์ส และดัสติน มอสโควิส ผู้ร่วมก่อตั้งเฟซบุ๊กด้วยเช่นกัน         อารอน กัล ผู้ร่วมก่อตั้งบริษัท ฮัดสัน ร็อก บริษัทข่าวกรองด้านการก่ออาชญากรรมไซเบอร์ของอิสราเอล เปิดเผยว่า ฐานข้อมูลที่รั่วไหลออกมาดังกล่าว ดูเหมือนจะเป็นชุดเดียวกับหมายเลขโทรศัพท์ที่เชื่อมโยงกับเฟซบุ๊ก ที่หมุนเวียนกันใช้ในกลุ่มแฮกเกอร์ ตั้งแต่เดือนมกราคมที่ผ่านมา โดยข้อมูลดังกล่าวถูกซื้อ-ขายในหมู่อาชญากรไซเบอร์มาได้ระยะหนึ่งแล้ว และในตอนนี้ข้อมูลการรั่วไหลดังกล่าวสามารถถูกเข้าถึงได้โดยไม่ต้องเสียค่าใช้จ่าย ๆ กัลยังได้เปิดเผยอีกว่าข้อมูลดังกล่าวนั้นเป็นข้อมูลที่สามารถนำไปใช้งานได้จริง เพราะว่าเขาสามารถตรวจสอบบางข้อมูลได้ ด้วยการเปรียบเทียบกับหมายเลขโทรศัพท์ของบางคนที่รู้จัก นอกจากนี้ยังมีความพยายามของสื่อบางแหล่งยังระบุว่าสามารถตรวจสอบหมายเลขโทรศัพท์ที่รู้จักกับข้อมูลที่รั่วไหลออกมาได้       ทั้งนี้ข้อมูลที่รั่วไหลออกมานั้นเป็นข้อมูลส่วนบุคคลของเจ้าของบัญชีเฟซบุ๊กกว่า 533 ล้านบัญชี หรือคิดเป็นราว ๆ 1 ใน 4 ของผู้ใช้งานทั้งหมด จาก…

เช็คความพร้อมไอทีก่อน PDPA บังคับใช้

Loading

  เช็คความพร้อมไอทีก่อน PDPA บังคับใช้ : โดยนายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด เชื่อว่าหลายองค์กรในขณะนี้ต่างมีความเข้าใจถึงความสำคัญของการบังคับใช้กฎหมาย PDPA ซึ่งหัวใจสำคัญอยู่ที่ การจัดการข้อมูลส่วนบุคคล ซึ่งจะเป็นการเสริมความมั่นคงปลอดภัยและความมั่นใจให้กับลูกค้าหรือผู้ใช้งาน เพื่อเป็นการส่งท้ายก่อนกฎหมาย PDPA จะมีผลบังคับใช้อย่างเป็นทางการในกลางปีนี้ จึงอยากเชิญชวนองค์กรมาเช็คความพร้อมของระบบไอทีไม่ให้ตกหล่นเครื่องมือสำคัญที่ต้องมีเพื่อให้การดำเนินการตามกฎหมายมีประสิทธิภาพและปลอดภัยสูง นั่นคือ   เครื่องมือค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification) เพราะแต่ละองค์กรต่างมีการจัดเก็บและเรียกใช้และปรับปรุงข้อมูลมากมาย กระจัดกระจายอยู่ในระบบทั้งในองค์กร นอกองค์กร บนคลาวด์ หรือแม้ในปลายทาง หรือ เอนด์พอยต์ อย่างโทรศัพท์มือถือ หรือ BYOD ต่าง ๆ ดังนั้น การค้นหาและจัดประเภทข้อมูล จึงเป็นก้าวเริ่มต้นที่สำคัญในการวางระบบความปลอดภัยให้ข้อมูล เพราะเราคงไม่สามารถคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลใด ๆ ได้เลยหากไม่รู้ว่าข้อมูลนั้นอยู่ที่ไหน ข้อมูลใดสำคัญหรือไม่สำคัญและควรกำหนดแนวทางคุ้มครองอย่างไร การมีเครื่องมือไอทีที่ดีในการจัดทำคลังข้อมูลส่วนบุคคล นับเป็นการสร้างกระบวนการบริหารเชิงรุกไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์หรือผิดกฎหมาย ไม่ว่าจะเป็นการเพิ่มประสิทธิภาพในการค้นหา ระบุตำแหน่งที่จัดเก็บ และคัดแยกประเภทของข้อมูลส่วนบุคคลในระบบ การกำหนดสิทธิในการเข้าถึงผ่านการกำกับดูแลได้จากจุดเดียว สามารถติดตามกิจกรรมที่เกิดขึ้นกับการเรียกหรือใช้งานข้อมูลเหล่านั้นได้ทั้งการตรวจสอบย้อนหลัง หรือป้องปรามโดยการแจ้งเตือนทันทีที่เกิดการละเมิดนโยบายหรือข้อตกลง รวมถึงป้องกันการเข้าถึงข้อมูลด้วยการเข้ารหัส…

(อัปเดต: แถลง ปณท. ไม่เกี่ยวกับฐานข้อมูลลูกค้า) พบฐานข้อมูลไปรษณีย์ไทย ชื่อ เบอร์โทร เลขบัตร ปชช. หลุดกว่า 4 หมื่นรายการ

Loading

อัปเดต: ไปรษณีย์ไทยออกแถลงยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่ใช่ข้อมูลของลูกค้าแต่อย่างใด และเป็นข้อมูลเก่า ซึ่งอย่างที่บอกไปก่อนหน้านี้ ลักษณะของข้อมูลจะเป็นแนวเกมเก็บคะแนน ตรงกับแถลงการณ์ของไปรษณีย์ไทยที่ออกมาเป็นระบบ Gamification เพื่อสะสมแต้มเพื่อชิงรางวัลนั่นเอง   จากการสำรวจระบบ Gamification ที่เป็นเกมเสริมทักษะที่รั่วไหลออกมานั้น จะเป็นเกมสำหรับ “เจ้าหน้าที่นำจ่าย” ซึ่งสามารถดาวน์โหลดได้ทั้งบน Android หรือ iOS แต่ในตอนนี้ไม่มีการใช้งานระบบดังกล่าวแล้ว อย่างที่บอกไปนั้น เกมนี้เป็นเกมสำหรับเจ้าหน้าที่ของไปรษณีย์ไทย ก็สมเหตุสมผลกับรายงานก่อนหน้านี้ที่มีข้อมูลของพนักงานเป็นส่วนใหญ่ แต่สำหรับคนที่ไม่มีข้อมูลก็สามารถลงทะเบียนใหม่ได้เช่นกัน โดยจะต้องใช้หมายเลขประจำตัวประชาชน 13 หลักในการลงทะเบียน นั่นจึงเป็นสาเหตุให้มีหมายเลขประจำตัวประชาชน 13 หลัก โดยที่ข้อมูลเหล่านี้ไม่ได้เป็นข้อมูลลูกค้าที่ใช้บริการของไปรษณีย์ไทยแต่อย่างใด เย็นวันนี้ (4 ก.พ. 2564) มีเพจเฟซบุ๊กได้โพสต์รายงานถึงช่องโหว่เกี่ยวกับการเข้าถึงฐานข้อมูลของไปรษณีย์ไทย พบข้อมูลส่วนตัวของผู้ใช้และพนักงานหลุดออกไปกว่า 4 หมื่นรายการ โดยมีลักษณะเป็นฐานข้อมูลในบริการ Firebase Realtime Database จาก Google เมื่อลองสืบดูแล้วนั้นข้อมูลที่หลุดออกมานั้น จะเป็นข้อมูลผู้ใช้ที่ได้ทำการลงทะเบียนเพียง 209 รายการเท่านั้น ซึ่งประกอบไปด้วยข้อมูล ชื่อ-นามสกุล, เบอร์โทรศัพท์, หมายเลขประจำตัวประชาชน 13 หลัก, และวันเดือนปีเกิด   “”:…