การรั่วไหลของ ข้อมูลทางการแพทย์ และการถูกจู่โจมทางไซเบอร์กำลังเป็นภัยที่เกิดขึ้นทั่วโลก เช่น ในปีนี้ ข้อมูลในเวชระเบียนของประชาชนชาวอินโดนีเซียอย่างน้อย 1 ล้านรายเกิดการรั่วไหลบนเว็บมืดที่ซ่อนตัวอยู่ตามโลกอินเทอร์เน็ต ในประเทศไอร์แลนด์ ระบบบริการทางสาธารณสุขก็ถูกมัลแวร์โจมตี ขัดขวางการให้บริการตรวจเชื้อโควิด-19 ทำให้โรงพยาบาลต้องยกเลิกการนัดหมายจำนวนมาก การถูกจู่โจม แฮกข้อมูลเช่นนี้ ได้สร้างความยุ่งเหยิงใหญ่ 2 ประการคือ ข้อมูลด้านสุขภาพของผู้ป่วยอาจถูกนำไปใช้ในทางที่ผิดและส่งผลเลวร้ายตามมา และภาครัฐต้องวางนโยบายเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลในกรณีต่างๆ เพิ่มเติม
ปัจจุบัน องค์กรทางสาธารณสุขกำลังเผชิญปัญหาในการปกป้องข้อมูลผู้ป่วย สืบเนื่องมาจากการใช้งานทางดิจิทัล ซึ่งเดิมนั้น จะบันทึกข้อมูลลงบนกระดาษ แต่ปัจจุบัน ได้เปลี่ยนมาอยู่บนฐานข้อมูลหลายแห่ง และเข้าถึงได้ผ่านหลากหลายแอปพลิเคชัน เว็บไซต์ เครื่องมือติดตามผลสุขภาพ ผู้ให้บริการทางการแพทย์ และอื่นๆ ซึ่งยังมักอนุญาตให้เข้าถึงได้แบบทางไกลได้ด้วย
นอกจากนี้ เครื่องมือต่างๆ ในโรงพยาบาลที่ใช้เก็บและบันทึกข้อมูลก็อาจยังไม่ได้รับการป้องกันหรือมีการเฝ้าตรวจสอบอย่างเพียงพอ ส่วนผู้ป่วยเองก็ยังขาดความเข้าใจด้านสิทธิความเป็นส่วนตัว เจ้าหน้าที่สาธารณสุขก็ยังไม่เห็นความสำคัญของความปลอดภัยเท่าที่ควร เพราะองค์กรยังไม่ได้ให้การฝึกอบรมในด้านนี้ เพื่อปกป้องความเป็นส่วนตัวของผู้ป่วย องค์กรทางสาธารณสุขต้องสร้างเกราะป้องกันในมิติต่างๆ ให้ครอบคลุม ซึ่ง Thoughtworks มีข้อเสนอแนะในเรื่องของขั้นตอนการปฏิบัติดังนี้
1.ติดตั้งระบบการเข้ารหัสข้อมูล
มีความสำคัญทั้งในการจัดเก็บ ใช้งาน และส่งต่อข้อมูล ซึ่งข้อมูลที่ถูกจัดเก็บควรมีการเข้ารหัสด้วย AES 256 หรือมาตรฐานที่เท่ากัน ส่วนข้อมูลที่กำลังใช้งานหรือส่งต่อควรมีการจำกัดการเข้าถึงตามบทบาทของผู้ใช้งาน หรือความจำเป็นของการใช้งาน หรือใช้ข้อมูลที่ผ่านการปิดบังแล้ว (Data obfuscation) แทนการใช้ข้อมูลดิบ
2.เสริมความปลอดภัยของอุปกรณ์ต่างๆ
ไม่ควรมีการเข้าถึงข้อมูลได้ด้วยอุปกรณ์ส่วนตัวของผู้ใช้งาน เว้นแต่ว่าอุปกรณ์นั้นมีการควบคุมที่ช่วยยืนยันความปลอดภัยของข้อมูลในระดับที่เหมาะสม และมีขั้นตอนการอนุมัติระบุไว้ชัดเจน เหมือนอุปกรณ์ที่ใช้ในการเข้าถึงภายใน ส่วนอุปกรณ์ทางด้าน IoT ควรติดตั้งบนเน็ตเวิร์กที่ไม่ได้เชื่อมต่อกับเน็ตเวิร์กที่เก็บข้อมูลของผู้ป่วยโดยตรง
3.เสริมความปลอดภัยของโครงสร้างทาง IT
เซิร์ฟเวอร์ควรมีเพียงพอร์ตที่จำเป็นที่เปิดให้เข้าถึงได้เท่านั้น ไม่ว่าจะเป็นแบบ On-premise หรือ Cloud ก็ตาม หากเป็นการติดตั้งบน On-premise ระบบก็ควรมีความปลอดภัยเชิงกายภาพด้วย และการเข้าถึงควรเป็นไปตามหลัก Least Privilege คือให้เท่าที่จำเป็นเท่านั้น
4.ติดตั้งมาตรการจำแนกข้อมูลที่ชัดเจน
องค์กรต้องกำหนดมาตรการการจำแนกข้อมูลของผู้ป่วยอย่างระมัดระวังและปฏิบัติตามที่กำหนดไว้
5.เปิดใช้งานระบบควบคุมการเข้าถึง การเก็บรักษา รวมทั้งลบข้อมูล
ผู้ป่วยควรมีสถานะเป็นเจ้าของข้อมูล ส่วนผู้ให้บริการทางการแพทย์ควรเป็นผู้ดูแล ในขณะที่ระบบควบคุมการเข้าถึงควรปรับให้ใช้ได้ทั้งในระดับเน็ตเวิร์ก ระบบ ฐานข้อมูล และเว็บ
- ข้อมูลควรเก็บไว้ตามข้อกำหนดทางกฎระเบียบและลบทิ้งอย่างถาวรเมื่อไม่จำเป็นอีกต่อไป
- ข้อมูลควรได้รับการสำรองตามมาตรการที่ผ่านการตกลงและเป็นไปตามแผนบริหารความต่อเนื่องของธุรกิจ (Business Continuity Plan หรือ BCP)
- ผู้ป่วยควรมีสิทธิ์ในการขอลบข้อมูล
6.กำหนดการเข้าถึง จัดเก็บและใช้งานของบุคคลที่สาม
บุคคลที่สามไม่ควรเข้าถึงข้อมูลของผู้ป่วยได้ แต่หากจำเป็น ก็ต้องได้รับการยินยอมจากผู้ป่วยก่อน หรือปฏิบัติตามข้อกำหนดและปิดบังข้อมูลก่อนแบ่งปันให้บุคคลที่สาม
7.จัดตั้งระบบการบันทึกข้อมูลและการตรวจสอบ
ควรมีการจัดเก็บบันทึกข้อมูลทั้งหมดไว้ในระบบที่บริหารจากส่วนกลางและมีการตรวจสอบ เช่นเดียวกับบุคคลที่สามที่เกี่ยวข้อง หลังเสร็จสิ้นการดำเนินงาน ผู้ให้บริการทางสาธารณสุขควรเก็บข้อมูลทั้งหมดจากบุคคลที่สามและลบข้อมูลที่ได้ครอบครองอยู่ทั้งหมด
8.กำหนดมาตรการแจ้งเตือนความปลอดภัยและการรั่วไหลของข้อมูล
ผู้ให้บริการทางสาธารณสุขควรแจ้งมาตรการความปลอดภัยที่ชัดเจน บ่งบอกว่าเก็บข้อมูลประเภทใดบ้าง เพื่อประวัตถุประสงค์ใด นำไปประมวลผลอย่างไร ระยะเวลาการเก็บข้อมูลและสิทธิ์ในการเข้าถึง รวมถึงขั้นตอนที่บุคคลหรือหน่วยงานที่กำกับดูแลจะได้รับการแจ้งเตือน หากเกิดการรั่วไหลหรือละเมิดสิทธิ์ของข้อมูล
9.การประเมินผลทั้งภายในและภายนอก
องค์กรสาธารณสุขควรปฏิบัติตามกระบวนการและระยะเวลาที่วางไว้ เพื่อประเมินช่องโหว่และทดสอบการเจาะระบบทั่วทั้งเน็ตเวิร์ก แอปพลิเคชัน ฐานข้อมูล ระบบและอุปกรณ์ทั้งหมด
ข้อมูลของผู้ป่วยมีความสำคัญอย่างมากในระบบสาธารณสุข การเข้าถึงข้อมูลที่แม่นยำในเวลาที่ต้องการได้เป็นเรื่องของความเป็นและความตายเลยทีเดียว อย่างไรก็ตาม ความปลอดภัยของข้อมูลที่ไม่เพียงพอถือเป็นการละเมิดสิทธิส่วนบุคคลในด้านความเป็นส่วนตัว ทุกองค์กรสาธารณสุขจึงจำเป็นต้องหาวิธีดำเนินการที่เหมาะสมในเส้นแบ่งบางๆ นี้ ด้วยแนวคิดการใส่ใจความปลอดภัยเป็นอันดับหนึ่งและปฏิบัติตามแนวทางที่กำหนด ระบบนิเวศของข้อมูลทางสาธารณสุขจะสามารถใช้ประโยชน์เชิงกลยุทธ์จากข้อมูลของผู้ป่วยได้ ในขณะเดียวกัน ก็สามารถคงมาตรฐานความปลอดภัยและความเป็นส่วนตัวขั้นสูงสุดไว้ได้ด้วย
บทความโดย
Gyanesh Ojha, Information Security Enthusiast และ Neelu Tripathy, Security Practice Lead
Thoughtworks
ภาพเปิด: pixabay.com
ไม่พลาดบทความและเรื่องราวน่าสนใจอื่นๆ ติดตามเราได้ที่เฟซบุ๊ก Forbes Thailand Magazine