กฎหมายและความมั่นคงปลอดภัยไซเบอร์
คู่มือฉบับย่อสำหรับบุคลากรสาธารณสุข
1. พ.ร.บ. คอมพิวเตอร์ฯ: สิ่งที่ต้องรู้ในการทำงาน
พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ เป็นกฎหมายพื้นฐานที่ทุกคนต้องปฏิบัติตาม การกระทำโดยรู้เท่าไม่ถึงการณ์อาจนำไปสู่ความผิดทางกฎหมายได้
ม.5-7
ห้ามเข้าถึงโดยมิชอบ
ห้ามใช้รหัสผู้อื่น หรือเข้าระบบ/ข้อมูลใดๆ ที่ท่านไม่มีสิทธิ์
ม.9-10
ห้ามแก้ไข-ทำลาย
ห้ามแก้ไข เปลี่ยนแปลง หรือทำลายข้อมูล/ระบบคอมพิวเตอร์ขององค์กร
ม.14
ห้ามนำเข้าข้อมูลเท็จ
ห้ามโพสต์ข่าวปลอม, ข้อมูลลามก หรือข้อมูลที่กระทบความมั่นคง
กรณีศึกษา: Ransomware จากอีเมล Phishing
ภัยคุกคามอันดับต้นๆ ที่หน่วยงานสาธารณสุขทั่วโลกเผชิญ คือการโจมตีผ่านอีเมลหลอกลวง ซึ่งนำไปสู่การเข้ารหัสข้อมูลสำคัญเพื่อเรียกค่าไถ่
สาเหตุหลักของการถูกโจมตีทางไซเบอร์
2. PDPA: คุ้มครองข้อมูลส่วนบุคคล หัวใจของบริการสุขภาพ
ในฐานะบุคลากรสาธารณสุข เราจัดการ “ข้อมูลสุขภาพ” ซึ่งเป็นข้อมูลส่วนบุคคลที่อ่อนไหวที่สุด การปกป้องข้อมูลเหล่านี้จึงเป็นหน้าที่สำคัญสูงสุดตามกฎหมาย PDPA
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลใดๆ ที่ระบุถึงตัวบุคคลได้ เช่น ชื่อ, HN, เลขบัตรประชาชน
ข้อมูลอ่อนไหว (Sensitive Data)
ข้อมูลสุขภาพ, ประวัติการรักษา, เชื้อชาติ, ศาสนา ต้องดูแลเป็นพิเศษ!
หน้าที่ของเรา
ต้องเก็บ-ใช้-เปิดเผยข้อมูลตามวัตถุประสงค์การรักษาและมีมาตรการป้องกันที่รัดกุม
ที่มาของการรั่วไหลของข้อมูล
กรณีศึกษา: การเปิดเผยข้อมูลผู้ป่วยโดยไม่ตั้งใจ
การกระทำที่ดูเหมือนเล็กน้อย อาจนำไปสู่การละเมิด PDPA และสร้างความเสียหายร้ายแรงต่อผู้ป่วยและองค์กร
- ตัวอย่าง 1: พยาบาลถ่ายรูปเอกสารประวัติผู้ป่วยส่งให้เพื่อนใน Line ส่วนตัว
- ตัวอย่าง 2: เจ้าหน้าที่พูดคุยเคสผู้ป่วยในที่สาธารณะจนบุคคลภายนอกได้ยิน
- การป้องกัน: ตระหนักเสมอว่าข้อมูลผู้ป่วยคือความลับสูงสุด ห้ามส่งต่อผ่านช่องทางที่ไม่ปลอดภัย และพูดคุยเฉพาะในพื้นที่ที่เหมาะสม
3. กฎหมายเฉพาะของ สธ.: มาตรฐานข้อมูลสุขภาพ
นอกเหนือจากกฎหมายกลางแล้ว กระทรวงสาธารณสุขยังมีระเบียบและมาตรฐานเฉพาะที่บุคลากรทุกคนต้องยึดถือ โดยเฉพาะ พ.ร.บ.สุขภาพแห่งชาติ
หลักปฏิบัติสำคัญในการใช้ระบบ EHR
สิ่งที่ควรทำ (DOs) 👍
- เข้าถึงข้อมูลเฉพาะผู้ป่วยที่อยู่ในความดูแลของท่าน
- บันทึกข้อมูลตามความเป็นจริงและทันเวลา
- ออกจากระบบ (Log off) ทุกครั้งเมื่อไม่อยู่หน้าจอ
สิ่งที่ไม่ควรทำ (DON’Ts) 👎
- เข้าดูข้อมูลผู้ป่วยรายอื่นจากความอยากรู้ส่วนตัว
- ให้ผู้อื่นยืมใช้ User/Password ของท่านเด็ดขาด
- แก้ไขข้อมูลย้อนหลังโดยไม่ได้รับอนุญาต
4. แนวปฏิบัติในชีวิตประจำวัน: สร้างเกราะป้องกันให้องค์กร
ความปลอดภัยไซเบอร์ไม่ใช่เรื่องของฝ่าย IT เท่านั้น แต่เป็นความรับผิดชอบของทุกคน การปฏิบัติตามแนวทางเหล่านี้จะช่วยลดความเสี่ยงได้อย่างมหาศาล
🛡️ การจัดการรหัสผ่าน
- ✓ซับซ้อน: มีอักษรใหญ่-เล็ก, ตัวเลข, สัญลักษณ์
- ✓เปลี่ยนรหัสผ่านทุก 90 วัน
- ✗ห้ามใช้รหัสซ้ำกับระบบอื่น เช่น Facebook, Gmail
- ✗ห้ามจดรหัสผ่านไว้บนโต๊ะทำงาน
💻 การใช้งานอุปกรณ์
- ✓Log off หรือ Lock เครื่องทุกครั้งที่ลุกจากโต๊ะ
- ✓อัปเดตระบบปฏิบัติการและโปรแกรมสม่ำเสมอ
- ✗ห้ามติดตั้งโปรแกรมที่ไม่ได้รับอนุญาต
- ✗ห้ามต่อ USB Drive ส่วนตัวที่ไม่น่าเชื่อถือ
📤 การจัดการข้อมูล
- ✓ปฏิบัติตามนโยบาย Clean Desk, Clear Screen
- ✓ใช้ช่องทางที่ปลอดภัย (เช่น อีเมลองค์กร) ในการส่งข้อมูล
- ✗ห้ามส่งข้อมูลสำคัญผ่าน Wi-Fi สาธารณะโดยไม่มี VPN
- ✗ห้ามทิ้งเอกสารสำคัญลงถังขยะโดยไม่ทำลายก่อน
บทสรุป: ความปลอดภัยเริ่มต้นที่ตัวเรา
| กฎหมาย | ความเสี่ยงหลัก | มาตรการป้องกัน |
|---|---|---|
| พรบ.คอมพิวเตอร์ฯ | เข้าถึง/แก้ไขข้อมูลโดยมิชอบ, ข้อมูลเท็จ | ใช้รหัสผ่านที่แข็งแรง, รายงาน Phishing |
| PDPA | เปิดเผยข้อมูลส่วนบุคคลผิดวัตถุประสงค์ | ใช้ข้อมูลเท่าที่จำเป็น, ไม่ส่งต่อข้อมูลส่วนตัว |
| กฎหมาย สธ. | ละเมิดความลับข้อมูลสุขภาพผู้ป่วย | ปฏิบัติตามจรรยาบรรณ, เข้าถึงเฉพาะเคสที่ดูแล |
| ความมั่นคง Cyber | Malware, ข้อมูลรั่วไหลจากช่องโหว่ | อัปเดตซอฟต์แวร์เสมอ, ปฏิบัติตามนโยบาย |
กุญแจสำคัญคือ: ความตระหนัก (Awareness) + วินัย (Discipline)