รศ.ดร.แสงเทียน ชี้ ทำลายระบบเวชระเบียน รพ.สระบุรี เป็นการโจมตี หัวใจของโรงพยาบาล

0

การมุ่งทำลายหรือทำให้ระบบเวชระเบียนมีปัญหาคือการโจมตีไปที่ “หัวใจของโรงพยาบาล” โดย รศ.ดร.แสงเทียน อยู่เถา ผู้ทรงคุณวุฒิด้านเวชระเบียน ม.มหิดล และประธานยุทธศาสตร์วิจัยสถาบันทิศทางไทย (๑๐ กันยายน ๒๕๖๓)

จากสถานการณ์ที่เกิดขึ้นในประเทศขณะนี้ ที่มีการการระบบข้อมูลข่าวสารของโรงพยาบาลโดยพบว่ามีการโจมตีของอาชญากรคอมพิวเตอร์ไปยังโรงพยาบาลสระบุรี ทำให้ระบบการให้บริการผู้ป่วยซื่งมีระบบเวชระเบียนเป็นแกนกลางในการให้บริการถูกบล็อกการเข้าใช้งานจาก “ซอฟแวร์ที่เป็นอันตราย” ต่อระบบการใช้งานคอมพิวเตอร์ (มัลแวร์ (Malware)) ซึ่งมัลแวร์นั้นคือ อาจเป็นรูปแบบโค้ดชนิดหนึ่ง

ซึ่งโดยทั่วไปอาจอยู่ในรูปแบบของซอฟต์แวร์ ที่ออกแบบมาเพื่อจงใจส่งผลกระทบต่อระบบคอมพิวเตอร์ เมื่อติดตั้งลงในระบบคอมพิวเตอร์แล้ว ก็สามารถเข้าถึงทรัพยากรของระบบคอมพิวเตอร์ อาจแชร์ข้อมูลไปยังเซิร์ฟเวอร์ระยะไกลได้ โดยไม่ต้องกังวลเกี่ยวกับผู้ใช้งาน หรืออาจติดตามรายละเอียดของผู้ใช้งานได้ (Bitdefender, 2020) ซึ่่งประเภทที่ใช้ในการโจมตีการทำงานของระบบเวชระเบียนที่ปรากฎคือเป็นชนิดของมัลแวร์แบบ มัลแวร์เรียกค่าไถ่ (Ransomware)

ซึ่งเป็นรูปแบบหนึ่งจากหลายๆ รูปแบบของซอฟแวร์ที่เป็นอันตรายอื่นๆ ที่มีตามหลักวิชาการ เช่น ไวรัส (Virus), เวิร์ม (Worms), โทรจัน (Trojans), มัลแวร์แบบไฟล์เลสส์ (Fileless Malware), แอดแวร์ (Adware), มัลเวอร์ไทซิ่ง (Malvertising), สปายแวร์ (Spyware), ฟิชชิ่ง และสเปียร์ฟิชชิ่ง (Phishing and Spear Phishing), บอทและบอทเน็ต (Bots and Botnets), รูทคิต (Rootkits) หรือแม้แต่จะเป็น ลูกผสมและแบบรูปแบบที่แปลกใหม่ (Hybrids and Exotic Forms) และ มัลแวร์แอนตี้ไวรัสปลอม (Fake-Antivirus Malware) ซึ่งบุคลากรที่ดูแลระบบคอมพิวเตอร์ในการให้บริการประชาชนขององค์กรต่างๆ ควรทำความเข้าใจในส่วนของมัลแวร์ประเภทต่างๆ เหล่านี้ให้มากขึ้น

เมื่อพิจารณาจากการส่งมัลแวร์เรียกค่าไถ่เข้าไปยังระบบการให้บริการจากฐานข้อมูลของโรงพยาบาล โดยการให้บริการในแต่ละวันของโรงพยาบาลก็ใช้ระบบเวชระเบียนเป็นแกนในการให้บริการผู้ป่วยหรือผู้มารับบริการในแต่ละวัน และแยกออกเป็นการทำงานอื่นๆ ที่เชื่อมโยงกับระบบเวชระเบียน และระบบ Back office อื่นๆ ในระบบที่กำหนดขึ้นแต่การรักษาพยาบาลก็จะใช้เวชระเบียนเป็นแกนในการเชื่อมโยงการบริการ

ปัจจุบันนี้มีการใช้ระบบคอมพิวเตอร์ในสถานพยาบาลต่างๆ ครบทุกโรงพยาบาลแล้ว (100 %) ไม่มีโรงพยาบาลใดอีกแล้วที่จะใช้ระบบ Manual ในการทำงานเพื่อให้บริการผู้ป่วย แต่อาจมีความแตกต่างกันในส่วนของรายละเอียดการใช้ เช่น โปรแกรมที่อาจมีความแตกต่างกันไปแต่ขณะนี้ ส่วนใหญ่โรงพยาบาลสังกัดกระทรวงสาธารณสุขและโรงพยาบาลต่างๆ จากทั่วประเทศเกินกึ่งหนึ่งมีการใช้โปรแกรม HOSxP ที่พัฒนาโดย อ.ชัยพร สุรเตมีย์กุล ซึ่งปัจจุบันได้ดำเนินการในนาม Bangkok Medical Software

แต่ก็มีโปรแกรมอื่นๆ ที่ใช้งานอยู่เช่น SSB เช่น ร.พ.บางมด,ร.พ.นนทเวช, TrackCare เช่น ร.พ.สมิติเวช, ร.พ.ศรีนครินทร์, Hospital Operation Management & Controls (HOMC) เช่น ร.พ.สมเด็จพระพุทธเลิศหล้า, E-Phis เช่น ร.พ.กลาง รวมถึงโปรแกรมอื่นๆ ที่มีความหลากหลายกันไป

ความแตกต่างอื่นๆ ในการให้บริการโดยใช้ระบบคอมพิวเตอร์ ก็คือการยังคงมีการดำเนินการจัดทำประวัติที่ยังคมเป็นกระดาษ (Paper) ร่วมด้วยหรือไม่ ขณะนี้มีจำนวนไม่น้อยที่ยกเลิกการจัดทำประวัติในระบบกระดาษในส่วนของประวัติหรือเวชระเบียนผู้ป่วยนอก (Outpatient Department Card: OPD Card) ให้มีเพียงในระบบอิเล็กทรอนิกส์ (Electronic Medical Record: EMR) เท่านั้น ซึ่งในส่วนนี้เวลาถูกโจมตีโดย มัลแวร์เรียกค่าไถ่ หรือมัลแวร์อื่นๆ มาทำให้เกิดปัญหาก็จะส่งผลต่อการให้บริการอย่างมากเพราะจะทำให้การให้บริการผู้ป่วยที่มารับการตรวจในแผนกผู้ป่วยนอกในแต่ละวัน

ส่วนของโรงพยาบาลที่ยังคงมีแบบกระดาษร่วมด้วยก็อาจให้บริการได้แต่ก็จะเกิดความล่าช้าอย่างมากในผู้ป่วยเก่าหรือผู้ป่วยที่เคยมีประวัติมาก่อนโดยเฉพาะเมื่อลืมบัตรก็ไม่สามารถค้นหาเวชระเบียนได้ ส่วนเวชระเบียนผู้ป่วยในขณะนี้ก็จะกระทบไม่มากนักเพราะยังคงใช้รูปแบบเวชระเบียนผู้ป่วยใน (Inpatient Department: IPD) ที่เป็นกระดาษรวบรวมเป็นแฟ้มอยู่ซึ่งขณะนี้อยู่ในช่วงของการพัฒนาไปสู่ระบบอิเล็กทรอนิกส์เช่นเดียวกันเพื่อให้เกิดประวัติผู้ป่วยที่มีความสมบูรณ์ในการใช้งานในระบบฐานข้อมูลในรูปแบบเวชระเบียนผู้ป่วยที่เป็นรูปแบบอิเล็กทรอนิกส์ในระบบเต็ม (Fully Electronic Medical Record)

ซึ่งขณะนี้กำลังมีการศึกษาเกี่ยวกับความปลอดภัยของเวชระเบียนในโรงพยาบาล (แสงเทียน อยู่เถา, 2563) จากการเก็บข้อมูลมาอย่างต่อเนื่องตั้งแต่ปี 2561 จนถึงปัจจุบัน ก็พบว่ามีผู้ที่ปฏิบัติงานที่เกี่ยวข้องกับข้อมูลสุขภาพของโรงพยาบาลทั้งบุคลากรในงานเวชระเบียน งานด้านเวชสารสนเทศ ผู้ดูแลระบบคอมพิวเตอร์ในโรงพยาบาลที่มิได้มีการจ้างบริษัทมาดูแลระบบโดยเฉพาะยังมีความรู้ในเรื่องความปลอดภัยของข้อมูลผู้ป่วยในระบบเวชระเบียนอิเล็กทรอนิกส์อยู่ในระดับน้อยและน้อยมากในบางกลุ่ม

ความรู้ความเข้าใจในการป้องกันทั้งจากอุปกรณ์ (Hardware) และ โปรแกรม (Software) ยังมีอยู่ในระดับน้อย การจัดเก็บข้อมูล (Backup Data)  ในรูปแบบอิเล็กทรอนิกส์เพื่อจัดเก็บไว้เป็นระยะก็ยังทำได้ยาก การลงทุนในเรื่องนี้ยังมีอยู่น้อยมาก มีการใช้ระบบเครือข่ายในการทำงานทั่วไปในโรงพยาบาลรวมถึงงานส่วนบุคคลอาจมีการใช้อินเตอร์เน็ตสำหรับบุคลากรและโปรแกรมอื่นๆ ในการปฏิบัติงานและสื่อสารระหว่างกัน

ร่วมกันกับเครือข่ายของฐานข้อมูลการให้บริการผู้ป่วยด้วยโดยไม่มีการแยกระบบออกจากกัน และการที่สามารถเสียบอุปกรณ์อื่นๆ เข้าไปยังเครื่องในเครือข่ายได้อย่างง่ายดายเล่น ช่องต่อ USB ช่องต่อ LAN ซึ่งยังไม่ได้ให้ความสำคัญในการปกป้องช่องทางนี้จากเครือข่ายมากนัก

จึงจำเป็นอย่างยิ่งที่จะต้องจัดตั้ง “คณะกรรมการมาดำเนินการเพื่อปกป้องข้อมูลและฐานข้อมูลองค์กรที่ให้บริการประชาชน”  ที่รวบรวมผู้ทรงคุณวุฒิและการบูรณาการการทำงานเพื่อป้องกันในเรื่องนี้อย่างจริงจัง ในการแก้ปัญหาเชิงรุก การให้ความรู้แก่บุคลากรในองค์กร ก่อนที่ปัญหาจะส่งผลขยายไปมากขึ้นยังองค์กรอื่นๆ ซึ่งอาจส่งผลต่อการให้บริการประชาชนขององค์กรต่างๆ