ชีวิตดีสังคมดี

'สปสช.' ยกระดับ ความปลอดภัยทางไซเบอร์ ตั้งศูนย์รับมือภัยคุกคามแบบครบวงจร

'สปสช.' ยกระดับ ความปลอดภัยทางไซเบอร์ ตั้งศูนย์รับมือภัยคุกคามแบบครบวงจร

12 เม.ย. 2566

บอร์ด 'สปสช.' ยกระดับการรักษาความมั่นคง ความปลอดภัยทางไซเบอร์ พร้อมจัดตั้งศูนย์เฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์แบบครบวงจร ป้องกันการโจมทางไซเบอร์จากผู้ไม่ประสงค์ดี 24 ชม.

ที่ประชุมคณะกรรมการหลักประกันสุขภาพแห่งชาติ (บอร์ด สปสช.) เห็นชอบมาตรการยกระดับ ความปลอดภัยทางไซเบอร์ พร้อมประสานงานกับผู้เชี่ยวชาญจากกองทัพอากาศ ทดสอบเจาะระบบ (Penetration Test) เพื่อทดสอบความปลอดภัยของระบบเครือข่าย

 


 

รวมถึงตรวจสอบระบบเพื่อหาช่องโหว่หรือจุดอ่อน เป็นการช่วยประเมินความเสี่ยงที่อาจจะเกิดขึ้นบนระบบเครือข่าย รวมทั้งเตรียมความพร้อมเพื่อรับมือทาง ไซเบอร์ (Cyber Resilience) ในระบบของ "สปสช.'' รวม 190 ระบบ

 

 

ตลอดจนจัดตั้งศูนย์เฝ้าระวังและรับมือภัยคุกคามทาง ไซเบอร์แบบครบวงจรพร้อมจัดทำแผนรับมือการโจมตีทาง ไซเบอร์ จากผู้ไม่ประสงค์ดีตลอด 24 ชม.

 

รศ.พญ.ประสบศรี อึ้งถาวร เป็นประธานการประชุม

 

รศ.พญ.ประสบศรี อึ้งถาวร เป็นประธานการประชุม ได้มีมติเห็นชอบการเพิ่มแผนงานสำคัญ ภายใต้ประเด็นยุทธศาสตร์ที่ 5 กลไกอภิบาลและการบริหารจัดการองค์กร กลยุทธ์ที่ 5.2 เรื่องรัดการพัฒนาองค์กรไปสู่การเป็นองค์กรดิจิทัลและนวัตกรรม ในเรื่องการต่อยอดการพัฒนาระบบเทคโนโลยีดิจิทัล เทคโนโลยีสารสนเทศและนวัตกรรมต่างๆ

 

 

รองรับระบบบริหารการเบิกจ่ายและการบริหารจัดการองค์กร รวมทั้งการพัฒนาระบบและมาตรการในการเฝ้าระวังความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security)



 

โดย บอร์ด "สปสช." ได้อนุมัติข้อเสนอแผนการขับเคลื่อนการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ของสำนักงานฯ รวมทั้งเห็นชอบข้อเสนอแผนมาตรการความปลอดภัยในการเข้า-ออก สำนักงานฯ และการจัดทำบัตรประจําตัวคณะกรรมการและอนุกรรมการที่เกี่ยวข้อง ในการเข้าที่ทำการ สปสช. ทั้งส่วนกลาง และ สปสช.เขต 

 

ตลอดจนมอบหมายให้ สปสช. หารือกระทรวงสาธารณสุขผ่านกลไก 7x7 เพื่อร่วมหาทางป้องกันสูงสุด และหากจำเป็นอาจมีการทบทวนการเชื่อมโยงข้อมูลระหว่าง 2 หน่วยงาน โดยมีระบบสำรองไว้รองรับ ขณะเดียวกัน ให้ประสานสำนักงานประกันสังคมและกรมบัญชีกลาง ในการยกระดับการป้องกันข้อมูลส่วนบุคคลในลักษณะเดียวกัน

 

 

นพ.จเด็จ ธรรมธัชอารี เลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.)

 

นพ.จเด็จ ธรรมธัชอารี เลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) กล่าวว่า มีข่าวการรั่วไหลของข้อมูลประชาชนไทย 55 ล้านคน รวมทั้งก่อนหน้านี้ก็มีโรงพยาบาลแห่งหนึ่งที่ถูก Ransomware เข้ายึดระบบสารสนเทศของโรงพยาบาลและเรียกร้องค่าไถ่ 

นอกจากนี้ "สปสช." เป็นอีกหนึ่งหน่วยงานที่มีข้อมูลด้านสุขภาพของผู้ใช้สิทธิบัตรทองกว่า 48 ล้านคน มีข้อมูลการตรวจสอบสิทธิเดือนละกว่า 9.4 ล้านครั้ง และมีการเชื่อมต่อระบบเข้ากับหลายหน่วยงาน เพื่อเป็นการป้องกันเหตุล่วงหน้า จึงมีความจำเป็นในการยกระดับการป้องกันข้อมูลให้ปลอดภัยจากการถูกโจมตีจากผู้ไม่ประสงค์ดีมากยิ่งขึ้น


 

จากข้อมูลปี 2565 ที่ผ่านมา เกิดเหตุการณ์ที่เข้าข่ายในการโจมตีระบบของ สปสช. จำนวน 35,928 ครั้ง ส่วนมากเป็นการโจมตีมาจากต่างประเทศ โดยการโจมตีทั้งหมดสามารถป้องกันได้ทุกครั้ง อย่างไรก็ดี สปสช. จะพัฒนาระบบการบริหารจัดการและมาตรการป้องกันข้อมูลให้มีประสิทธิภาพมากขึ้นไปอีก

 

 

ทั้งการพัฒนาระบบในการป้องกันข้อมูลรั่วไหล หรือ Data Loss Prevention (DLP) การจำลองการโจมตีระบบเพื่อหาจุดอ่อนในแต่ละช่วงเวลา การพัฒนาแผนรับมือกับเหตุด้านความปลอดภัยทางไซเบอร์ (CIRP : Cyber Incident Respond Plan) รวมทั้งตั้งศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (CSOC : Cyber Security Operation Center) เพื่อเฝ้าระวังและป้องกันระบบจากผู้ไม่ประสงค์ดีตลอด 24 ชม.

 

 

ทาง "สปสช." ยังได้ประสานความร่วมมือกับสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ธนาคารแห่งประเทศไทย / ธนาคารกรุงไทย และทีมผู้เชี่ยวชาญจากกองทัพอากาศ (กองปฏิบัติการไซเบอร์ ศูนย์ไซเบอร์กองทัพอากาศ)

 

 

โดยทีมผู้เชี่ยวชาญจากกองทัพอากาศจะทำการทดลองเจาะระบบ (Penetration Test) ของ สปสช. รวมกว่า 190 ระบบ เพื่อค้นหาและปิดช่องโหว่ที่ตรวจพบ

 

 

ซึ่งจะมีการวางแผนศูนย์สำรองข้อมูล (DR site) เพิ่มขึ้น ในกรณีที่ระบบถูกโจมตีสำเร็จ จะวางแผนกู้คืนระบบให้กลับมาดำเนินการตามระยะเวลาที่กำหนด (Cyber Resilience) ทั้ง 190 ระบบ รวมทั้งขยายระบบให้รองรับข้อมูลส่วนบุคคลเพิ่มเติมจาก 48 ล้านคน เป็น 67 ล้านคน



 

ขณะเดียวกันยังจะมีการพัฒนาระบบความปลอดภัยภายในองค์กร การตรวจสอบ / ติดตั้งกล้องวงจรปิดเพิ่มเติมทั้งในส่วนกลาง และ สปสช. เขต รวมถึงการทบทวนมาตรฐานความปลอดภัยในการเข้าออกสำนักงานทั้งในส่วนกลาง และ สปสช.เขต

 

 

อีกทั้งตรวจสอบระบบป้องกันภัยและทวนสอบระบบความปลอดภัยของตู้เอกสารทั้งหมด จัดทำบัตรประจำตัวผู้ที่เกี่ยวข้องในการเข้าพื้นที่สำนักงานทั้งในส่วนกลางและ สปสช. เขต ตลอดจนจัดตั้งศูนย์เฝ้าระวังและรับมือภัยคุกคามทางไซเบอร์แบบครบวงจร หรือ CSOC ทำงานตลอด 24 ชม. ตลอด 7 วัน / สัปดาห์