ข้อมูลส่วนบุคคลหลุด 19 ล้านชุด สะท้อนช่องโหว่ความปลอดภัยรัฐ
The Bangkok Insight
อัพเดต 06 ก.พ. 2567 เวลา 19.01 น. • เผยแพร่ 06 ก.พ. 2567 เวลา 22.00 น. • The Bangkok Insightสส.ก้าวไกล ชี้ข้อมูลส่วนบุคคลหลุด 19 ล้านชุด สะท้อนช่องโหว่ระบบความปลอดภัยภาครัฐ เกิดซ้ำๆ ประชาชนเสียหายที่สุด
พรรคก้าวไกล เผยแพร่ความเห็นของนายณัฐพงษ์ เรืองปัญญาวุฒิ สส.บัญชีรายชื่อ พรรคก้าวไกล หลังResecurity บริษัทรักษาความปลอดภัยทางไซเบอร์สำหรับองค์กรขนาดใหญ่และหน่วยงานภาครัฐทั่วโลก เผยแพร่รายงานสถานการณ์ประเทศไทย พบอาชญากรไซเบอร์นำข้อมูลที่สามารถใช้ระบุตัวตนของบุคคลได้ของพลเมืองไทยจำนวนมาก ไปประกาศขายผ่าน Dark Web
โดยเฉพาะหนึ่งในนั้นเป็นชุดข้อมูลที่ถูกเปิดเผยโดยมีป้ายกำกับว่า เป็นข้อมูลที่รั่วไหลออกมาจากเว็บไซต์ของกรมกิจการผู้สูงอายุ เป็นข้อมูลส่วนบุคคล (PII) เกี่ยวกับประชากรผู้สูงอายุในประเทศไทยเป็นหลัก เป็นข้อมูลมหาศาลกว่า 19,718,687 ชุด
ข้อมูลประชาชนหลุดจากหน่วยงานรัฐ เหตุการณ์ที่เกิดซ้ำๆ ประชาชนเสียหายที่สุด
แอปพลิเคชันหรือระบบดิจิทัลต่างๆ หลายส่วนในภาครัฐ ใช้วิธีจัดซื้อจัดจ้างโดยให้ผู้รับเหมาดูแลทั้งหมด รัฐไม่เข้าไปแตะ วันดีคืนดีเกิดมี “คนใน” ของผู้รับเหมาเจ้านั้น แอบเอาข้อมูลออกไปขายหรือเจาะระบบ ก็ทำได้ง่ายมาก
แม้รัฐบาลประกาศนโยบายคลาวด์ภาครัฐ (Cloud First Policy) แต่ยังมีขั้นตอนการบริหารจัดการที่ต้องวางกรอบเรื่องการจัดการความปลอดภัยไซเบอร์ให้รัดกุมยิ่งขึ้น ในการให้ภาครัฐเป็นคนควบคุม รักษาดูแลความปลอดภัยข้อมูลให้ประชาชน ไม่ใช่ให้ผู้รับเหมาควบคุมได้ทุกอย่าง
กรณีรายงานของบริษัท Resecurity ระบุว่าเฉพาะเดือนมกราคม 2567 มีข้อมูลที่ใช้ระบุตัวบุคคลของคนไทยเกือบ 20 ล้านชุดข้อมูลรั่วไหล และถูกประกาศขายบนฟอรัมซื้อขายข้อมูลผิดกฎหมาย โดยเป็นข้อมูลจากกรมกิจการผู้สูงอายุมากถึง 19.7 ล้านแถวข้อมูล
ณัฐพงษ์ เรืองปัญญาวุฒิ - Natthaphong Ruengpanyawut สส.บัญชีรายชื่อ พรรคก้าวไกล ระบุว่าข้อมูลที่หลุดครั้งนี้สะท้อนถึงเหตุที่เกิดขึ้นซ้ำๆ มาโดยตลอด โดยเฉพาะในกรณีนี้เป็นข้อมูลที่น่ากังวลที่หลุดออกมาจากหน่วยงานภาครัฐ ซึ่งปฏิเสธได้ยากว่า เป็นเรื่องของความบกพร่องในการบริหารจัดการข้อมูลประชาชนของภาครัฐ
เหตุเกิดจากคนใน และ ระบบที่มีช่องโหว่
จากสถิติในการแฮ็กข้อมูลและระบบ ส่วนใหญ่เกิดขึ้นจากคนในที่แอบขโมยข้อมูลออกไปขาย หรือใช้ช่องทางคนใน ในการเจาะระบบ ซึ่งในส่วนนี้ค่อนข้างป้องกันได้ยาก
แต่จากที่ได้ติดตามข่าวข้อมูลรั่วไหลที่เกิดขึ้นในประเทศไทยมาโดยตลอด ไม่ว่าจะเป็นเหตุการณ์ที่มีข้อมูลนักท่องเที่ยวหลุด หมายเลขบัตรประชาชนหลุด หรือช่วงสถานการณ์โควิดที่มีการนำข้อมูลที่เกี่ยวข้องกับการจัดการโควิดของประชาชนออกมาขาย เหตุการณ์เหล่านี้ไม่ได้เกิดขึ้นจากคนในทั้งหมด แต่เป็นปัญหาจากระบบที่มีช่องโหว่ และนโยบายในการจัดการเทคโนโลยีสารสนเทศหรือโครงสร้างพื้นฐานดิจิทัลภาครัฐที่ยังไม่ได้วางให้ถูกหลักการเท่าที่ควร
อย่างเช่น แอปพลิเคชันหรือระบบดิจิทัลต่างๆ หลายส่วนในภาครัฐ เวลารัฐจัดทำก็จะใช้วิธีการจัดซื้อจัดจ้างโดยให้ผู้รับเหมาดูแลทั้งหมด ทั้งในระดับเซิร์ฟเวอร์ (server) ระดับข้อมูล หรือในระดับแอปพลิเคชัน โดยรัฐไม่เข้าไปแตะเลย วันดีคืนดีเกิดมีคนในของผู้รับเหมาเจ้านั้นแอบเอาข้อมูลออกไปขายหรือเจาะระบบก็ทำได้ง่ายมาก เพราะข้อมูลทุกอย่างของภาครัฐและประชาชนอยู่กับทางผู้รับเหมาหมดเลย
รัฐต้องเร่งรัดนโยบาย Cloud First Policy
แม้รัฐบาลประกาศนโยบาย cloud first policy หรือการทำให้ระบบเทคโนโลยีสารสนเทศขึ้นคลาวด์ให้หมดแล้ว แต่ยังมีขั้นตอนของการบริหารจัดการที่ต้องวางกรอบเรื่องการจัดการความปลอดภัยไซเบอร์ให้รัดกุมยิ่งขึ้น ในการให้ภาครัฐเป็นคนควบคุมข้อมูลและรักษาดูแลความปลอดภัยข้อมูลให้ประชาชน ไม่ใช่ให้ผู้รับเหมาควบคุมได้ทุกอย่าง
หากเปรียบแอปพลิเคชันที่ใช้ในการทำงานภาครัฐหรือบริการออนไลน์ที่ให้ประชาชนลงทะเบียนเป็นเหมือนสำนักงานหนึ่งแห่ง ปัจจุบันเมื่อภาครัฐหน่วยงานหนึ่งจะจัดทำแอปขึ้นมา ก็จะจ้างผู้รับเหมาหนึ่งเจ้าไปขึ้นสำนักงานหลังใหม่ สมมติว่ามี 20 กระทรวงที่ทำแอปพลิเคชัน ก็เหมือนมีสำนักงานใหม่ขึ้นมา 20 หลัง โดยที่ภาครัฐจะให้ผู้รับเหมาเป็นคนดูแลรักษาความปลอดภัยให้กับภาครัฐเลย
แต่อย่าลืมว่าในสำนักงานแต่ละหลัง ผู้รับเหมาที่รับช่วงต่อจากภาครัฐแต่ละเจ้า ก็มีวิธีการจัดการคนละแบบ 20 เจ้าก็ 20 แบบ วันดีคืนดีคนในของผู้รับเหมาเจ้านั้นแอบขโมยกุญแจเข้าตึกหลังนั้นแล้วไปขายต่อก็ได้
แต่หากเป็นการใช้ cloud first policy จะเหมือนกับการที่รัฐตั้งตึกหลังใหม่เป็นศูนย์กลางแห่งเดียว แล้วให้บรรดากระทรวงมาเช่าสำนักงานอยู่ในตึกนี้ เอาแอปพลิเคชันทุกชิ้น มากองอยู่ในคลาวด์ของภาครัฐ ซึ่งไม่ได้หมายความว่าเซิร์ฟเวอร์จะต้องอยู่ที่เดียว และไม่ได้หมายความว่าจะต้องมีผู้ให้บริการคลาวด์เพียงรายเดียวให้กับรัฐ
เพียงแต่ภาครัฐจะสามารถบริหารจัดการให้ทุกแอปพลิเคชันหรือทุกบริการดิจิทัลภาครัฐที่ให้บริการอยู่บนคลาวด์หลายๆ ที่นั้น มีมาตรการในการรักษาความปลอดภัยแบบเดียวกัน ภาครัฐสามารถจัดการได้อย่างรวมศูนย์ และมีหน้าที่ในการดูแลรักษาและวางมาตรการการรักษาความปลอดภัยได้เองทั้งหมด นี่เป็นสถาปัตยกรรมระบบดิจิทัลของภาครัฐที่ตอนนี้หลายประเทศใช้อยู่
แต่ภาครัฐและภาคราชการไทยมักจะมีวิธีคิดว่าการเอาข้อมูลประชาชนและข้อมูลภาครัฐขึ้นคลาวด์แบบนี้ก็คือการเอาไปฝากไว้กับผู้ให้บริการข้างนอกแล้วรู้สึกไม่ปลอดภัย แต่จริงแล้วไม่ใช่ นี่เป็นความเข้าใจผิด เพราะการขึ้นคลาวด์ รู้จักการใช้คลาวด์ และรู้จักการตั้งค่ารักษาความปลอดภัยให้เป็นเป็นการรักษาความปลอดภัยได้ดียิ่งขึ้นมากกว่าวิธีการจัดซื้อจัดจ้างทำแอปพลิเคชันในปัจจุบันเสียอีก
ดึงต่างชาติลงทุน Data Center ในไทยอย่างเดียวไม่พอ ต้องมองให้ครอบคลุมเรื่องความมั่นคงปลอดภัยไซเบอร์
ขณะนี้ท่าทีที่รัฐบาลแถลงออกมาเรื่องนโยบายด้านดิจิทัลของประเทศยังค่อนข้างให้น้ำหนักกับการดึงเม็ดเงินจากต่างชาติมาลงทุนในการตั้ง data center ประมาณแสนกว่าล้านบาทเป็นหลัก แต่รัฐควรจะมองให้ครอบคลุมเรื่องของความมั่นคงปลอดภัยไซเบอร์ด้วย ซึ่งเรายังไม่ได้เห็นการแถลงออกมาจากทางกระทรวงดิจิทัลฯ หรือทางรัฐบาลเองว่าจะมีการลงรายละเอียดในเรื่องนี้อย่างไร
เรื่องนี้มีความสำคัญกับการรักษาความปลอดภัยของประชาชนด้วย เช่น การให้นักลงทุนต่างชาติมาตั้ง data center ในไทยอย่างเดียวไม่พอ เมื่อจะนำบริการดิจิทัลภาครัฐไปขึ้นคลาวด์ที่มาตั้ง data center ในไทยแล้ว สิ่งที่สำคัญกว่าคือ มาตรการในการรักษาความปลอดภัยข้อมูลของประชาชนเป็นอย่างไร
ซึ่งจากการที่ณัฐพงษ์อยู่ในคณะกรรมาธิการวิสามัญงบประมาณฯ ได้เชิญหน่วยงานด้านดิจิทัลหลายหน่วยงานเข้ามาชี้แจง พบว่ายังไม่มีความชัดเจนว่าตกลงในงบประมาณปี 2568-2569 ที่จะเริ่มมีการ migrate ข้อมูลภาครัฐไปขึ้นคลาวด์ให้หมด จะมีมาตรการรักษาความปลอดภัยไซเบอร์ในการปกป้องข้อมูลแบบไหน ถ้าเป็นผู้ให้บริการคลาวด์ของไทย อยากเข้ามาให้บริการภาครัฐด้วยจะทำได้หรือไม่ ถ้าได้แล้วผู้ให้บริการจะต้องมีมาตรฐานความปลอดภัยขั้นต่ำอย่างไร
ดังนั้น ถ้ารัฐบาลอยากช่วยอุดช่องว่างและส่งสัญญาณเรื่อง cloud first policy รัฐบาลก็ควรออกมาแถลงความชัดเจนในเรื่องนี้ รวมทั้งเรื่องของความปลอดภัยไซเบอร์ด้วย
สร้างมาตรฐานความปลอดภัยขั้นต่ำ หลายประเทศทำได้แล้ว
“กรณีแบบนี้คนที่เสียที่สุดก็คือประชาชน พอข้อมูลออกไปแล้วสามารถถูกเอาไปขยายผล ทำซ้ำ ส่งต่อได้อีกไม่รู้จบ โดยที่เราไม่สามารถดึงข้อมูลกลับมาได้ รัฐบาลควรมีความชัดเจนเรื่องนี้ ว่าเรื่องสถาปัตยกรรมทางด้านดิจิทัลของประเทศที่มีความมั่นคงปลอดภัยทางไซเบอร์ และคุ้มครองข้อมูลของประชาชน ควรจะมีหน้าตาแบบไหน
เรื่องนี้ไม่ได้ทำยาก เพราะถ้าดูในหลายๆ ประเทศที่โครงสร้างพื้นฐานทางด้านดิจิทัลของรัฐบาลใช้คลาวด์กันหมดแล้ว ไม่ว่าจะเป็นสหรัฐอเมริกา อังกฤษ สิงคโปร์ ฯลฯ แต่ละที่มีมาตรฐานเรื่องความมั่นคงปลอดภัยไซเบอร์หมดแล้ว เขามีมาตรฐานไว้เลยว่าถ้ารัฐบาลจะเอาบริการดิจิทัลภาครัฐไปขึ้นคลาวด์ ผู้ให้บริการคลาวด์จะต้องมีมาตรฐานขั้นต่ำอย่างไร
เพราะฉะนั้นไม่ได้เป็นสิ่งที่ทำยาก รัฐบาลสามารถไปศึกษา เอามาปรับใช้ แล้วประกาศได้ทันที เพื่อให้เกิดความชัดเจนในส่วนนี้ ประชาชนเองก็จะได้สบายใจด้วยว่าเรามีทิศทางในการรักษาความปลอดภัยข้อมูลที่ชัดเจนมากยิ่งขึ้น” ณัฐพงษ์กล่าว”
อ่านข่าวเพิ่มเติม
- เปิด 3 ขั้นตอนเก็บหลักฐาน มัดโจรออนไลน์ ก่อนคนร้ายลบข้อมูลต้นตอ ใช้เป็นหลักฐานดำเนินคดี
- กทม. เผยข้อมูล เดือนม.ค.2567 'จุดความร้อน' ประเทศเพื่อนบ้าน สูงขึ้น 93% ทำ 'PM2.5' พุ่งไม่หยุด
- สปสช. แจงด่วนสาเหตุค้างจ่าย รพ.เครือ UHostNet 369 ล้าน ข้อมูลเบิกจ่ายไม่ถูกต้อง
ติดตามเราได้ที่