อึ้ง! คนไทย 60% ยอมให้ข้อมูลส่วนตัว แลกสิทธิพิเศษ-ส่วนลด

วันนี้ (28 ก.พ.68) นายดนุชา พิชยนันท์ เลขาธิการสภาพัฒนาการเศรษฐกิจและสังคมแห่งชาติ (สศช.) หรือสภาพัฒน์ฯ เปิดเผยรายงานภาวะสังคมไทยไตรมาส 4/2567 ประเด็นการละเมิดข้อมูลส่วนบุคคลและภัยคุกคามทางไซเบอร์ ระบุว่า ประเทศไทย แม้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) แต่ยังพบการคุกคามทางไซเบอร์ และการรั่วไหลของข้อมูลเพิ่มขึ้นต่อเนื่อง

จากสถิติการปฏิบัติในการรับมือกับภัยคุกคามทางไซเบอร์ของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) พบว่า ปี 2567 มีสถิติการคุกคามทางไซเบอร์จำนวน 2,135 ครั้ง เพิ่มขึ้นจากปี 2565 ที่มีจำนวน 835 ครั้ง

โดยในช่วงระหว่างปี 2564 – 2567 มีข้อมูลรั่วไหลมากกว่า 26,000 ล้านรายการ อาทิ ในปี 2567 ข้อมูลที่ใช้ระบุตัวบุคคลของผู้สูงอายุเกือบ 20 ล้านรายชื่อ มีการรั่วไหล หรือข้อมูลลูกค้าของร้านค้าพาณิชย์รั่วไหลจนนำมาสู่การลงโทษปรับเป็นจำนวนเงิน 7 ล้านบาท

ข้อมูลข้างต้นเป็นตัวอย่างของสถานการณ์การรั่วไหลของข้อมูลส่วนบุคคลที่เกิดขึ้นแล้วในประเทศไทย ซึ่งสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ แบ่งช่องทางการรั่วไหลของข้อมูลส่วนบุคคล 4 ช่องทาง

1.จากตนเองที่นำข้อมูลของตนเองลงบนสื่อโซเชียลต่างๆ หรือเก็บข้อมูลสำคัญไว้ในโทรศัพท์มือถือ
2.จากเว็บไซต์หรือแอปพลิเคชัน ที่มักต้องให้การยินยอมเปิดเผยข้อมูลก่อนเข้าใช้บริการ
3.จากการโดนแฮกหรือขโมยข้อมูล
4.จากการถูกหลอกลวง โดยใช้ AI ปลอมแปลงตัวตนให้ดูสมจริงมากขึ้น และการหลอกลวงในรูปแบบ SpyLoan เป็นการออกแบบแอปฯ ให้คล้ายกับสถาบันการเงินที่เหยื่อจะต้องระบุข้อมูลส่วนตัวเพื่อใช้งาน

จะเห็นได้ว่าปัจจุบันข้อมูลส่วนบุคคลสามารถรั่วไหลได้หลากหลายรูปแบบและหลายช่องทาง ซึ่งเมื่อประเมินความเสี่ยงของประเทศไทย พบประเด็นที่น่ากังวลที่อาจทำให้ข้อมูลรั่วไหล ดังนี้

1.คนไทยบางส่วนยังไม่ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลอย่างแท้จริง โดยคนไทยบางส่วนยินยอมให้ข้อมูลส่วนบุคคลแลกกับสิทธิประโยชน์จากสินค้าและบริการ เพราะคิดว่าผู้ให้บริการ มีความน่าเชื่อถือ

จากรายงาน Digital Live Decoded 2024 ประเทศไทย พบว่า แม้ภาพรวมคนไทยจะมีความกังวลเกี่ยวกับการรั่วไหลของข้อมูล หรือการถูกหลอกเพื่อเอาข้อมูลมากถึงร้อยละ 75 ซึ่งสูงกว่าประเทศอื่นๆ ในภูมิภาคเอเชียตะวันออกเฉียงใต้ที่มีค่าเฉลี่ยอยู่ที่ร้อยละ 68

แต่คนไทยกว่าร้อยละ 60 ยินยอมให้บริษัทเข้าถึงข้อมูล ส่วนบุคคล เพื่อให้ได้มาซึ่งสิทธิพิเศษ ส่วนลดสินค้า หรือของสมนาคุณจากบริษัท ขณะเดียวกัน ร้อยละ 38 ของคนไทย ยังรู้สึกไม่กังวล เนื่องจากมีความเชื่อใจว่าผู้ให้บริการจะสามารถรักษาข้อมูลส่วนบุคคลได้

นอกจากนี้ คนไทยและหน่วยงานต่าง ๆ ยังมีการใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกละเมิดข้อมูลส่วนบุคคล โดย BSA การละเมิดลิขสิทธิ์ซอฟต์แวร์จากองค์กร 104 แห่ง สร้างมูลค่าความเสียหายกว่า 100 ล้านบาท โดยร้อยละ 24ของการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์โดนละเมิดข้อมูลส่วนบุคคลจากแรนซัมแวร์

2.ภาครัฐและเอกชนของไทยยังขาดแนวทางรองรับภัยคุกคามทางไซเบอร์ที่ชัดเจน โดยข้อมูลของ สกมช. พบว่า ร้อยละ 75 ของหน่วยงานรัฐไม่มีแผนสำหรับรองรับคุกคามทางไซเบอร์ ซึ่งจากสถิติการคุกคามทางไซเบอร์ ระหว่างปี 2565 – 2567 หน่วยงานด้านการศึกษาเป็นองค์กรเป้าหมายในการโจมตีสูงสุด เนื่องจากมีการเก็บข้อมูลที่มีความอ่อนไหวจำนวนมาก

โดยผลสำรวจของ CISCO ในปี 2567 SMEs ไทยกว่าร้อยละ 67 เคยถูกโจมตีทางไซเบอร์ และทำให้การดำเนินงานของธุรกิจร้อยละ 56 หยุดชะงัก ซึ่งร้อยละ 49 ระบุว่า เกิดจากแนวทางการรักษาความปลอดภัยทางไซเบอร์ไม่มีประสิทธิภาพเพียงพอที่จะตรวจจับ หรือป้องกันการโจมตีจากภัยคุกคามทางไซเบอร์

3.หลายหน่วยงานยังขาดบุคลากรทั้งจำนวนและทักษะด้านความปลอดภัยทางไซเบอร์ โดยข้อมูลของบริษัทฟอร์ติเน็ต ผู้นำด้านความปลอดภัยทางไซเบอร์ ระบุว่า องค์กรในประเทศไทยร้อยละ 92 เคยถูกละเมิด ข้อมูล และร้อยละ 72 ระบุว่าขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์

ซึ่งในกรณีของภาครัฐ สำนักงานคณะกรรมการข้าราชการพลเรือน พบว่า ในปี 2566 หน่วยงานของรัฐมีข้าราชการที่มีความสามารถในการรับมือ ภัยทางไซเบอร์เพียง 3,888 คน (ข้อมูล ณ วันที่ 27 มกราคม 2568) จากจำนวนข้าราชการในระบบ 1.7 ล้านคน

เช่นเดียวกับภาคเอกชนที่ประสบปัญหาขาดแคลนบุคคลกรเช่นกัน โดยการสำรวจของสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDR) พบว่าขาดบุคลากร โดยมีความต้องการมากถึง 13,683 ตำแหน่ง คิดเป็นร้อยละ 36.6 ของความต้องการแรงงานในกลุ่ม STEM ทั้งหมดนอกจากนี้ ตำแหน่งของบุคลากรที่มีทักษะด้านความปลอดภัยทางไซเบอร์ในบริษัทเอกชนส่วนใหญ่จะมีตำแหน่งเฉพาะ

4.การขาดความร่วมมือระหว่างภาครัฐและเอกชน รวมถึงการประสานงานระหว่างประเทศ โดยการโจมตีทางไซเบอร์บางส่วนเกิดขึ้นในแพลตฟอร์มของเอกชนทั้งในประเทศและต่างประเทศ ซึ่งภาครัฐต้องอาศัยความร่วมมือกับเอกชนในการจัดการปัญหา

ดังนั้น เพื่อให้ประเทศไทยสามารถป้องกันการรั่วไหลของข้อมูลส่วนบุคคลได้ดียิ่งขึ้น อาจต้องมีการดำเนินการ ตั้งแต่การสร้างความตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล โดยการรณรงค์ผ่านสื่อต่าง ๆ การสร้างความเข้าใจเกี่ยวกับการให้ข้อมูลส่วนบุคคล รวมถึงการสร้างความตระหนักรู้ทางไซเบอร์โดยวิธีการปฏิบัติ อาทิการจำลองฟิชชิง (Phishing Simulations) เพื่อช่วยฝึกซ้อมการรักษาความปลอดภัยทางไซเบอร์

อีกทั้งยังต้อง ส่งเสริมให้หน่วยงานต่าง ๆ กำหนดแนวทางและพัฒนาบุคลากรเพื่อรับมือภัยคุกคามทางไซเบอร์ที่ชัดเจนโดยหน่วยงานรัฐและเอกชนที่มีการเก็บข้อมูลที่มีความอ่อนไหว ควรจัดทำแผนการป้องกันและตั้งทีมเฝ้าระวังความปลอดภัยทางไซเบอร์ (CSIRT) เพื่อตรวจจับและเตรียมรับมือภัยคุกคาม

รวมทั้งมีการส่งเสริมให้มีแลกเปลี่ยน ข้อมูลภัยคุกคามทางไซเบอร์ระหว่างภาครัฐและเอกชน และพัฒนาบุคลากรที่ทำหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อตรวจสอบการใช้ข้อมูลของหน่วยงานในการประเมินความเสี่ยง (Risk Assessment)ของการรั่วไหลข้อมูลส่วนบุคคล รวมถึง ต้องส่งเสริมให้ทุกภาคส่วนใช้โปรแกรมที่ถูกลิขสิทธิ์ เพื่อป้องกันการโจมตีจากแฮกเกอร์