ผลสำรวจซูเปอร์โพล 1,125 ตัวอย่าง ส่วนใหญ่หนุนยกระดับความปลอดภัยไซเบอร์เป็นวาระแห่งชาติ กังวลมากถึงที่สุดต่อความไม่ปลอดภัย มอง กรณีถูกโจรกรรม ธนาคารควรรับผิด

วันที่ 25 กุมภาพันธ์ 2567 ผศ.ดร.นพดล กรรณิกา ผู้ก่อตั้งสำนักวิจัยซูเปอร์โพล และศิษย์เก่ามหาวิทยาลัยจอร์จทาวน์ วอชิงตัน ดีซี สหรัฐอเมริกา ด้านความปลอดภัยทางไซเบอร์และการจัดการความเสี่ยง กล่าวว่า ในฐานะผู้แทนภาคประชาชนในคณะกรรมการนโยบายตำรวจแห่งชาติ (ก.ต.ช.) ที่เป็นอีกบทบาทหนึ่งเกี่ยวข้องกับนโยบายตำรวจแห่งชาติ ดูแลความปลอดภัยในชีวิตและทรัพย์สินของประชาชน ที่มีแนวโน้มของปัญหาเดือดร้อนของประชาชนเพิ่มขึ้น มาจากกรณีเงินถูกโจรกรรมในโลกออนไลน์ที่ผ่านมาอย่างต่อเนื่อง 

สำนักวิจัยซูเปอร์โพล จึงได้ทำการศึกษาในหัวข้อ “เงินถูกโจรกรรม ใครต้องรับผิด” กรณีศึกษาตัวอย่างประชาชนทุกสาขาอาชีพทั่วประเทศ ดำเนินโครงการทั้งการวิจัยเชิงปริมาณ (Quantitative Research) และการวิจัยเชิงคุณภาพ (Qualitative Research) รวมจำนวนตัวอย่างในการวิเคราะห์ทางสถิติทั้งสิ้น 1,125 ตัวอย่าง ดำเนินโครงการระหว่างวันที่ 20-24 กุมภาพันธ์ 2567 ที่ผ่านมา เป็นดังนี้

เมื่อถามถึงกรณี เงินถูกโจรกรรมจากกลุ่มโจรไซเบอร์ ใครต้องรับผิด ผลสำรวจพบว่า 

  • ร้อยละ 75.4 ระบุ ธนาคารผู้รับฝากเงิน
  • ร้อยละ 56.4 ระบุ โจรไซเบอร์
  • ร้อยละ 31.8 ระบุ ประชาชนเจ้าของบัญชี
  • ร้อยละ 23.0 ระบุ ธนาคารแห่งประเทศไทย
  • ร้อยละ 13.5 ระบุ ตำรวจ

ส่วนคำถามถึงความรู้สึกกังวลต่อความไม่ปลอดภัยต่อชีวิตและทรัพย์สินจากโจรไซเบอร์ พบว่า 

  • ร้อยละ 89.4 กังวลมากที่สุด
  • ร้อยละ 6.4 กังวลมาก
  • ร้อยละ 3.4 กังวลค่อนข้างน้อย
  • ร้อยละ 0.8 กังวลน้อยถึงไม่กังวลเลย

...

ขณะที่ความเห็นต่อการยกระดับความปลอดภัยทางไซเบอร์ เป็นวาระแห่งชาติ แก้ไขกฎหมายดูแลรักษาความปลอดภัยของประชาชนและความมั่นคงของชาติให้มากยิ่งขึ้น พบว่า 

  • ร้อยละ 68.3 เห็นด้วยอย่างยิ่ง
  • ร้อยละ 26.8 เห็นด้วย
  • ร้อยละ 3.3 ค่อนข้างเห็นด้วย
  • ร้อยละ 1.6 ไม่ค่อยเห็นด้วยถึงไม่เห็นด้วย

สำหรับวลีและประโยคสำคัญสะท้อนความรู้สึกและข้อเสนอแนะจากประชาชนต่อทุกภาคส่วนรับผิดชอบความปลอดภัยทางไซเบอร์ เงินของประชาชนในระบบออนไลน์ ได้แก่ 

  • ธนาคารไม่ใส่ใจ ไม่กระตือรือร้น ไม่ช่วยเหลือลูกค้าผู้ตกเป็นเหยื่อโจรไซเบอร์ให้ทันเวลา
  • เอาผิดธนาคารที่ไม่มีมาตรฐานความปลอดภัยไซเบอร์ มีช่องโหว่ ถูกโจรกรรม ข้อมูลลูกค้ารั่ว
  • ธนาคารต้องรับผิดชอบทุกกรณี เพราะลูกค้าเชื่อว่าธนาคารปลอดภัย จึงเอาเงินไปฝาก
  • มีกฎหมายเอาผิดธนาคารที่ไม่ให้ความร่วมมือกับเจ้าหน้าที่ตำรวจอายัดบัญชีคนร้ายทันที
  • จำกัดวงเงินในการโอนแต่ละครั้งแต่ละวัน
  • แก้กฎหมายเพิ่มโทษโจรไซเบอร์
  • เพิ่มจำนวนตำรวจปราบโจรไซเบอร์ ทำให้ตำรวจมีเทคโนโลยีทันสมัยเชื่อมโยงตามคนร้ายได้เร็ว
  • รณรงค์ประชาสัมพันธ์ให้ความรู้ประชาชนและเจ้าหน้าที่รัฐเท่าทันโจรไซเบอร์
  • ควรแก้กฎหมายให้ครอบคลุมและทันการเปลี่ยนแปลงรูปแบบของโจรไซเบอร์
  • เพิ่มโทษกฎหมายเอาผิด หน่วยงานรัฐ เอกชน ต้นทางทำข้อมูลสำคัญของประชาชนรั่วไหล

ผศ.ดร.นพดล กล่าวต่อไปว่า ในปี พ.ศ. 2565 สหภาพยุโรปมีกฎหมายใหม่ป้องกันข้อมูลที่เรียกว่า General Data Protection Regulation (GDPR) และมีการปรับกูเกิลไปประมาณ 2,000 ล้านบาท ด้วยความผิดต่อกฎหมายฉบับนี้หลายประการ อาทิ ผู้ใช้กูเกิลเข้าใจไม่ชัดเจนว่ากูเกิลเอาข้อมูลของพวกเขาไปทำอะไร การนำข้อมูลส่วนบุคคลของผู้ใช้กูเกิลไปใช้ในทางผลประโยชน์ทางธุรกิจของบริษัท เป็นต้น 

และในปีเดียวกัน ศาลสหรัฐอเมริกาตัดสินลงโทษคุมประพฤติพนักงานธนาคาร Capital One เป็นผู้เชี่ยวชาญในระบบ AWS เป็นเวลา 5 ปี ที่แฮกข้อมูลลูกค้าธนาคารในปี 2562 นำข้อมูลลูกค้าไปเผยแพร่ออนไลน์ และหลังเกิดเหตุโจรกรรมข้อมูลลูกค้าธนาคารนั้น ในปี 2564 ธนาคาร Capital One ตกลงจ่ายเงินรวมประมาณ 6,000 กว่าล้านบาท เพื่อเยียวยาลูกค้า และพัฒนาปรับปรุงระบบความปลอดภัยทางไซเบอร์ตามคำแนะนำของ AWS ผู้ให้บริการดูแลระบบความปลอดภัยทางไซเบอร์ให้ธนาคารแห่งนี้

ดังนั้น ถึงเวลาแล้วที่เราต้องมาคุยกันจริงจังเรื่องความปลอดภัยทางไซเบอร์ให้มากขึ้นกว่าปัจจุบัน ที่เรามีกฎหมายด้านความปลอดภัยทางไซเบอร์มาระยะหนึ่งแต่ประเทศและประชาชนยังมีปัญหาความไม่ปลอดภัยทางไซเบอร์ ทั้งต่อความมั่นคงของชาติ เสาหลักของชาติ และชีวิตกับทรัพย์สินของประชาชนร่วม 60 ล้านคนบนโลกออนไลน์ จากการศึกษาครั้งนี้ พบว่าสิ่งที่ต้องทำ 3 เรื่องเร่งด่วน คือ

1. จำเป็นต้องยกระดับความปลอดภัยทางไซเบอร์เป็นวาระแห่งชาติ และมีการแก้ไขกฎหมายครั้งใหญ่ ให้ทุกหน่วยงานและองค์กรที่เกี่ยวข้องกับข้อมูลสำคัญด้านความมั่นคงของชาติ เสาหลักของชาติ และความปลอดภัยในชีวิตและทรัพย์สินของประชาชน ต้องรับผิดชอบและเยียวยาความเสียหายที่เกิดขึ้น

2. จำเป็นต้องบริหารจัดการทรัพยากรด้านความปลอดภัยทางไซเบอร์ให้เหมาะสม ทันต่อการเปลี่ยนแปลงและภัยคุกคามต่อความมั่นคงของชาติ เสาหลักของชาติและความปลอดภัยในชีวิตและทรัพย์สินของประชาชน เช่น การนำโมเดลรักษาความปลอดภัยทางไซเบอร์ระหว่างผู้ใช้บริการ-คู่ค้า กับผู้ให้บริการมาประยุกต์ใช้ (End to End Cybersecurity) โดยผู้บริหารหรือหัวหน้าหน่วยมีความรู้ความเข้าใจแนวโน้มการเปลี่ยนแปลงของภัยคุกคามและความปลอดภัยทางไซเบอร์ มีหลักธรรมาภิบาลด้านความปลอดภัยทางไซเบอร์ ข้อกฎหมายที่เกี่ยวข้อง พัฒนาขีดความสามารถของคน (people) กระบวนการ (process) และเทคโนโลยี (Technology) 

โดยออกแบบโครงสร้างสถาปัตยกรรมด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดในมิติของความไว้วางใจเป็นศูนย์ (Zero Trust) คือไม่ไว้ใจใครเลยในเรื่องความปลอดภัย ให้เป็นศาสตร์แห่งความปลอดภัยทางไซเบอร์ในทุกมิติ เช่น ไฟร์วอลล์ (Firewall) มีเครื่องมือระบบตรวจจับภัยคุกคามการบุกรุก (Intrusion Detection System, IDS) ระบบป้องกันการบุกรุก (Intrusion Prevention System, IPS) ในขั้นเครือข่ายออนไลน์ ในขั้นอุปกรณ์ เช่น Web Application Firewall (WAF) กับ Anti Virus (AV) ในขณะที่ชั้นข้อมูลควรถูกจัดแยกแบ่งชั้นความลับของข้อมูลเข้ารหัส (Encryption) ภายใต้สถาปัตยกรรมแบบ Zero Trust และระบบเฝ้าระวังและตอบโต้อัตโนมัติ (Auto Alert and Response)

3. จำเป็นต้องมีการรณรงค์เสริมสร้างความตระหนักรู้ และเข้าใจความปลอดภัยทางไซเบอร์ให้ทุกภาคส่วนของสังคมอย่างจริงจังต่อเนื่อง

4. หลีกเลี่ยงใช้บริษัทสัญชาติต่างชาติมาดูแลระบบความปลอดภัยทางไซเบอร์ของประเทศไทย แต่ถ้าหลีกเลี่ยงไม่ได้ ควรใช้มากกว่า 1 สัญชาติ และมีสัญญาประกันความเสี่ยงความเสียหายในทุกมิติ

ผศ.ดร.นพดล สรุปในช่วงท้ายว่า ตามแนวนโยบายนำของรัฐบาล นายเศรษฐา ทวีสิน นายกรัฐมนตรี ในการดูแลความปลอดภัยในชีวิตและทรัพย์สินของประชาชน และนโยบายหลักของ พล.ต.อ.ต่อศักดิ์ สุขวิมล ผู้บัญชาการตำรวจแห่งชาติ พล.ต.อ.กิตติ์รัฐ พันธุ์เพ็ชร์ รองผู้บัญชาการตำรวจแห่งชาติ ในการป้องกันและปราบปรามอาชญากรรมทุกรูปแบบ ตำรวจในยุคนี้ทำงานเชิงรุก ดูแลความปลอดภัยทางไซเบอร์ให้ประชาชนในทุกมิติ เช่น การระบุ (identify) และเก็บข้อมูลกิจกรรมอาชญากรรมที่เกิดขึ้นในระบบคอมพิวเตอร์และโครงสร้างเครือข่ายออนไลน์ของกลุ่มเป้าหมาย รวมถึงวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ตรงไปที่ลูกค้าประชาชน ผู้ประกอบการ องค์กรหน่วยงานต่างๆ ในอดีต ปัจจุบัน และเฝ้าระวังไปยังอนาคต 

โดยมีการเชื่อมโยงข้อมูลระหว่างหน่วยงานด้วยฐานข้อมูลขนาดใหญ่ (Big Data) ภายในสำนักงานตำรวจแห่งชาติ และระหว่างหน่วยงานรัฐ-เอกชนนอกองค์กรตำรวจ กระชับความสัมพันธ์ทำงานใกล้ชิดกับธนาคาร สถาบันการเงินและองค์กรต่างๆ เพื่อประเมินสถานการณ์ความเสี่ยงตัวบุคคลเฝ้าระวังพิเศษและเสนอให้ขึ้นบัญชีดำโจรไซเบอร์ และการป้องกันไม่ให้เกิดความสูญเสียซ้ำของรูปแบบโจรไซเบอร์ที่กำลังเกิดขึ้นในปัจจุบันและอนาคต ไม่ให้มาสร้างความเดือดร้อนแก่ประชาชนได้อีก ยกระดับความปลอดภัยทางไซเบอร์เป็นวาระแห่งชาติ ปรับปรุงกฎหมายครั้งใหญ่ บังคับใช้ให้ทุกภาคส่วนเกิดความรับผิดชอบ และสำนึกรับผิดชอบ เสริมสร้างความปลอดภัยทางไซเบอร์ของชาติและประชาชนให้แข็งแกร่งมั่นคงมากยิ่งขึ้น.