"สกมช." แจงยิบ ระบบความปลอดภัย"แอปทางรัฐ" ปม หวั่นข้อมูลสำคัญ 50 ล้านคนรั่วไหล ในการใช้งาน โครงการเติมเงิน 10,000 บาท ผ่าน "ดิจิทัลวอลเล็ต"
วันที่ 3 ส.ค.สํานักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แจงยิบ ระบบความปลอดภัย "แอปทางรัฐ" ปม หวั่นข้อมูลสำคัญ 50 ล้านคนรั่วไหล ในการใช้งาน โครงการเติมเงิน 10,000 บาท ผ่านดิจิทัลวอลเล็ต
“แอปทางรัฐ” ที่เก็บข้อมูลคนไทย 50 ล้านคน ปลอดภัยจริงหรือไม่
การสมัคร “แอปทางรัฐ” ต้องสมัครด้วย “บัตรประชาชน” ต้องถ่ายรูปหน้าบัตรและหลังบัตรที่มีรหัสลับ ส่วนบุคคล มีการสแกนใบหน้าด้วย ถ้าถูกแฮกไปเมื่อไหร่ รับรองว่าหายนะกันทั้งประเทศ เพราะ แอปทางรัฐ เป็นระบบเปิดที่เชื่อมต่อไปถึงบัญชีธนาคารของทุกคน ซึ่ง แบงก์ชาติ ได้ท้วงติงแล้วถึงเรื่อง ระบบความปลอดภัย แต่จนบัดนี้ก็ยังไม่มีคําตอบ และยังไม่มีใครรู้ว่า “แอปทางรัฐ” ที่เก็บข้อมูลคนไทย 50 ล้านคน ใคร บริษัทไหน เป็นคนทําระบบ?
ทั้งนี้ ขอให้ชี้แจงเรื่อง ความปลอดภัยของระบบแอปทางรัฐ
1. ข้อมูลส่วนบุคคลของประชาชนที่สมัครแอปทางรัฐ
คําชี้แจง ในส่วนของข้อมูลส่วนบุคคล เห็นควรสอบถามไปยังสํานักงานพัฒนารัฐบาลดิจิทัล (องค์การ มหาชน) และสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
2. ระบบถูกแฮกได้หรือไม่
คําชี้แจง ตามที่รัฐบาลได้ดําเนินการโครงการเติมเงิน 10,000 บาท ผ่านดิจิทัลวอลเล็ต และให้ประชาชน รวมทั้งร้านค้าลงทะเบียนเข้าร่วมโครงการผ่านแอปพลิเคชันทางรัฐนั้น สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในฐานะหน่วยงานรับผิดชอบหลักด้านความมั่นคงปลอดภัยไซเบอร์ ได้ร่วมกับสํานักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)โดย สกมช.ได้กำหนดแนวทางการสนับสนุนการรักษา ความมั่นคงปลอดภัยไซเบอร์ในโครงการดิจิทัลวอลเล็ตและแอปพลิเคชันทางรัฐ ตั้งแต่ขั้นตอนการออกแบบและการพัฒนาระบบให้มีความปลอดภัย รวมทั้งดําเนินการทดสอบเจาะระบบและแก้ไขก่อนเปิดใช้งาน ตลอดจนจัด ให้มีการเฝ้าระวังภัยคุกคามทางไซเบอร์ร่วมกับหน่วยงานที่เกี่ยวข้องอย่างต่อเนื่อง พร้อมกับเฝ้าระวังข้อมูลข่าวสาร ที่มีการเผยแพร่บนอินเทอร์เน็ตและสื่อสังคมออนไลน์ที่เข้าข่ายเป็นการหลอกลวงสร้างความเข้าใจผิดหรือหลงเชื่อ แก่ประชาชน เช่น การสร้างเว็บไซต์หรือเพจเฟซบุ๊กปลอม การหลอกให้ดาวน์โหลดแอปพลิเคชันปลอม การ สนับสนุนการจัดทําแผนดํารงความต่อเนื่องของการดําเนินงานของระบบ (Business Continuity Plan) และ แผนการฟื้นฟูเพื่อคืนสภาพการพร้อมให้บริการ (Disaster Recovery Plan)
...
ทั้งนี้ เมื่อเสร็จสิ้นโครงการ กําหนดให้ดําเนินการลบข้อมูลส่วนบุคคลในระบบเมื่อหมดความจําเป็นในการใช้งาน ให้สอดคล้องกับแนวทางของการ คุ้มครองข้อมูลส่วนบุคคล ซึ่งผลการดําเนินการดังกล่าว จะได้นําเรียน รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม ในฐานะประธานกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เพื่อติดตามผลอย่างต่อเนื่องและ เกิดการเฝ้าระวังติดตามอย่างใกล้ชิด เพื่อให้ระบบดังกล่าวเป็นที่เชื่อมั่นของประชาชนและเกิดความมั่นใจในการใช้ บริการการดำเนินการของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเพื่อสนับสนุนความ มั่นคงปลอดภัยไซเบอร์ให้กับโครงการเติมเงิน 10,000 บาทผ่านดิจิทัลวอลเล็ต และแอปพลิเคชันทางรัฐ
ลําดับ การดําเนินการ คําอธิบายการดําเนินการ
1.Vulnerability Assessment and Penetration Testing สพร. ร่วมกับ สกมช. และหน่วยงานที่เกี่ยวข้องดําเนินการทดสอบเจาะระบบและ แก้ไขก่อนเปิดใช้งาน
2. Brand Monitoring & Social Monitoringการเฝ้าระวังและตรวจสอบเว็บไซต์และชื่อเสียงของเว็บไซต์อย่างต่อเนื่อง เพื่อ ตรวจสอบว่าเกิดอะไรขึ้นกับเว็บไซต์ของเรา รวมไปถึงการตรวจสอบเนื้อหา (Content Monitoring) ว่าเนื้อหาบนเว็บไซต์ยังคงเป็นปัจจุบันและถูกต้อง หากมี ข้อมูลที่ผิดพลาดหรือไม่ถูกต้อง ควรรีบแก้ไข การเฝ้าระวังนี้มีความสําคัญเพื่อให้ มั่นใจว่าเว็บไซต์ทํางานได้อย่างถูกต้องและปลอดภัย
3. Server Monitoring (24x7) การเฝ้าระวังการหยุดทํางาน (Downtime Monitoring) เป็นการตรวจสอบว่าเว็บไซต์ ของเราสามารถเข้าถึงได้ตลอดเวลาหรือไม่ หากเว็บไซต์หยุดทํางาน ผู้ใช้งานจะไม่ สามารถเข้าใช้งานเว็บไซต์ได้ ซึ่งอาจส่งผลกระทบต่อชื่อเสียงและภาพลักษณ์
4.Cyber Threat Intelligence (CTI) การรวบรวมและวิเคราะห์ข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามทางไซเบอร์ ซึ่งข้อมูลที่ ใช้เพื่อช่วยให้เข้าใจและรับมือกับภัยคุกคามจากทางอินเทอร์เน็ตหรือทางไซเบอร์ได้ดี ยิ่งขึ้น
5.Attack Surface Management (ASM) การดูแลและควบคุมจุดที่ผู้โจมตีอาจจะใช้ในการเข้าถึงระบบหรือข้อมูลของเรา ซึ่งจะช่วยทําให้ระบบของเราปลอดภัยจากการโจมตี
6.Fake Application Monitoring การตรวจสอบและแจ้งเตือนแอปพลิเคชันที่ไม่ได้รับอนุญาตเป็นการช่วยป้องกัน ไม่ให้ผู้ใช้งานติดตั้งแอปพลิเคชันที่อาจเป็นภัยได้
7. Simulate Attack ดําเนินการทดสอบทางเทคนิค เช่น Scan Port, Test WAF, SSL เพื่อทดสอบระบบ การเฝ้าระวังภัยคุกคามของผู้ดูแลระบบ
8.DR & BCP Plan Disaster Recovery (DR) คือ แผนการที่องค์กรหรือบริษัทเตรียมไว้เพื่อฟื้นฟูระบบ และข้อมูลหลังจากเกิดเหตุการณ์ที่ทําให้ระบบหยุดทํางาน เช่น ไฟไหม้ น้ําท่วม หรือ การโจมตีทางไซเบอร์ Business Continuity Plan (BCP) คือแผนการที่ช่วยให้ธุรกิจสามารถดําเนินการ ต่อไปได้อย่างราบรื่น แม้ในกรณีที่เกิดเหตุการณ์ที่รุนแรงหรือผิดปกติ เช่น การหยุด ทํางานของอุปกรณ์สําคัญ หรือการขาดแคลนทรัพยากร
3. ใคร บริษัทไหนเป็นคนทำระบบ
คําชี้แจง ในเบื้องต้นทราบว่าแพลตฟอร์มดิจิทัลกลางเพื่ออำนวยความสะดวกในการให้บริการประชาชน (Government Super App) หรือแอปพลิเคชันทางรัฐ เป็นแพลตฟอร์มที่สํานักงานพัฒนารัฐบาลดิจิทัล (องค์การ มหาชน) สพร. หรือ DGA เป็นผู้พัฒนาหลัก โดยมีการว่าจ้างบริษัท บลูบิค กรุ๊ป จํากัด (มหาชน) เพื่อส่งบุคลากร เข้าไปสนับสนุนการพัฒนาเพิ่มเติม โดยเฉพาะในส่วนระบบการลงทะเบียนซึ่งมีความซับซ้อนทางเทคนิค ให้ สามารถทำงานรองรับปริมาณการทำธุรกรรมจำนวนมาก โดยในส่วนงานพัฒนาอื่นๆ ที่อยู่นอกเหนือจากระบบ ลงทะเบียน เช่น Digital Wallet และระบบงานบริการต่างๆ ของภาครัฐ จะเป็นทางสำนักงานพัฒนารัฐบาล ดิจิทัล (องค์การมหาชน) เป็นผู้รับผิดชอบหลัก จะเป็นผู้ทราบข้อมูลรายละเอียดทั้งหมด
ผู้ชี้เเจง : สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) สำนักนายกรัฐมนตรี